La parola è una crasi di SMS (messaggio) e PHISHING (truffa). Il phishing è una truffa che si basa sull'invio di e-mail fraudolente che cercano di ingannare il destinatario inducendolo a far aprire un allegato pieno di malware o a aprire un link dannoso. SMS è il canale attraverso cui viaggia la frode, un messaggio SMS al posto di una e-mail.
Il senso della vita
Il target dello smishing è lo smartphone, il contesto è l'uso diffuso di SMS che molti poprietari di dispositivi mobili fanno (alcune indagini di mercato indicano in 2000+ gli SMS al mese inviati da persone tra i 10-24 anni - 70 al giorno), le motivazioni che stanno alla base è la quasi totale vulnerabilità determinata dalla scarsa consapevolezza che un SMS possa essere veicolo di virus o malware e la rapidità e facilità con la quale si reagisce a una notifica su uno smartphone. Reazione quasi immediata che non passa attraverso alcune riflessione critica utile alla consapevolezza che aiuta a comprendere e evitare il rischio.
Lo smishing testimonia un cambiamento profondo avvenuto nel mercato tecnologico che si riflette anche nelle scelte e nelle pratiche dei cybercriminali. Il cambiamento è la sostituzione, nella pratica degli utenti, del personal computer con lo smartphone, diventato ormai per molte persone il vero strumento di personal computing.
Il terget più vulnerabile, negli ecosistemi Mobile, continua a essere quello Android ma lo smishing non fa differenze di sistemi operativi, ecosistemi o dispositivi. A richio sono anche gli utilizzatori di dispositivi Apple, più vulnerabili perchè convinti di essere superprotetti e sicuri.
L'obiettivo della pratica dello smishing è il furto di credenziali di accesso per poter accedere a conti correnti, personali ma anche aziendali, o altre risorse finanziarie per depredarle. Due sono i metodi usati: ingannano l'utente portandolo a scaricare malware sul dispositivo che poi, anche in forma di App, si attivano per inviare le informazioni rubate ai cybercriminali; invitano l'utente a visitare siti web fasulli con la richiesta di inserire, spesso con la scusa di modifiche o aggiornamenti, le credenziali di accesso.
La diffusione delle pratiche di BYOD (Bring Your Own Device) mette a rischio anche le aziende.
La prima protezione è non cadere in inganno, quindi non fare nulla...
La protezione poi passa attraverso l'adozione di alcune buone pratiche:
- Guardare sempre con sospetto la ricezione di messaggi urgenti associati alla sicurezza dei propri account online, di offerte commerciali strabilianti o promesse d'affari
- Ricordarsi sempre che nessuna banca o istituto finanziario manderà mai un SMS con la richiesta di provvedere a modifiche delle credenziali
- Mai cliccare un link o un numero di telefono presenti in un messaggio di cui non si è sicuri.
- Prestare attenzione ai numeri sospetti che non sembrano numeri di telefono reali, come ad esempio “5000”.
- Non conservare i propri dati bancari o della carta di credito sullo smartphone.
- Denunciare tutti gli attacchi di smishing subiti alla FCC , Commissione federale americana per le comunicazioni, per cercare di proteggere gli altri utenti.
