Smishing, sms spoofing, sim swapping, spam. Sono solo alcune delle tecniche identificate da Infobip, che i criminali informatici utilizzano per estorcere dati personali o denaro attraverso gli sms “fake”.
In aumento le truffe attraverso il “messaggino fake”
“Gli smartphone sono parte integrante della vita quotidiana – si legge nello studio dell’azienda – e gli sms sono tra i canali di comunicazione più utilizzati per interagire con parenti e amici ma anche con i brand da cui si acquistano prodotti e servizi. Purtroppo, i criminali informatici lo sanno bene e, di giorno in giorno, escogitano sempre nuovi modi per utilizzare gli sms al fine di estorcere denaro o informazioni personali”.
Secondo Infobip la sempre maggiore diffusione del fenomeno può essere in parte attribuita alla chiusura delle attività causate dalla pandemia e al conseguente aumento delle consegne a domicilio e delle relative notifiche via sms.
Gli impatti del fenomeno
Oltre all’evidente impatto finanziario, queste frodi aumentano la sfiducia dei consumatori nei confronti degli sms, portandoli, con il tempo, ad abbandonare questo canale in favore di altre opzioni di messaggistica che possono portare a erodere i ricavi degli operatori di telefonia mobile e a far aumentare i prezzi degli altri servizi offerti. Inoltre, il costo delle misure di sicurezza aggiuntive ricadrà sui consumatori nel lungo periodo, influendo sulla user experience, ad esempio attraverso passaggi di autenticazione aggiuntivi.
Quali sono le tecniche più utilizzate
Al primo posto lo smishing: consiste nel contatto tramite sms di potenziali vittime da parte di criminali per indurle a fornire informazioni personali o bancarie, oppure a cliccare su link che scaricano malware sui telefoni. Gli attacchi più sofisticati utilizzano tecniche di social engineering per raccogliere informazioni – tra cui residenza, persone con cui interagiscono online e banche di cui sono clienti – per poi utilizzarle per creare sms falsi molto realistici che inducono la vittima a credere nell’autenticità di un’azienda o di una persona.
Sms spoofing: questo metodo modifica le informazioni relative al mittente di un messaggio in modo che il destinatario veda un testo alfanumerico anzichè un numero di cellulare. A differenza di quello che si può pensare, non è illegale e può essere utilizzato anche per applicazioni valide. Un esempio sono i bulk service message, inviati ai clienti per avvisarli della disponibilità di download della fattura in seguito a una transazione appena avvenuta, gli alert via sms per comunicazioni importanti da aziende o enti governativi e i Whistle-blowing per denunciare in modo anonimo comportamenti scorretti di persone o aziende.
Purtroppo l’sms spoofing spesso viene utilizzato dai truffatori per imitare messaggi di aziende legittime come banche, società di spedizioni, uffici delle imposte e persino il datore di lavoro, nel caso di attacchi mirati “spear”. Non rendendosi conto della frode, i destinatari rischiano di cliccare sui link, scaricando così il malware sul proprio telefono o venendo reindirizzarti a pagine false progettate per esfiltrare dati sensibili.
Sim swapping: è un processo che i truffatori sfruttano per impadronirsi dei numeri di cellulare di altre persone, contattando il provider e utilizzando alcune semplici tattiche di social engineering per fingersi il legittimo intestatario del numero telefonico. Una volta rubato l’account, il criminale ha accesso a tutti i dati personali della vittima e alla sua casella e-mail e può ricevere le notifiche 2FA necessarie per cambiare le password di banca e carte di credito. I servizi di rilevamento utilizzano una serie di fattori per segnalare i tentativi di appropriazione andati a buon fine ma anche quelli non riusciti, controllando, ad esempio, il registro IMSI per verificare eventuali modifiche della data di attivazione della sim.
Spam via sms: si tratta di messaggi non richiesti che violano le leggi sulla conformità in quasi tutti i Paesi, ma ciononostante non impedisce ad aziende senza scrupoli di acquistare elenchi di numeri di cellulare per proporre offerte e promozioni non desiderate. Dal punto di vista degli utenti, c’è poco che si possa fare per fermare questa tipologia di spam, infatti, gli spammer hanno a disposizione una vasta gamma di numeri tra cui scegliere e quelli segnalati, probabilmente, sono già stati sostituiti da altri.
