Si chiama smishing e, a sentirlo così, potrebbe sembrare un nuovo tipo di attività sportiva. Invece, non solo non fa bene alla salute, ma è anche una frode. Smishing infatti è l’acronimo di Sms phishing ed è la variante di un attacco phishing, con l’unica differenza che in questo caso si impiegano i messaggi sms al posto delle e-mail.
Questo tipo di attacco informatico è noto da tempo agli esperti di sicurezza. Dopotutto la grande diffusione degli smartphone ha spinto gli hacker a individuarli come possibili target dei loro attacchi. Su questi dispositivi, infatti, conserviamo grandi quantità di dati.
Si tratta di dati personali sensibili e riservati come numeri di carte di credito e conti corrente, codici di accesso all’home banking.
Come funziona lo smishing
Lo smishing impiega la medesima tattica del phishing. Cambia solo il mezzo con cui si effettua la frode. E se le campagne di phishing scatenano un massiccio invio di e-mail esca, lo smishing prevede l’invio messaggi di testo dal tono urgente per carpire informazioni riservate all’utente.
Ma il pericolo può giungere inaspettato persino dalle App. Qualche tempo fa, infatti, gli hacker avevano diffuso sugli app store alcune versioni modificate di normali applicazioni. In realtà erano dotate di un “codice malevolo” in grado di sfruttare una vulnerabilità di Android conosciuta come “write-sms”.
Questa vulnerabilità è stata in seguito corretta, ma all’epoca una volta installato sullo smartphone il software era in grado di simulare la ricezione di un messaggio sms.
Qui, però, non si tratta solo di un semplice attacco informatico, perché i messaggi di smishing sfruttano sofisticate metodologie di social engineering, cioè di ingegneria sociale. Cercano ovvero di attivare particolari meccanismi psicologici per indurre chi ha ricevuto il sms a chiamare un numero di telefono o a collegarsi ad un sito Web.
Ora, il primo dubbio dovrebbe venirci contattando il numero allegato: dall’altro lato del telefono non c’è nessuno, c’è solo un risponditore automatico che ci chiede informazioni molto personali come la password di accesso al banking on-line o il numero di carta di credito.
Più sottile è invece l’imbroglio quando ci si collega al link indicato nell’sms: qui ci si potrebbe ritrovare in un sito web identico a quello di famosi portali commerciali, operatori di telefonia o istituti di credito o assicurativi. Anche qui, però, ecco un form on-line da compilare il cui scopo è carpire quante più informazioni possibili.
Attenti anche al vishing
Sembra già macchinoso così, eppure lo smishing presenta un’ulteriore evoluzione. Si chiama vishing, acronimo di voice phishing, una truffa con tanto di finto operatore che chiama direttamente al telefono.
In questo caso il truffatore si spaccia per il call center di una banca o di un istituto di credito. L’intento? Sempre lo stesso: creare un senso di urgenza nell’utente che finisce con il fornire le informazioni richieste. Qui si sfrutta il fatto che in genere si tende ad dare maggiore affidabilità alla voce di una persona.
I consigli per difendersi
I messaggi sospetti provengono in genere da numeri di telefono inusuali. Già questo dovrebbe metterci in allarme. Mai quindi ricomporre il numero indicato nell’sms e, qualora succedesse, è bene non fornire alcun dato. Nessuna banca infatti arriverebbe a chiedere tali informazioni per telefono.
Mai collegarsi a link sospetti, né tanto meno aprire gli allegati inviati. Per evitare problemi legati alle App, è bene non installare applicazioni provenienti da mittenti sconosciuti.
Se riceviamo un sms che ci chiede di scaricare qualcosa cliccando su un link, si può fare in questo modo prima di procedere: si cerca il nome di chi ha sviluppato l’App, il nome del prodotto, le statistiche di download e le recensioni. Insomma, si può cercare di capire se esista davvero l’App di cui ci è stato inviato il link.
Si possono comunque attivare sul proprio smartphone anche alcune funzioni che bloccano i testi provenienti da Internet. La modalità di attivazione cambia in base al tipo di sistema operativo, ma in genere basta fare un giro su “Impostazioni” per capire in che modo.
Ultimo, ma non meno importante, installiamo un software di sicurezza per i dispositivi mobili. In questo modo ci assicuriamo che siano protetti da qualsiasi minaccia di questo tipo. Esistono soluzioni pensate appositamente, tra le tante certificate sugli store on-line.
© Riproduzione riservata