Ci sono periodi dell'anno in cui le minacce cyber si fanno più pressanti, e il periodo delle festività natalizie è uno di questi. Gli esperti infatti evidenziano un incremento degli attacchi che sfruttano gli sms per accedere ai dispositivi mobili e carpire dati personali e accessi bancari.
Quelle che stiamo vivendo sono settimane di particolare frenesia in vista delle prossime festività, con la necessità di far coincidere gli impegni lavorativi e gli acquisti dei regali o l'organizzazione di pranzi e cene. Così inevitabilmente cala l'attenzione verso possibili rischi informatici proprio mentre aumentano messaggi promozionali che spingono all'acquisto, dalla settimana del black friday appena conclusa alle offerte speciali su acquisti natalizi. I nostri cellulari sono letteralmente bombardati di offerte in questo periodo. E i criminali informatici non si lasciano di certo scappare la ghiotta opportunità che ciò rappresenta per i loro loschi affari.
Crescono gli attacchi smishing.
Con il termine smishing si intendono proprio quelle tecniche di attacco informatico che, attraverso l'invio di sms, permettono di carpire dati e informazioni dai dispositivi mobili. Sostanzialmente è il nome degli attacchi di phishing effettuati tramite i sistemi di messaggisitica. Non e-mail fasulle ma sms finti che richiedono dati personali oppure click su link malevoli. Ma non è tutto. I criminali informatici hanno anche iniziato ad utilizzare versioni modificate di applicazioni che una volta scaricate sul telefono della vittima installano un sistema che simula la ricezione di un sms.
La crescita di questo tipo di attacchi è riconducibile alla crescita dell'utilizzo degli smartphone come strumento principale per la connessione e l'utilizzo di internet. Ormai la maggior parte delle connessioni avviene da dispositivi mobili, con conseguente memorizzazione di infomrazioni, dati personali e bancari. Una fonte di guadagno importante per gli hacker che mirano solamente a introiti illeciti. Basta pensare alle vafrie applicazioni legate all'identità digitale o all'home banking, tutte operazioni che il più delle volte vengono gestite tramite cellulare.
Come funziona un attacco smishing.
Alla base di questi attacchi vi sono generalmente delle tecniche di ingegneria sociale che sfruttano le debolezze psicologiche della potenziale vittima per farle compiere un'azione precisa: cliccare su un link, chiamare un numero di telefono, compilare un form. In genere viene offerto un vantaggio immediato a seguito dell'azione che si chiede di compiere. Una delle più classiche azioni di marketing. Ovviamente il vantaggio è solo un'illusione e i dati inseriti vengono raccolti dai criminali informatici i quali cercheranno poi di monetizzarli, vendendoli nel dark web o effettuando direttamente operazioni con i dati delle carte di credito.
Il successo di questi attacchi è dovuto anche, e soprattutto, al fatto che i criminali utlizzano loghi e colori di brand conosciuti, come Poste Italiane, istituti bancari o marchi della grande distribuzione. Ciò rende ovviamente credibile il messaggio, e contribuisce a creare quel clima di fiducia che, sostenuto dalla poca attenzione e dall'attrattiva del premio, si rivela poi fatale. In un periodo dell'anno in cui si moltiplicano gli acquisiti online, i messaggi di smishing, ad esempio, simulano problemi con le consegne o con i pagamenti per far inserire all'ignara vittima i dati della carta di credito.
Non sempre però vengono richiesti dati. In recenti campagne smishing le vittime venivano invitate a scaricare applicazioni gratuite che installavano un malware in grado di rubare le informazioni personali memorizzate sullo smartphone.
Come difendersi dagli attacchi smishing.
La regola d'oro è mantenere sempre alto il livello di attenzione e non sottovalutare i rischi. Diffidare di facili guadagni e premi improbabili evitando di fornire i propri dati se non attraverso i canali ufficiali, senza seguire improbabili link inviati tramite messaggio. Molto spesso si tratta di campagne smishing già note, pertanto prima di cliccare su qualsiasi link o scaricare qualsiasi cosa può essere sufficiente una ricerca su Google per verificare di che cosa si tratta in realtà.
