Smishing e vishing sono tipi di attacchi di phishing che cercano di attirare le vittime tramite SMS e chiamate vocali. Entrambi si basano sugli stessi appelli emotivi impiegati nelle truffe di phishing tradizionali e sono progettati per spingerti ad agire con urgenza. La differenza è il metodo di consegna.
“I ladri informatici possono applicare tecniche di manipolazione a molte forme di comunicazione perché i principi di base rimangono costanti”, spiega il leader della consapevolezza della sicurezza Stu Sjouwerman, CEO di KnowBe4. “Attirare le vittime con l’esca e poi catturarle con gli ami.”
Che cos’è lo smishing?
Definizione di smishing: Smishing (SMS phishing) è un tipo di attacco di phishing condotto utilizzando SMS (Short Message Services) sui telefoni cellulari.
Proprio come le truffe di email phishing, i messaggi di smishing includono tipicamente una minaccia o un invito a cliccare su un link o chiamare un numero e consegnare informazioni sensibili. A volte potrebbero suggerire di installare un software di sicurezza, che si rivela essere un malware.
Esempio di smishing: Un tipico messaggio di smishing potrebbe dire qualcosa del tipo: “Il tuo conto ABC Bank è stato sospeso. Per sbloccare il tuo conto, tocca qui: https://bit.ly/2LPLdaU” e il link fornito scaricherà un malware sul tuo telefono. I truffatori sono anche abili ad adattarsi al mezzo che stanno usando, quindi potresti ricevere un messaggio di testo che dice: “Questa è davvero una tua foto? https://bit.ly/2LPLdaU” e se tocchi quel link per scoprirlo, ancora una volta stai scaricando malware.
Che cos’è il vishing?
Definizione di vishing: Vishing (voice phishing) è un tipo di attacco di phishing che viene condotto per telefono e spesso prende di mira gli utenti di servizi Voice over IP (VoIP) come Skype.
È facile per i truffatori falsificare l’ID del chiamante, in modo che possano sembrare chiamare da un prefisso locale o anche da un’organizzazione che conosci. Se non rispondi, allora lasceranno un messaggio vocale chiedendoti di richiamare. A volte questo tipo di truffe utilizza un servizio di segreteria telefonica o anche un call center che non è a conoscenza del crimine che viene perpetrato.
Ancora una volta, lo scopo è quello di ottenere i dettagli della carta di credito, le date di nascita, l’accesso all’account, o a volte solo per raccogliere numeri di telefono dai tuoi contatti. Se rispondi e richiami, potrebbe esserci un messaggio automatico che ti chiede di consegnare i dati e molte persone non faranno domande, perché ormai accettano i sistemi telefonici automatici come parte della vita quotidiana.
Come prevenire lo smishing e il vishing
Siamo un po’ più in guardia con le e-mail al giorno d’oggi perché siamo abituati a ricevere spam e le truffe sono comuni, ma i messaggi di testo e le chiamate possono ancora sembrare più legittime a molte persone. Dato che facciamo sempre più shopping, operazioni bancarie e altre attività online attraverso i nostri telefoni, le opportunità per i truffatori proliferano. Per evitare di diventare una vittima bisogna fermarsi e pensare.
“Il buon senso è una pratica migliore generale e dovrebbe essere la prima linea di difesa di un individuo contro le frodi online o telefoniche”, dice Sjouwerman.
Anche se il consiglio su come evitare di essere agganciati dalle truffe di phishing è stato scritto pensando alle truffe via e-mail, si applica a queste nuove forme di phishing altrettanto bene. Alla base, non fidarsi di nessuno è un buon punto di partenza. Non toccare o cliccare mai i link nei messaggi, cerca numeri e indirizzi di siti web e inseriscili da solo. Non dare nessuna informazione a un chiamante a meno che tu non sia sicuro che sia legittimo – puoi sempre richiamarlo.
È meglio essere sicuri che dispiaciuti, quindi sbagliare sempre sul lato della prudenza. Nessuna organizzazione ti rimprovererà se riattacchi e poi li chiami direttamente (dopo aver controllato tu stesso il numero) per assicurarti che siano davvero chi dicono di essere.
Aggiorna la tua formazione sulla consapevolezza
Mentre stare in guardia è un buon consiglio per gli individui nella vita quotidiana, la realtà è che le persone sul posto di lavoro sono spesso disattente. Possono essere distratti, sotto pressione, e desiderosi di andare avanti con il loro lavoro e le truffe possono essere diabolicamente intelligenti. E se l’SMS sembra provenire dall’amministratore delegato, o la chiamata sembra provenire da qualcuno delle risorse umane? Potete rafforzare i vostri dipendenti e aumentare le vostre difese con il giusto addestramento e politiche chiare.
Ogni azienda dovrebbe avere un qualche tipo di programma di formazione obbligatorio e regolare sulla consapevolezza della sicurezza. Può includere le migliori pratiche per la sicurezza generale, ma anche definire le politiche, come ad esempio chi contattare in caso di qualcosa di sospetto, o le regole su come saranno gestite alcune comunicazioni sensibili, che rendono i tentativi di inganno molto più facili da individuare.
Se si subisce una qualsiasi forma di attacco di phishing, apportare modifiche per garantire che non accada più – dovrebbe anche informare la vostra formazione sulla sicurezza.
La maggior parte degli attacchi di smishing e vishing non vengono segnalati e questo gioca nelle mani dei cybercriminali. Mentre si può essere abbastanza intelligenti da ignorare l’ultimo SMS o chiamata sospetta, forse Marge della contabilità o Dave delle risorse umane cadranno vittime. Se si dispone di un sistema in atto per le persone di segnalare questi tentativi di attacco, e forse anche una piccola ricompensa per farlo, allora si presenta l’opportunità di mettere in guardia gli altri.
Come il phishing continua ad evolversi e a trovare nuovi vettori di attacco, dobbiamo essere vigili e aggiornare continuamente le nostre strategie per combatterlo.