Sugli smartphone raddoppiano gli attacchi di phishing in mobilità attraverso messaggi SMS, il cosiddetto smishing. La messaggistica mobile sembra arrivare da aziende conosciute come noti rivenditori, celebri marchi di e-commerce e corrieri per la consegna pacchi, ma in realtà si tratta di esche di cyber criminali che bombardano i dispositivi mobili di utenti inconsapevoli per rubare informazioni personali. L’obiettivo del cyber crime è come sempre il ritorno economico.
“Il phishing e lo spear phishing hanno avuto un ultimo anno con un incremento molto significativo. Secondo le statistiche di Google, ad esempio, si registrano oltre 46.000 siti di phishing a settimana, con particolare recrudescenza in Europa”, commenta Gerardo Costabile, CEO di DeepCyber (Gruppo Maggioli).
Indice degli argomenti
L’impennata degli attacchi phishing sotto le festività
“In alcuni periodi dell’anno, più opportunistici come nel caso delle festività o per minore attenzione o stanchezza – come invece avviene nei periodi precedenti alle vacanze”, ci mette in guardia Gerardo Costabile, “gli attaccanti sfruttano le tecniche di ingegneria sociale per compiere frodi o sviluppare un primo accesso abusivo”.
In effetti i ricercatori di Proofpoint hanno rilevato un forte incremento degli attacchi phishing che sfruttano il periodo festivo, quando gli utenti abbassano le difese e i messaggi – fra auguri e consegne – si moltiplicano.
L’azienda di sicurezza ha registrato quasi il doppio dei messaggi rispetto allo stesso periodo dello scorso anno: più di due terzi di tutti gli SMS spediti a livello globale, in qualche modo, si ispirano alla consegna di ordini o a nomi di brand dell’eCommerce e del retail in ambito consumer.
Passati Black Friday e Cyber Monday, ora apre la stagione dello shopping natalizio e i cyber criminali inondano gli utenti mobili di messaggi SMS che promettono offerte speciali, consegne di pacchetti/regali, avvisi di consegna in ritardo.
Cos’è lo smishing
Gli utenti di smartphone, quando ricevono un SMS, non hanno la stessa prudenza che ormai mostrano con i messaggi di posta elettronica, dove sanno che rappresentano comportamenti rischiosi: aprire allegati ricevuti da sconosciuti, cliccare su link discutibili e visitare pagine web con reindirizzamenti multipli.
Secondo Proofpoint, il 69% delle persone a livello globale non conosce o non sa nei dettagli cosa sia lo smishing. Invece, i messaggi di phshing via SMS hanno un tasso di apertura dei messaggi del 98% e un click-through otto volte superiore rispetto alle email: cifre che dimostrano che il malware mobile potrebbe fare un danno enorme.
Le campagne smishing attaccano il 61% delle aziende globali (ma la percentuale sale all’81% fra le aziende statunitensi), sfruttando gli stessi canali di comunicazione, la messaggistica mobile, che le imprese usano per il loro legittimo marketing.
Come avviene l’attacco di phishing
Molti di questi messaggi di phshing via SMS denunciano problemi connessi all’acquisto o alla consegna di un articolo inesistente, da risolvere fornendo informazioni relative alla carta di credito. In altri casi, gli attaccanti cercano di trafugare dati personali attraverso un URL o una landing page accattivante.
Per esempio, nell’attacco smishing “Early Bird Black Friday”, la pagina di destinazione mostrava una notifica autentica del pacco. Ma l’esca della consegna fasulla sfruttava più pagine con cui il sito fake richiedeva informazioni personali alla potenziale vittima, compresi nome, indirizzo postale e di posta elettronica.
Il terreno fertile degli attaccanti
Le aziende abilitano il lavoro da remoto con una vasta gamma di dispositivi, ma le persone comunicano sempre più spesso con lo smartphone personale, uno strumento comodo e rapido, ma spesso fuori del perimetro classico aziendale.
“Il lavoro da remoto e in mobilità è aumentato vertiginosamente negli ultimi due anni”, continua Gerardo Costabile: “Questa nuova modalità ha portato i dipendenti molto più spesso al di fuori del perimetro classico aziendale.
Questo nuovo approccio ha portato ad un abbassamento delle difese comportamentali classiche, spesso perché si è in luoghi più familiari e informali. Sono proprio queste situazioni il terreno fertile degli attaccanti”.
I consigli per difendersi dallo smishing
I consigli per proteggersi sono: stare sempre all’erta, avere maggiore consapevolezza dei rischi, ma soprattutto aggiornarsi continuamente, per evitare di cadere nei tranelli del cyber crime. “Il fattore umano resta un terreno scivoloso per molte organizzazioni, specialmente quando gli investimenti sono orientati quasi esclusivamente alle tecnologie di sicurezza”, conclude Costabile: “Le persone e i loro comportamenti sono fondamentali per la cyber security e la formazione, specialmente con le migliori tecniche più moderne di gamification o cyber range, è un processo continuativo che non può limitarsi ad appuntamenti occasionali”.
I consumatori ripongono eccessiva fiducia nei dispositivi mobile. Invece gli attacchi SMS stanno registrando una crescita esponenziale a livello mondiale. A trainare l’aumento del phishing via SMS è la mancanza di consapevolezza.
Le minacce invece arrivano anche via SMS, in quanto ai cyber criminali interessa solo sfruttare canali di comunicazione maturi e sempre nuovi, per cogliere impreparati gli utenti inconsapevoli e sferrare l’attacco.
Gli utenti mobile devono prestare attenzione ai messaggi di testono che ricevono sul telefonino e diventare più scettici nei confronti di premi, prezzi e offerte inattesi o non richiesti per le vacanze.
Proofpoint consiglia di seguire le seguenti buone pratiche:
- diffidare dei messaggi di testo sospetti, dal momento che la messaggistica mobile e gli SMS sono un vettore di attacco in aumento;
- non fornire il proprio numero di cellulare a ogni azienda o altra entità commerciale, se non è necessario;
- quando si riceve un messaggio (come avvisi o notifiche di consegna di un pacco oppure codici di offerte) non aprire il link, ma verificare l’attendibilità del messaggio, usando il browser del dispositivo per accedere direttamente al sito del mittente reale, o aprire l’app del brand, se già installata;
- segnalare gli SMS sospetti come phishing (smishing) e spam;
- quando si effettua il download e l’installazione di nuovi software sul dispositivo mobile, leggere con attenzione le istruzioni: in particolare le informazioni su diritti e privilegi richiesti dall’app;
- mai rispondere a messaggi aziendale o commerciali non richiesti, ricevuti da fornitori o aziende che non si conoscono, per non confermare di essere persone reali;
- mai installare software sui dispositivi mobile provenienti da fonti differenti dal marketplace ufficiale dal fornitore o dall’operatore di rete mobile.