▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

Cos'è lo smishing: le tre cose da sapere

Cos'è lo smishing, come si può identificare e come difendersi dai "messaggini" ostili

Tecnologie/Scenari
Non è frequente come il phishing, ma è più pericoloso perché viaggia su un canale che di solito consideriamo affidabile. È lo smishing, una forma di attacco cyber che viene veicolata dai messaggi SMS oppure, per estensione, attraverso i canali di instant messaging. Di che si tratta? E soprattutto, come difendersi?

Smishing: cos'è

Il termine mette insieme SMS e phishing, a significare che si tratta di un attacco personalizzato simile al phishing che si riceve via email, ma che usa come canale i messaggi SMS. Dato che nel tempo l'utilizzo personale degli SMS è calato a favore dei sistemi di instant messaging, come ad esempio Whatsapp, lo smishing si è allargato a comprendere anche questi canali. In sostanza, si intende per smishing un "messaggino" creato ad hoc per indurci a compiere qualche azione che va a danno della nostra sicurezza digitale.

Lo smishing è particolarmente insidioso perché di norma le persone considerano gli SMS e gli instant message come ragionevolmente attendibili. E quindi si fidano del loro contenuto, molto più di quanto non accada per una email. In teoria, chi ci manda un messaggio via SMS o instant messaging deve conoscere di noi una informazione davvero personale, ossia il nostro numero di cellulare. Quindi se qualcuno ci scrive, è qualcuno che conosciamo o una entità importante a cui abbiamo dato noi stessi questa informazione.
smartphoneIn realtà questo non è più vero, per vari motivi. Il primo è che diamo il nostro numero telefonico a diverse realtà che poi non lo trattano come dovrebbero, condividendolo con altre aziende partner. Il numero di telefonate di telemarketing che riceviamo da perfetti sconosciuti è una prova di questa gestione "elastica" dei dati. Inoltre, spesso le grandi imprese sono colpite da data breach e data leak che comprendono anche informazioni personali come i numeri telefonici. Infine, molte persone pubblicano online il loro numero telefonico per farsi contattare professionalmente. Ma intanto questo numero diventa pubblico, ben al di là delle iniziali intenzioni.

Smishing: come funziona

Nella grandissima parte dei casi, un messaggio di smishing funziona come una mail di phishing: cerca di convincerci a seguire un link Internet verso un sito che cerca di rubarci credenziali di accesso o altre informazioni simili. Il "bank smishing" è l'esempio più classico di questo modus operandi. Si invia un messaggio relativo ad una (inesistente) operazione da bloccare o confermare. Oppure un finto avviso di sicurezza che invita ad immettere i dati di accesso all'home banking.

La cronaca della cyber security riporta anche altri casi di smishing. Messaggi fraudolenti possono provenire da cyber criminali che impersonano corrieri espresso, utility dell'energia, fornitori di servizi. Persino i nostri amici: una possibilità che sembra assurda ma non lo è, dato che per trovare i nostri amici basta consultare il nostro profilo in un social network.
smartphone 531250 1280Se non portano a siti-civetta, i messaggi di smishing cercano di far scaricare malware su uno smartphone. Ad esempio con la scusa di un aggiornamento di una app di home banking. Criminali davvero creativi e bravi nel social engineering possono far finta di essere un nostro conoscente, o parente, ed arrivare anche a farsi mandare del denaro o farsi dare i dati della nostra carta di credito, con tanto di codice di sicurezza OTP. Sembra strano, ma è successo davvero.

Smishing: come difendersi

Da un punto di vista personale, non ci sono molti modi specifici per difendersi dallo smishing che non siano semplicemente prestare molta attenzione ai messaggi che invitano a fare qualcosa che mette in gioco informazioni personali. O che potrebbe essere potenzialmente rischioso, come scaricare app. Insomma, ci si difende dallo smishing più o meno come per il phishing. Ricordando in particolare che nessuna entità "fidata", come una banca oppure una utility, ci inviterebbe via SMS a compiere azioni rischiose. Se proprio c'è il dubbio che abbiano un senso, vale la pena fare una verifica telefonica prima di seguire qualsiasi link.

La costruzione stessa del messaggio di smishing può dare indicazioni sulla sua attendibilità. Di solito sono messaggi vaghi, che chiedono di fare qualcosa senza davvero spiegare perché. Nel caso dello smishing davvero mirato, che sfora nel social engineering, anche qui vale il buon senso: il messaggio che stiamo leggendo potrebbe davvero essere stato mandato dal presunto mittente? Probabilmente no.

A livello aziendale, se lo smishing può essere un problema diffuso - magari perché la nostra azienda fa uso regolare degli SMS per comunicazioni business - conviene fare formazione sul tema. Diverse aziende che fanno cyber security hanno sviluppato servizi di "smishing simulation" che creano attacchi simulati per testare quanto i dipendenti di una impresa siano vulnerabili agli SMS ostili.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato
Iscriviti alla nostra Newsletter Gratuita. Iscriviti
GoogleNews Rimani sempre aggiornato, seguici su Google News! Seguici

Notizie correlate

Speciali Tutti gli speciali

Speciale

Speciale iperautomazione

Speciale

Speciale Backup e Resilienza 2025

Speciale

Speciale OT Security

Speciale

2025 obiettivo cybersecurity

Speciale

Previsioni per la cybersecurity del 2025

Calendario Tutto

Lug 09
Creatività ed efficienza con Adobe: più veloci, più connessi, più creativi con le ultime novità al servizio dei team creativi
Lug 10
Azure Special Club
Lug 10
Business Meeting Lexmark Marche | XC9525, la nuova generazione della stampa A3
Lug 10
Bootcamp WatchGuard - Sicurezza senza compromessi: Scopri WatchGuard Endpoint Security
Lug 10
Boost Your Backup Strategy con Object First: demo live e casi di successo
Lug 10
scrivi qui il titolo...
Lug 10
Parallels RAS: accesso remoto sicuro, semplice, e scalabile per la tua azienda
Lug 11
TPM 2.0: Il Cuore della Sicurezza nei PC Moderni
Lug 11
Microsoft Sentinel: la piattaforma SIEM e SOAR per il soc moderno

Ultime notizie Tutto

Acronis, come semplificare il lavoro di MSP e team IT con il patch management

Umberto Zanatta, Senior Solutions Engineer di Acronis, approfondisce come l’automazione del patch management possa semplificare le attività quotidiane, migliorare l’efficienza e assicurare una maggiore aderenza ai requisiti normativi, anche in ambienti IT complessi e distribuiti

08-07-2025

La rivoluzione quantistica nella cybersecurity: sfide e soluzioni

La rivoluzione del quantum computing mette a rischio la crittografia attuale: Umberto Pirovano di Palo Alto Networks spiega rischi, tempistiche e soluzioni post-quantum.

07-07-2025

SentinelOne premia i partner top performer in EMEA

Nel corso del PartnerOne Summit 2025 il vendor di cybersecurity premia i contributi di eccellenza all'innovazione nelle soluzioni di sicurezza dei propri partner

07-07-2025

Scattered Spider punta su attacchi a catena via fornitori BPO e call center

Noto gruppo criminale sfrutta la compromissione di fornitori BPO e call center per colpire più vittime in settori chiave. Facciamo il punto sulle nuove tattiche.

04-07-2025

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

www.securityopenlab.it - 8.3.21 - 4.6.1