IL FACT CHECKING DI ANSA
Se hai scelto di non accettare i cookie di profilazione e tracciamento, puoi aderire all’abbonamento "Consentless" a un costo molto accessibile, oppure scegliere un altro abbonamento per accedere ad ANSA.it.
Ti invitiamo a leggere le Condizioni Generali di Servizio, la Cookie Policy e l'Informativa Privacy.
Cosa verifichiamo
Il phishing via email è solo uno dei tanti modi con cui i criminali informatici colpiscono le loro vittime. Anche gli sms oppure una telefonata possono essere utilizzati dagli hacker, moltiplicando così i rischi per gli utenti.
Analisi
Sms e telefonate sono un vettore privilegiato per gli attacchi che possono consentire ad un attore malevolo di accedere ai dati degli utenti o al loro dispositivo. Un attaccante potrebbe inviare un Sms ad una potenziale vittima invitandola a cliccare su un link presente nel messaggio. Questa azione di fatto può dare il via a molteplici processi di infezione del dispositivo, più o meno complessi, in funzione delle capacità degli attaccanti.
Un attacco di phishing che utilizza gli Sms come vettore è chiamato Smishing, termine appunto che combina le parole di phishing e Sms.
In attacchi complessi, potrebbe essere sfruttata addirittura una falla non nota (detta zero-day) in una componente del dispositivo mobile, che potrebbe portare alla sua completa compromissione. Un malware inoculato con questa metodica potrebbe rubare informazioni sensibili dai dispositivi oppure consentire ad un attaccante di utilizzare il dispositivo per compiere azioni che possano portargli profitto, ad esempio cliccando link su specifici siti o effettuare chiamate a numeri a pagamento.
Il contenuto dei messaggi Sms può includere talvolta informazioni sulle vittime allo scopo di apparire come provenienti da una fonte autorevole, ed invitare l’utente a compiere un’azione con urgenza. Un utente potrebbe ricevere un messaggio che appare come inviato dal proprio gestore della fornitura elettrica contenente i suoi dati anagrafici e codice cliente e che lo invita a cliccare su un link immediatamente per evitare la sospensione della fornitura. Una simile metodica potrebbe ingannare facilmente una buona parte di coloro che ricevono l’Sms.
In uno schema più complesso il messaggio potrebbe includere un numero di telefono da contattare per regolarizzare la posizione. Il finto call center, una volta contattato, potrebbe indurre la vittima a fornire informazioni personali, copie di documenti, password, e persino informazioni finanziarie come il numero di carta di credito. Ottenute queste informazioni un attaccante può utilizzarle in attacchi successivi di varia natura. Gli Sms potrebbero essere utilizzati anche in campagne di disinformazione per distribuire fake news.
Secondo il rapporto pubblicato da Proofpoint dal titolo "2023 State of the Phish Report" gli attacchi di smishing sono tra le principali minacce e continuano ad aumentare su base annua. Sempre secondo il rapporto, gli attacchi di smishing sono spesso utilizzati per distribuire malware. In aumento, ad esempio, gli attacchi in cui i criminali informatici utilizzano messaggi di testo che sembrano provenire da operatori di telefonia mobile o da spedizionieri per indurre le vittime a fare clic su link dannosi o a scaricare allegati malevoli.
Negli attacchi che utilizzano telefonate, gli attori malevoli tentano di ingannare le potenziali vittime per ottenere informazioni personali o indurle a compiere azioni di varia natura. Tale pratica prende il nome di vishing (o phishing vocale). Un attaccante, fingendosi il supporto tecnico di una banca, potrebbe anche istruire un utente a scaricare e installare una falsa applicazione di home-banking che vuoterà il conto corrente delle vittime.
Conclusioni
Come ci si protegge da questi pericoli? Esistono diversi modi per proteggersi dagli attacchi informatici tramite Sms o telefonate. Di seguito alcuni utili suggerimenti: non cliccare su collegamenti o aprire allegati in messaggi Sms provenienti da fonti sconosciute. Limitare le informazioni personali che si forniscono in risposta alle telefonate. Mantenere i propri dispositivi aggiornati ed installare un software antivirus. Non rispondere a messaggi o telefonate sospette.
Fonti
Pierluigi Paganini, Ceo di Cybhorus, professore di Cybersecurity presso l'Università Luiss Guido Carli e coordinatore scientifico Sole 24 Ore formazione
Agid - Agenzia per l'Italia Digitale
I nostri team fanno del loro meglio per consultare tutte le domande che ci vengono sottoposte. Lavoriamo per rispondere alle richieste e proposte che ci pervengono sulla base di diversi criteri e ci riserviamo il diritto di operare una selezione tra tutte le richieste dando priorità a quelle più rilevanti e interessanti per il pubblico. Riteniamo che i reclami fantasiosi, infondati, offensivi, minacciosi o chiaramente derivanti da un'azione coordinata di spam non richiedano una nostra risposta. Per consentirci di rispondere a una richiesta di verifica, il messaggio o la dichiarazione su cui si richiede di indagare devono alludere a fatti o dati. Non verifichiamo opinioni o, in genere, affermazioni su eventi non ancora accaduti.
This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.