Le frodi telefoniche sono largamente cresciute dal periodo pandemico in poi e un recente report di Proofpoint ha messo in luce gli impatti che stanno avendo tra i consumatori. Impatti che aumentano all’avvicinarsi delle festività di Natale, durante le quali i consumatori incrementano le proprie attività di shopping online legate ai regali o alle prenotazioni di viaggi e vacanze.
In particolare, aumentano gli attacchi di tipo smishing (phishing via SMS) che sfruttano i provider di messaggistica mobile per nascondere truffe di ogni genere. Gli SMS, infatti, offrono alle aziende un modo scalabile per inviare messaggi mobili, con numerosi usi legittimi. Pensiamo al settore viaggi e hospitality: aggiornamenti dei voli, conferme di prenotazioni di treni, hotel e ristoranti, tutto ricevuto sul cellulare via SMS per i quali è difficile verificarne l’attendibilità, soprattutto da parte di utenti poco esperti e dunque maggiormente esposti a questa tipologia di frode.
L’ultima esca è quella dell’SMS che informa l’ignara vittima che il suo volo aereo è stato annullato per non meglio specificati motivi.
Indice degli argomenti
“Il tuo volo è stato annullato”, è solo un SMS di smishing
I criminali, come sappiamo, sfruttano ogni occasione per cogliere di sorpresa la vittima. Il periodo natalizio e le festività sono sicuramente una di queste occasioni da sfruttare.
Quello che si evince dal report è l’incremento di utilizzo, da parte degli attori malevoli, dei servizi offerti dalle piattaforme mobili. SMS ben congegnati, come anche messaggi inviati via WhatsApp o Messenger (di Meta), producono un “ROI” (Return of Investment, ritorno di investimento) decisamente più alto rispetto all’ormai classica e-mail.
I tassi di clic sugli URL nella messaggistica mobile sono fino a otto volte superiori a quelli delle e-mail e questa reattività permane anche nei mercati in cui servizi come WhatsApp e Messenger hanno sostituito gli SMS.
Per questo motivo, i tentativi di smishing sono più che raddoppiati negli Stati Uniti nel corso dell’anno, mentre nel Regno Unito oltre il 50% delle esche era incentrato sulle notifiche di consegna.
Complessivamente, sono stati lanciati più di 100.000 attacchi telefonici al giorno.
È la vittima a mettersi in contatto con i criminali
Anche le tattiche sono cambiate e i ricercatori notano inversioni di tendenza sempre nuove. Il trend ora sembra essere, appunto, sempre di più quello di indurre la vittima a mettersi in contatto con il gruppo criminale, convinta proprio tramite il messaggio di smishing nel quale viene invitata a risolvere il problema telefonicamente.
L’attore malevolo a questo punto, ricevendo la telefonata apparirà come un falso call center dell’azienda che viene sfruttata come esca, intavolando così una discussione atta a “risolvere un problema” che la vittima crede di avere.
In questo modo, il cyber criminale chiede e riesce a farsi consegnare informazioni talvolta strettamente riservate, come password e dati di accesso di ogni tipo. La motivazione è sempre quella di risolvere il problema.
Va detto che la vittima, sempre più abituata a un mondo interconnesso e veloce, non si sofferma quasi più a valutare l’entità di quello che viene proposto come problema, ed esegue senza verifica quanto richiesto nel messaggio.
È bene ricordare, invece, che rimane assolutamente doveroso, anche davanti agli scenari più catastrofici (voli cancellati, account bancari bloccati e carte di credito ipoteticamente frodate), verificare sempre manualmente la veridicità del problema, prima di compiere qualsiasi azione suggerita.
Una verifica manuale può consistere, per esempio, nel chiudere il messaggio ricevuto e autenticarsi di nostro pugno nell’app di viaggi o della banca utilizzate abitualmente, per leggere le comunicazioni o le notifiche, eventualmente presenti. Una compagnia (qualsiasi sia il settore) non si limiterà, infatti, a inviarci un SMS per un problema così invalidante: qualora dovesse accadere un imprevisto, sicuramente troveremo una notifica anche nell’app e da lì potremmo partire con il nostro controllo.
Inoltre, sarebbe utile anche mettersi in contatto con l’azienda, ma sempre da recapiti a noi precedentemente noti, non utilizzando quelli contenuti nel messaggio SMS ricevuto.
L’organizzazione criminale dietro la truffa del volo annullato
I call center malevoli sono progettati come aziende legittime. I proprietari firmano contratti di locazione su edifici spacciandosi per venditori di telemarketing o altre attività telefoniche e reclutano persone in cerca di lavoro locali per supportare l’operazione.
Spesso sorgono in regioni geografiche con scarsità di offerta di lavoro e livelli di disoccupazione elevati. L’indagine suggerita da ProofPoint, nello specifico, ha localizzato il core dell’organizzazione in India, principalmente su tre città: Calcutta, Mumbai e Nuova Delhi.
Cosa si può fare per mitigare il rischio
Come abbiamo visto, gli utenti possono (e devono) guardare con sospetto qualsiasi comunicazione non attesa eventualmente ricevuta. Dal canto loro, però, anche le organizzazioni che forniscono servizi di telefonia mobile possono implementare verifiche e mitigazioni al fine di ridurre l’esposizione degli utenti.
“Se i fornitori di messaggistica non abbassassero le barriere all’ingresso, i malintenzionati dovrebbero fare un investimento finanziario più serio per accedere alle reti mobili”, aggiungono i ricercatori Proofpoint. “Lo smishing è un problema complesso, i messaggi dannosi sono spesso indistinguibili da aggiornamenti e notifiche legittime, ma risolverlo è fondamentale per mantenere elevata la fiducia nella telefonia mobile”.
Gli operatori di rete mobile filtrano già i messaggi per proteggere gli utenti dagli SMS pericolosi e queste stesse tecnologie possono essere installate dai fornitori di messaggistica per rilevare lo smishing prima ancora che i messaggi vengano trasmessi, permettendo anche una riduzione dei costi legati al pagamento di ogni messaggio immesso in rete.
Inoltre, aspetto fondamentale, contribuirebbe a mantenere l’integrità delle comunicazioni mobili da cui queste aziende e molte altre dipendono.
Infine, la ricerca evidenzia un elenco di aziende maggiormente coinvolte in azioni fraudolente di questo genere, da cui si evince anche la popolarità che i criminali sfruttano per fare presa sulle vittime. Compaiono, per esempio Ebay, Amazon, PayPal, Symantec, McAfee e Santander. Tutti brand utilizzati per falsificare il supporto tecnico ed estorcere importanti informazioni ai clienti.
