Non è frequente come il phishing, ma è più pericoloso perché viaggia su un canale che di solito consideriamo affidabile. È lo smishing, una forma di attacco cyber che viene veicolata dai messaggi SMS oppure, per estensione, attraverso i canali di instant messaging. Di che si tratta? E soprattutto, come difendersi?

Smishing: cos'è

Il termine mette insieme SMS e phishing, a significare che si tratta di un attacco personalizzato simile al phishing che si riceve via email, ma che usa come canale i messaggi SMS. Dato che nel tempo l'utilizzo personale degli SMS è calato a favore dei sistemi di instant messaging, come ad esempio Whatsapp, lo smishing si è allargato a comprendere anche questi canali. In sostanza, si intende per smishing un "messaggino" creato ad hoc per indurci a compiere qualche azione che va a danno della nostra sicurezza digitale.

Lo smishing è particolarmente insidioso perché di norma le persone considerano gli SMS e gli instant message come ragionevolmente attendibili. E quindi si fidano del loro contenuto, molto più di quanto non accada per una email. In teoria, chi ci manda un messaggio via SMS o instant messaging deve conoscere di noi una informazione davvero personale, ossia il nostro numero di cellulare. Quindi se qualcuno ci scrive, è qualcuno che conosciamo o una entità importante a cui abbiamo dato noi stessi questa informazione.
In realtà questo non è più vero, per vari motivi. Il primo è che diamo il nostro numero telefonico a diverse realtà che poi non lo trattano come dovrebbero, condividendolo con altre aziende partner. Il numero di telefonate di telemarketing che riceviamo da perfetti sconosciuti è una prova di questa gestione "elastica" dei dati. Inoltre, spesso le grandi imprese sono colpite da data breach e data leak che comprendono anche informazioni personali come i numeri telefonici. Infine, molte persone pubblicano online il loro numero telefonico per farsi contattare professionalmente. Ma intanto questo numero diventa pubblico, ben al di là delle iniziali intenzioni.

Smishing: come funziona

Nella grandissima parte dei casi, un messaggio di smishing funziona come una mail di phishing: cerca di convincerci a seguire un link Internet verso un sito che cerca di rubarci credenziali di accesso o altre informazioni simili. Il "bank smishing" è l'esempio più classico di questo modus operandi. Si invia un messaggio relativo ad una (inesistente) operazione da bloccare o confermare. Oppure un finto avviso di sicurezza che invita ad immettere i dati di accesso all'home banking.

La cronaca della cyber security riporta anche altri casi di smishing. Messaggi fraudolenti possono provenire da cyber criminali che impersonano corrieri espresso, utility dell'energia, fornitori di servizi. Persino i nostri amici: una possibilità che sembra assurda ma non lo è, dato che per trovare i nostri amici basta consultare il nostro profilo in un social network.
Se non portano a siti-civetta, i messaggi di smishing cercano di far scaricare malware su uno smartphone. Ad esempio con la scusa di un aggiornamento di una app di home banking. Criminali davvero creativi e bravi nel social engineering possono far finta di essere un nostro conoscente, o parente, ed arrivare anche a farsi mandare del denaro o farsi dare i dati della nostra carta di credito, con tanto di codice di sicurezza OTP. Sembra strano, ma è successo davvero.

Smishing: come difendersi

Da un punto di vista personale, non ci sono molti modi specifici per difendersi dallo smishing che non siano semplicemente prestare molta attenzione ai messaggi che invitano a fare qualcosa che mette in gioco informazioni personali. O che potrebbe essere potenzialmente rischioso, come scaricare app. Insomma, ci si difende dallo smishing più o meno come per il phishing. Ricordando in particolare che nessuna entità "fidata", come una banca oppure una utility, ci inviterebbe via SMS a compiere azioni rischiose. Se proprio c'è il dubbio che abbiano un senso, vale la pena fare una verifica telefonica prima di seguire qualsiasi link.

La costruzione stessa del messaggio di smishing può dare indicazioni sulla sua attendibilità. Di solito sono messaggi vaghi, che chiedono di fare qualcosa senza davvero spiegare perché. Nel caso dello smishing davvero mirato, che sfora nel social engineering, anche qui vale il buon senso: il messaggio che stiamo leggendo potrebbe davvero essere stato mandato dal presunto mittente? Probabilmente no.

A livello aziendale, se lo smishing può essere un problema diffuso - magari perché la nostra azienda fa uso regolare degli SMS per comunicazioni business - conviene fare formazione sul tema. Diverse aziende che fanno cyber security hanno sviluppato servizi di "smishing simulation" che creano attacchi simulati per testare quanto i dipendenti di una impresa siano vulnerabili agli SMS ostili.