In questo periodo, prossimo alle festività, sono raddoppiati i messaggi di phishing in modalità SMS, il cosiddetto smishing. I messaggi sembrano arrivare da aziende conosciute, come marchi e-commerce e corrieri, ma in realtà si tratta di esche di cyber criminali che cercano di rubare informazioni personali degli utenti. L’obiettivo degli hacker è quello di avere un ritorno economico.
Il CEO di DeepCyber, Gerardo Costabile, ha messo in guardia gli utenti: “In alcuni periodi dell’anno, più opportunistici come nel caso delle festività o per minore attenzione o stanchezza, come invece avviene nei periodi precedenti alle vacanze, gli attaccanti sfruttano le tecniche di ingegneria sociale per compiere frodi o sviluppare un primo accesso abusivo”. Infatti, come hanno rilevato i ricercatori di Proofpoint, c’è stato un forte incremento degli attacchi di phishing che sfruttano il periodo festivo, quando gli utenti abbassano le difese e i messaggi si moltiplicano.
Inoltre, gli utenti di smartphone, nell’aprire un SMS non hanno la stessa prudenza che mostrano nei confronti dei messaggi di posta elettronica. Per questo motivo i messaggi di phishing via SMS hanno un tasso di apertura dei messaggi del 98%. Le campagne smishing attaccano il 61% delle aziende globali, sfruttando gli stessi canali di comunicazione, la messaggistica mobile, che le imprese usano per il loro legittimo marketing.
Molti di questi messaggi di phshing via SMS denunciano problemi connessi all’acquisto o alla consegna di un articolo inesistente, da risolvere fornendo informazioni relative alla carta di credito. In altri casi, gli attaccanti cercano di trafugare dati personali attraverso un URL o una landing page accattivante.
Uno dei consigli per proteggersi dallo smishing è quello di stare sempre all’erta: i consumatori ripongono un’eccessiva fiducia nei dispositivi mobile. Gli utenti mobile dunque dovrebbero prestare attenzione ai messaggi di testo che ricevono sul telefonino e diventare più scettici nei confronti di premi, prezzi e offerte inattesi o non richiesti per le vacanze. Proofpoint consiglia inoltre di seguire le seguenti pratiche:
- diffidare dei messaggi di testo sospetti, dal momento che la messaggistica mobile e gli SMS sono un vettore di attacco in aumento;
- non fornire il proprio numero di cellulare a ogni azienda o altra entità commerciale, se non è necessario;
- quando si riceve un messaggio (come avvisi o notifiche di consegna di un pacco oppure codici di offerte) non aprire il link, ma verificare l’attendibilità del messaggio, usando il browser del dispositivo per accedere direttamente al sito del mittente reale, o aprire l’app del brand, se già installata;
- segnalare gli SMS sospetti come phishing (smishing) e spam;
- quando si effettua il download e l’installazione di nuovi software sul dispositivo mobile, leggere con attenzione le istruzioni: in particolare le informazioni su diritti e privilegi richiesti dall’app;
- mai rispondere a messaggi aziendale o commerciali non richiesti, ricevuti da fornitori o aziende che non si conoscono, per non confermare di essere persone reali;
- mai installare software sui dispositivi mobile provenienti da fonti differenti dal marketplace ufficiale dal fornitore o dall’operatore di rete mobile.