Con il termine smishing si indica la sempre più diffusa forma di phishing che utilizza come vettore d’attacco l’SMS, da cui deriva appunto il nome SMiShing, che ha lo scopo di ottenere dati e informazioni personali della vittima.
La rapida diffusione di questa minaccia è dovuta al fatto che l’SMS è considerato uno strumento autorevole ed è per questo motivo un vettore meno sospetto rispetto all’email, anche perché viene comunemente utilizzato da banche e istituzioni per comunicazioni importanti, per l’autenticazione multifattore o per il più attuale invio di documenti sanitari. Inoltre, essendo solo un breve testo e non essendo quindi presenti elementi grafici, non ci sono abbastanza dettagli per riconoscere un messaggio contraffatto.
Nel 2020 questo fenomeno è aumentato del 300% rispetto all’anno precedente, questa crescita è data soprattutto dal fatto che il 69% degli utenti che utilizza dispositivi mobili non conosce ancora l’esistenza di questa minaccia; inoltre, il 90% degli sms inviati viene aperto entro 3 minuti dalla ricezione con conseguente click sull’eventuale link presente, con un click-through rate (percentuale di clic) 8 volte maggiore rispetto a quello delle email.
Gli SMS ricevuti si presentano come comunicazioni di istituzioni come, per esempio, banche o poste che informano di un’anomalia sul conto, messaggi di corrieri in merito a consegne oppure dei gestori di energia che avvisano di anomalie dei dati personali dell’utente; gli SMS in questione contengono link che riportano a landing page contraffatte che richiedono di inserire credenziali.
FluBot: cos’è, come agisce e come proteggersi
Lo scorso anno, CERT-AgID (Computer Emergency Response Team dell’Agenzia per l’Italia digitale), ha lanciato l’allarme in merito alla diffusione di FluBot: un’app malevola per dispositivi Android che si trasmette tramite l’invio di SMS contenenti link.
I messaggi in questione fanno riferimento a false spedizioni da corrieri come DHL o UPS. Per ottenere ulteriori informazioni in merito, viene richiesto alla vittima di cliccare sul link presente nel testo che rimanda ad una landing page fasulla, molto somigliante alla pagina legittima, da cui è possibile scaricare un’app che sembra essere quella del corriere stesso.
Se vengono concessi i permessi richiesti e installata quindi l’app malevola, il malware procede con una serie di attività:
- INVIO DI SMS: tramite l’accesso ai contatti presenti nella rubrica del dispositivo infetto, vengono inviati altri SMS con lo scopo di diffondere ulteriormente il malware
- APRIRE PAGINE WEB che richiedono il login tramite credenziali o richiedono l’inserimento dei dati di una carta di credito
- FURTO DEI CODICI 2FA: gli sms e le notifiche inviati dalle banche per accedere ai propri servizi vengono intercettati per accedere al conto corrente della vittima
- DEVIAZIONE DI CHIAMATE: con lo scopo di aggirare l’autenticazione a due fattori
- ELIMINAZIONE DI APP come, per esempio, gli strumenti di rimozione del malware
- UTILIZZARE IL DISPOSITIVO INFETTO COME PROXY o Botnet per lanciare ulteriori attacchi
Come difendersi?
Per evitare questa infezione, la prima operazione da fare nel caso in cui venga ricevuto un SMS contenente un collegamento ipertestuale è controllare il nome del dominio del link presente nel testo per verificare se corrisponde effettivamente al sito del corriere in questione. Senza cliccare il link, ma copiando il nome del sito è possibile visitarlo per verificare i marchi, i loghi e se il contenuto è coerente, i siti contraffatti hanno solitamente solo la pagina di facciata del sito reale.
È comunque importante sottolineare che la semplice ricezione dell’SMS o l’apertura del link senza il download e la successiva installazione dell’app malevola non comporta l’infezione del dispositivo Android.
