Lo Smishing è una tecnica subdola utilizzata per estorcere informazioni personali e molto simile ad altre, come il phishing e il vishing, ma si differenzia dall’uso degli sms come piattaforma di attacco.
Smishing sms
Gli sms sono uno strumento di comunicazione che oramai sta andando in disuso nella massa, ma viene ancora utilizzato per alcune realtà commerciali che li necessitano, come ad esempio le banche, i servizi finanziari e per avere la certezza che venga recapitato al destinatario perchè non utilizza Internet per la consegna.
Quindi ad oggi anche se non li utilizzi, il tuo smartphone è capace di riceverli ed inviarli e questo ti mette nella condizione di diventare una inconsapevole vittima di Smishing.
Smishing significato
Smishing prende il nome dal termine Phishing, gli attacchi simili ma inviati tramite email che “pescano” le tue azioni su Internet, come l’apertura di un sito, di un file inviato o la richiesta di determinate operazioni, come un login su app o siti falsi.
Nello Smishing viene inviato un rassicurante sms direttamente sul tuo smartphone, che ti avvisa che è successo qualche cosa che richiede la tua attenzione, come un messaggio in segreteria, un tentativo di login fallito o un pacco in giacenza per te, portandoti a fare quello che vogliono.
Cosa ottengono con lo Smishing?
Quello che un maleintenzionato ottiene attraverso questo tipo di attacco, può essere:
- Dati sensibili: ti viene chiesto di compilare un form con i tuoi dati personali
- Dati di Login: ti viene mostrata una pagina di login ad un servizio popolare, per estorcere i tuoi dati accesso
- Pagamenti: grazie al link che viene mandato nell’sms, è possibile anche chiederti denaro tramite carta di credito, paypal o bitcoin
Purtroppo no nesiste alcun tipo di sistema per arginare e bloccare questo tipo di attacco, perchè si basa sulla disattenzione di un momento della vittima che, trattandosi di un messaggio su dispositivo mobile, può anche essere poco attenta, come per strada o ad una conferenza, facendo l’errore di cliccare sul link e farsi trascinare dall’emozione del messaggio in quel momento.
Tipi di Smishing
Lo smishing è una pratica che si applica a differenti forme di comunicazione, anche se la più comune è quella tramite sms perchè meno controllata e protetta. Esiste anche smishing whatsapp, ma risulta più difficile da attuare proprio perchè il mittente del messaggio deve essere già nella nostra rubrica personale e quindi tendenzialmente, una persona che conosciamo già.
Ma è nella composizione del messaggio che avviene “la magia”, grazie all’uso di una serie di servizi che già tutti conosciamo e per cui siamo quindi potenzialmente vulnerabili, perchè ricorda che chi invia, lo fa a centinaia di migliaia di persone alla volta, con la speranza di pescare (da cui il nome phishing) nel mucchio.
Alcuni tipi di Smishing possono essere:
- Messaggio in segreteria: un sms che ti dice di chiamare un certo numero e ascoltare un messaggio importante che ti hanno lasciato nella tua segreteria telefonica, ma il numero da contattare è in realtà un link che ti porta su un sito dove lasciare i tuoi dati.
- Facebook bloccato: ti viene comunicato che hai l’account Business Manager di facebook bloccato, e per riattivarlo e avere le campagne di Facebook ads funzionanti (così da non avere blocchi nel tuo business online), l’sms ti invita a cliccare sul link che ti viene mandato
- Installazione di un’ App: in testo dell’sms ti avvisa che il tuo smartphone è stato ad esempio infettato da un virus e per eliminarlo, devi installare una certa app ma in realtà, il virus è contenuto proprio dentro all’app e una volta installata il maletintenzionato avrà accesso a tutte le informazioni contenute nello smartphone.
- Pacco bloccato: sms che funziona meglio durante le feste di Natale, proprio perchè esiste più probabilità che si stia aspettando un pacco vero, quindi una comunicazione che ti dice di avere un pacco fermo in dogana e che bisogna pagare una piccola somma di denaro per lo sblocco, ha un altissima probabilità di successo. (questa ad esempio ha funzionato bene con mia suocera che ha pagato 5€)
- Verifica dati Posteinfo: cercando di colpire chi è tendenzialmente più anziano e quindi vulnerabile, l’sms invita all’azione dicendo che c’è qualche cosa che non va nel conto corrente, agevolando un link che porterà ad un sito web clonato dal sito di Poste Italiane, ma che servirà solo per estorcere i dati di login al conto corrente
Come capisci dal tono dei messaggi, hanno sempre una sorta di senso d’urgenza, premendo sul nostro senso di emergenza nel risolvere velocemente la cosa che ci viene comunicata.
Perchè l’ Smishing è pericoloso per il business
Il problema alla base che rende lo Smishing pericoloso per il tuo business, è che chi invia l’sms parla a nome della tua azienda: un sms che si spaccia per Facebook, sta creando un danno di immagine e di percezione verso la vittima che crederà che la piattaforma sia poco sicura.
Lo stesso vale per i messaggi dei pacchi fermi in dogana: chi è poco avezzo a questo genere di servizi, legherà mentalmente il pagamento per lo sblocco, allo spedizioniere, anche se in relatà non ha nulla a che fare e non è assolutamente legato ad esso.
Ma non solo, fai attenzione.
Questo genere di attività fraudolente è pericoloso anche per i dati di accesso verso i servizi business della tua azienda: prova a pensare se sbadatamente tu lasciassi i dati di login di Facebook, sai cosa accadrebbe? Che gli Hacker avrebbero accesso senza problemi alla tua pagina aziendale e quindi in maniera diretta ai tuoi fan, potrebbero scrivergli direttamente messaggi fraudolenti a nome tuo con altrettanti link per estorcere altre informazioni, pubblicare post che invitano a cliccarci sopra verso un loro sto appositamente creato per recuperare dati personali e login.
Fai quindi molta attenzione a cosa clicchi e dove lasci i tuoi dati, perchè i danni si possono tranquillamente spostare al tuo Business reale e tutto quello che ne compete, come la Brand reputation e i KPI delle tue strategie digitali.