Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

LA GUIDA

Smishing: cos’è e come funziona il phishing che usa gli SMS come esca

A differenza delle campagne di spam via e-mail, lo smishing usa i messaggi di testo sui telefonini per attirare le vittime nella trappola ed estorcere informazioni personali, numeri di carte di credito a altri dati riservati. Ecco come riconoscere un SMS malevolo e come difendersi

04 Dic 2018

Paolo Tarsitano


Si chiama smishing (acronimo di SMS phishing) la variante di un attacco phishing che utilizza i messaggi SMS per attirare in trappola la malcapitata vittima. Così come le campagne di phishing prevedono l’invio massiccio di e-mail esca, con lo smishing vengono inviati messaggi di testo con un tono urgente per richiedere informazioni riservate all’utente.

Nelle ultime varianti di smishing, inoltre, i criminal hacker hanno scoperto il modo di usare versioni modificate di normali applicazioni scaricabili dai vari app store per installare sullo smartphone della vittima un software malevolo in grado di simulare la ricezione di un messaggio SMS. In particolare, su Android viene sfruttata una vulnerabilità conosciuta con il nome di “write-sms” che comunque è stata corretta con gli ultimi rilasci del sistema operativo mobile di Google.

Lo smishing è una particolare tipologia di attacco informatico già nota ai ricercatori di sicurezza, ma ultimamente se ne torna a parlare per via di numerose nuove campagne di infezione segnalate un po’ in tutto il mondo.

Probabilmente, la sempre maggiore diffusione degli smartphone ha spinto i criminal hacker a individuarli come possibili target dei loro attacchi, anche in considerazione del fatto che i dispositivi mobile vengono usati sempre più spesso per memorizzare e gestire una gran quantità di dati personali sensibili e riservati, numeri di carte di credito e conti corrente, codici di accesso all’home banking e via dicendo; ma anche preziosi dati aziendali che rappresentano asset produttivi dal valore inestimabile.

Smishing: cos’è e come funziona l’attacco

Solitamente, i messaggi di smishing sfruttano sofisticate metodologie di social engineering capaci di attivare particolari meccanismi psicologici per chiedere alla vittima di chiamare un numero di telefono oppure di collegarsi ad un sito Web per intraprendere un’azione urgente che le consentirebbe di ottenere un vantaggio immediato o un beneficio personale.

Ovviamente, dall’altro lato del telefono c’è soltanto un risponditore automatico che invita l’utente a fornire informazioni private come la password di accesso al banking on-line o il numero della carta di credito. Analogamente, collegandosi al link indicato nell’SMS malevolo, la vittima si troverebbe di fronte ad un sito Web che richiama in tutto e per tutto la grafica di famosi portali commerciali, di operatori telefonici o di istituti di credito o assicurativi e contenente un form on-line da compilare il cui scopo è, ancora una volta, soltanto quello di carpire quante più informazioni personali possibili.

I primi casi di campagne virali di tipo smishing risalgono al 9 marzo del 2012 e furono denunciati dall’azienda tedesca REWE Group che opera nei settori della grande distribuzione e del turismo: in particolare, i responsabili dell’azienda denunciarono la truffa compiuta mediante finte carte regalo del valore di 1.000 dollari.

Allarme smishing anche in Italia

Una delle campagne di smishing più massicce che hanno interessato il nostro Paese è stata segnalata dal CERT di Poste Italiane ed è riconducibile ad un gruppo di anonimi truffatori che hanno inondato i telefonini e gli smartphone di migliaia di nostri connazionali con dei messaggi SMS apparentemente inviati da Poste Italiane che invitano ad effettuare una ricarica telefonica on-line per ricevere del credito telefonico in omaggio. Il testo del messaggio è scritto in italiano corretto:

Poste Italiane ti regala 100 euro di credito + 10GB Internet se effettui una ricarica di almeno 20 euro sul sito: [URL di sito contraffatto] offerta valida 24 ore

e potrebbe trarre facilmente in inganno anche l’utente più attento se non fosse per la URL del sito a cui collegarsi che, ovviamente, non ha nulla a che fare con quello di Poste Italiane.

Un’analoga campagna di smishing invita invece le vittime a scaricare da Internet una non meglio precisata cartella esattoriale:

PosteNotifica! La informiamo di Cartella Esattoriale numero: J488/2016, La preghiamo di scaricare la raccomandata nella sezione sito [URL di sito contraffatto]

In questo caso, l’italiano maccheronico può far scattare il campanello di allarme segnalando la truffa in corso.

La particolarità di entrambi i tentativi di smishing è che sia il numero di cellulare sia il mittente variano continuamente, rendendo più difficile individuare l’origine dell’attacco.

Android/TimpDoor: lo smishing che installa backdoor nei telefonini

Il team McAfee Mobile Research ha invece scoperto una nuova campagna di smishing che induce gli utenti a scaricare applicazioni di messaggistica vocale fasulle denominate Android/TimpDoor. La catena infettiva di questa nuova minaccia è abbastanza raffinata. Innanzitutto la vittima riceve un SMS contenente il link per il download dell’app. Dopo averci cliccato sopra, la vittima viene reindirizzata verso una pagina Web creata ad hoc dai criminal hacker. Una volta che l’applicazione è stata scaricata, il malware inizia a rubare le informazioni archiviate nello smartphone tra cui l’ID del dispositivo, la marca, il modello, la versione del sistema operativo, l’operatore di rete mobile, il tipo di connessione e l’indirizzo IP.

Di fatto, TimpDoor installa una backdoor nel dispositivo che consente ai criminali di accedere alle reti domestiche degli utenti.

Dal mese di marzo ad oggi, queste false app hanno già compromesso i dispositivi di oltre 5.000 utenti negli Stati Uniti e la loro diffusione si sta estendendo a macchia d’olio un po’ in tutti i continenti.

Smishing e vishing: due pericolose varianti del phishing

In maniera analoga allo smishing funziona anche la variante di phishing conosciuta con il nome di vishing (acronimo di voice phishing). In questo caso si tratta di una truffa con tanto di finto operatore che chiama al telefono le possibili vittime dell’attacco.

In particolare, il vishing si verifica quando un truffatore crea un sistema vocale automatizzato (utilizzando ad esempio un sistema VoIP) spacciandolo per il call center di una banca o di un istituto di credito per effettuare chiamate vocali verso utenti telefonici e chiedere loro informazioni private. L’intento è lo stesso del phishing via email o dello smishing: la chiamata vocale crea un senso di urgenza per l’utente che per questo motivo fornisce tutte le informazioni richieste. Inoltre, nel caso del vishing, i criminal hacker sfruttano il fatto che le potenziali vittime tendono a riporre maggiore fiducia in una persona, per quanto finta, autorizzata a richiedere informazioni riservate.

I consigli per difendersi dallo smishing, anche in azienda

Da quanto abbiamo visto finora, è chiaro che molte delle tecniche di difesa valide per rendere innocuo un attacco di tipo phishing valgono anche nel caso dello smishing (e di conseguenza del vishing).

Innanzitutto, è opportuno osservare che i messaggi malevoli provengono di solito da numeri di telefono in un formato strano o inaspettato. Chiaramente, in questi casi, non bisogna affrettarsi a ricomporre il numero indicato nell’SMS nella speranza di qualche piccola vincita o di qualche non meglio specificato beneficio.

Qualora per sbaglio o per disattenzione si dovesse effettuare la telefonata al numero indicato, ricordiamoci di non fornire mai alcuna informazione al sistema vocale automatico e men che meno i dettagli dei nostri account di accesso all’home banking: nessuna banca ci chiederà mai simili informazioni per telefono.

Ovviamente, per gli stessi motivi appena visti, non bisogna mai cliccare sul link indicato nel messaggio. In questo caso, non ha nulla da temere chi non ha una connessione a Internet attiva sul proprio smartphone. Così come non bisogna mai aprire allegati a messaggi provenienti da mittenti sconosciuti: la stessa regola che vale anche per le e-mail di phishing.

Inoltre, per difendersi da attacchi di smishing più sofisticati portati avanti mediante app fasulle di tipo TimpDoor, è utile seguire alcuni semplici consigli:

  • non installare app che provengono da mittenti sconosciuti. Nel caso in cui si riceva un SMS con la richiesta di scaricare qualcosa sul telefono cliccando su un link, accertarsi di aver fatto una serie di verifiche: cercare il nome dello sviluppatore dell’applicazione, il nome del prodotto, le statistiche di download e le recensioni dell’applicazione. Cercare l’eventuale presenza di errori grammaticali e di battitura nella descrizione. La loro presenza infatti, è solitamente un segnale che l’applicazione è falsa;
  • fare attenzione a ciò su cui si fa clic: all’interno di un SMS assicurarsi di cliccare solo sui link che provengono da una fonte attendibile. Se non si è in grado di riconoscere il mittente o se il contenuto degli SMS non sembra familiare, prestare molta attenzione ed evitare qualsiasi tipo di interazione con il messaggio;
  • attivare sul proprio dispositivo mobile la funzione che blocca i testi provenienti da Internet. Molti spammer inviano testi da un servizio Internet nel tentativo di nascondere la propria identità. L’attivazione di questa funzione permette di bloccare i testi inviati da Internet;
  • utilizzare un software di sicurezza per i dispositivi mobile. Assicurarsi che i dispositivi mobili siano protetti da TimpDoor o da qualsiasi altra minaccia in arrivo. Per fare ciò, possiamo installare una soluzione pensata ad hoc per la sicurezza dei dispositivi mobile, tra le tante certificate disponibili sugli store on-line.

Nel caso di telefoni o smartphone utilizzati in azienda per lo smart working è opportuno, invece, adottare policy di sicurezza che prevedano l’adozione di soluzioni di Mobile Device Management. In questo modo, i responsabili IT dell’azienda possono gestire e controllare da remoto i singoli dispositivi evitando, ad esempio, che il dipendente installi applicazioni malevoli o comunque modificate che quindi non rispettino le politiche aziendali. Inoltre, le soluzioni MDM più evolute offrono anche la possibilità di creare sui dispositivi dei veri e propri contenitori virtuali criptati in cui archiviare i dati aziendali separandoli da quelli personali del dipendente.

Infine, non dimentichiamolo mai, è fondamentale formare e informare i dipendenti per creare quella necessaria security awareness che dia loro tutti gli strumenti per riconoscere eventuali minacce informatiche e rimanerne così alla larga.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5