Il phishing via SMS raddoppia sotto le feste: smartphone sotto attacco

Sugli smartphone raddoppiano gli attacchi di phishing in mobilità attraverso messaggi SMS, il cosiddetto smishing. La messaggistica mobile sembra arrivare da aziende conosciute come noti rivenditori, celebri marchi di e-commerce e corrieri per la consegna pacchi, ma in realtà si tratta di esche di cyber criminali che bombardano i dispositivi mobili di utenti inconsapevoli per rubare informazioni personali. L’obiettivo del cyber crime è come sempre il ritorno economico. Il phishing e lo spear phishing hanno avuto un ultimo anno con un incremento molto significativo. Secondo le statistiche di Google si registrano oltre 46.000 siti di phishing a settimana, con particolare recrudescenza in Europa.

L’impennata degli attacchi phishing sotto le festività

In alcuni periodi dell’anno, più opportunistici come nel caso delle festività o per minore attenzione o stanchezza, come invece avviene nei periodi precedenti alle vacanze, gli attaccanti sfruttano le tecniche di ingegneria sociale per compiere frodi o sviluppare un primo accesso abusivo. In effetti i ricercatori hanno rilevato un forte incremento degli attacchi phishing che sfruttano il periodo festivo, quando gli utenti abbassano le difese e i messaggi – fra auguri e consegne – si moltiplicano. L’azienda di sicurezza ha registrato quasi il doppio dei messaggi rispetto allo stesso periodo dello scorso anno: più di due terzi di tutti gli SMS spediti a livello globale, in qualche modo, si ispirano alla consegna di ordini o a nomi di brand dell’eCommerce e del retail in ambito consumer. Passati Black Friday e Cyber Monday, ora apre la stagione dello shopping natalizio e i cyber criminali inondano gli utenti mobili di messaggi SMS che promettono offerte speciali, consegne di pacchetti/regali, avvisi di consegna in ritardo.

Cos’è lo smishing?

Gli utenti di smartphone, quando ricevono un SMS, non hanno la stessa prudenza che ormai mostrano con i messaggi di posta elettronica, dove sanno che rappresentano comportamenti rischiosi: aprire allegati ricevuti da sconosciuti, cliccare su link discutibili e visitare pagine web con reindirizzamenti multipli. Il 69% delle persone a livello globale non conosce o non sa nei dettagli cosa sia lo smishing. Invece i messaggi di phshing via SMS hanno un tasso di apertura dei messaggi del 98% e un click-through otto volte superiore rispetto alle email: cifre che dimostrano che il malware mobile potrebbe fare un danno enorme. Le campagne smishing attaccano il 61% delle aziende globali (ma la percentuale sale all’81% fra le aziende statunitensi), sfruttando gli stessi canali di comunicazione, la messaggistica mobile, che le imprese usano per il loro legittimo marketing.

Come avviene l’attacco di phishing?

Molti di questi messaggi di phshing via SMS denunciano problemi connessi all’acquisto o alla consegna di un articolo inesistente, da risolvere fornendo informazioni relative alla carta di credito. In altri casi, gli attaccanti cercano di trafugare dati personali attraverso un URL o una landing page accattivante.

Il terreno fertile degli attaccanti

Le aziende abilitano il lavoro da remoto con una vasta gamma di dispositivi, ma le persone comunicano sempre più spesso con lo smartphone personale, uno strumento comodo e rapido, ma spesso fuori del perimetro classico aziendale. Il lavoro da remoto e in mobilità è aumentato vertiginosamente negli ultimi due anni. Questa nuova modalità ha portato i dipendenti molto più spesso al di fuori del perimetro classico aziendale. Questo nuovo approccio ha portato ad un abbassamento delle difese comportamentali classiche, spesso perché si è in luoghi più familiari e informali. Sono proprio queste situazioni il terreno fertile degli attaccanti.

Consigli per difendersi

I consigli per proteggersi sono: stare sempre all’erta, avere maggiore consapevolezza dei rischi, ma soprattutto aggiornarsi continuamente, per evitare di cadere nei tranelli del cyber crime. Il fattore umano resta un terreno scivoloso per molte organizzazioni, specialmente quando gli investimenti sono orientati quasi esclusivamente alle tecnologie di sicurezza. Le persone e i loro comportamenti sono fondamentali per la cyber security e la formazione, specialmente con le migliori tecniche più moderne di gamification o cyber range, è un processo continuativo che non può limitarsi ad appuntamenti occasionali. I consumatori ripongono eccessiva fiducia nei dispositivi mobile. Invece gli attacchi SMS stanno registrando una crescita esponenziale a livello mondiale. A trainare l’aumento del phishing via SMS è la mancanza di consapevolezza. Le minacce invece arrivano anche via SMS, in quanto ai cyber criminali interessa solo sfruttare canali di comunicazione maturi e sempre nuovi, per cogliere impreparati gli utenti inconsapevoli e sferrare l’attacco.

 

Fonte: Cybersecurity360