Smishing: che cos’è – il caso Nexi

Prima di parlarvi del nostro caso, sappiate che il nome Smishing deriva dall’unione di 2 termini: “SMS” e “Phishing”.

Tutti sanno cosa sono gli SMS, ma il phishing? Quanti di voi conoscono il termine phishing e sanno esattamente di cosa si tratta?

Che cos’è il phishing

 

Perché il phishing è sulla bocca di tutti

Il Phishing è una tipologia di truffa informatica grazie alla quale un hacker riesce a sottrarvi una serie di dati: un nome utente, una password, un indirizzo e-mail e persino dati bancari. Il Phishing, nel 2020, rappresenta forse il metodo di diffusione di attacchi informatici più utilizzato in tutto il mondo ed è anche il più pericoloso da riconoscere.

Quasi sempre, le infezioni phishing si propagano tramite l’invio di e-mail.

Perché proprio Phishing? Il nome di questa tecnica lascia perfettamente intendere qual è il rischio che corre l’utente: abboccare alla truffa come un pesce (letteralmente fishing).

Per riassumere brevemente come avviene un attacco phishing:

all’utente arriva un’e-mail nella quale gli viene richiesto di accedere rapidamente ad un sito (quasi sicuramente ad un sito clone di una banca), inserire codice utente, password e magari anche il numero della carta di credito. Il sito al quale l’utente si collega chiaramente è un fake, un sito fasullo che non appartiene realmente alla vostra banca. Morale della favola: l’hacker tramite un inganno riesce ad ottenere i vostri dati e voi siete il cosiddetto pesce che abbocca.

Questo è in termini estremi il phishing.

1. Che cos’è il phishing

2. Phishing e Smishing: lo switch

3. L’incipit di un attacco Smishing

4. Un vero attacco Smishing

5. Smishing Attack: che fine fanno i nostri dati?

6. Anti Smishing: come difendersi

7. Smishing Protection: quando le policy di sicurezza ti salvano da truffa certa

8. Come proteggo gli smartphone da Smishing

Ma a noi interessa trattare di Smishing attack in questo articolo, e la differenza tra questi due metodi è che mentre il phishing utilizza le e-mail per acquisire i vostri dati, l’SMS Phishing usa proprio i messaggi testuali via telefono, ovvero gli SMS.

E’ venerdì sera e il vostro smartphone improvvisamente si mette a vibrare.
Vi è arrivato un SMS. Lo leggete:

Buonasera Sig. Brunoni,

il suo conto corrente è stato momentaneamente bloccato per motivi di sicurezza. Abbiamo rilevato attività sospette. Tutti i servizi bancari rimarranno bloccati fino a quando non riceveremo conferma dei suoi dati. La preghiamo, di effettuare l’accesso sul portale ufficiale della nostra banca e confermare i suoi dati. 

Può collegarsi direttamente al seguente link: www…

Firmato dalla banca.

Un clic e il sistema si avvia.

La cosa più strana è che lo Smishing non richiede alcuna competenza di hacking: semplice e letale. All’hacker basta creare una pagina web verosimilmente somigliante a quella della vostra banca e il gioco è fatto. Qualche utente prima o poi ci cascherà.

La settimana scorsa il nostro SOC (Secure Operations Center) ha rilevato una massiccia attività sospetta di Smishing. Un’insolita campagna di SMS malevoli invitava gli utenti a collegarsi ad un sito di una nota compagnia che gestisce sistemi di pagamento digitale e che ha a che fare con gli istituti di credito.

Chiaramente il sito web a cui veniva chiesto di collegarsi era un sito web clone, un fake, che sfruttava illecitamente il brand di questa nota società.

La home del sito fake segue perfettamente lo stile e la grafica del sito originale di Nexi (questo è il nome della compagnia colpita) con un’unica differenza: quello che vedrete non è il sito di Nexi.

Ecco come si presentava il sito infetto da Smishing.

Ci siamo collegati al sito fake di Nexi, l’hacker ci richiede l’email e la password di accesso.
Per darvi modo di assistere ad un vero attacco di Smishing abbiamo utilizzato un indirizzo e-mail temporaneo e una password inventata.

Una volta effettuato l’accesso al sito clone di Nexi Italia, l’hacker vi richiede di confermare i dati della carta di credito, chiaramente. Vi vengono chiesti con cura tutti i dati della carta di credito: numero di carta, periodo di validità, CVC/CVV e persino un numero di telefono.

Vi ricordiamo che anche in questo caso per darvi modo di assistere ad un vero attacco phishing Smishing abbiamo generato una carta di credito temporanea (e chiaramente fasulla) e inventato il resto dei dati. Come da manuale Smishing, il sito ha accettato di buon grado qualsiasi informazione inserita.

In questo caso il sito gravato da Smishing è fatto davvero come si deve, viene persino richiesta la conferma tramite codice App. Abbiamo inserito un codice inventato sul momento: 123456789 ma avremmo potuto inserire qualsiasi combinazione di cifre. Il sistema non avrebbe posto alcun fermo perché fasullo.

Basta cliccare su conferma e l’attacco Smishing è riuscito nell’intento

Completata l’operazione e ricevuti tutti i vostri preziosi dati il sito vi restituirà questa schermata: Non è stato possibile completare l’operazione. Un nostro operatore la contatterà a breve.

E succederà per davvero… La truffa Smishing è architettata in ogni minimo dettaglio. Un operatore del sito fake di Nexi vi contatterà telefonicamente e vi chiederà un codice di conferma per avviare la transazione.

Una volta data la conferma del codice, purtroppo l’utente non può più fare niente. Una volta resi conto che siete stati truffati non potrete fare altro che telefonare alla polizia postale. In questo caso, la truffa online è diventata Vishing.

È successo per davvero.

Sono caduto anche io nella rete degli hacker e sono vittima di attacco Smishing.

Che fine fanno i miei dati? Chi me li ha rubati che cosa ne farà?

Qualcuno oggi dice “data is oil“, i dati sono il nuovo petrolio e lo sono esattamente perché vengono venduti a peso d’oro. Dopo aver portato a termine la truffa Smishing, probabilmente, l’hacker che vi ha sottratto l’e-mail, il numero di telefono, il nome utente e la password troverà un modo per rivenderli agilmente sul Deep Web.

Credeteci… ci sono centinaia di persone e aziende disposte ad acquistarli.

I messaggi di SMS phishing arriveranno sempre più di frequente sul vostro smartphone. Tuttavia, esistono consigli pratici che potete applicare sin da subito per tutelarvi da qualsiasi attacco smishing.

• Scaricate Applicazioni solo da App Store o da Google Play se avete uno smartphone Android, se vi arrivano messaggi di WhatsApp o SMS che vi chiedono di cliccare su un link e scaricare un’applicazione, non fatelo.
• Eliminate i messaggi SMS che vi invitano a collegarvi ad un link e inserire le credenziali di acceso (nomi utente, e-mail, password e men che meno numeri di carte di credito). Al 99% si tratta di una truffa online.

• Cercate sul vostro smartphone la funzione di “blocco testi provenienti da web” e attivatela.
• Ponete attenzione al testo dell’SMS: la grammatica in questo caso vi aiuterà a capire se si tratta di un messaggio fasullo o no.
• Se siete un’azienda dovete contenere il più possibile il rischio di infezione smishing. Serve un sistema di sicurezza e monitoraggio dell’attività mobile in azienda.

Solamente i servizi di sicurezza informatica sono in grado si proteggervi al 100% dallo Smishing. Onorato Informatica è un Security Operations Center certificato ISO 9001 e ISO 27001.

La nostra attività ci permette di mettere in monitoraggio tutto il sistema informatico delle aziende e di mantenerlo costantemente protetto 24 ore su 24.

E se i dispositivi mobili non si trovano in azienda.

Come proteggo gli smartphone da Smishing anche fuori dall’azienda?

La risposta a questa domanda è insita nelle policy di sicurezza centralizzate per le aziende. Un’azienda che desidera proteggere i dispositivi dei propri dipendenti anche fuori dalla rete aziendale devono assicurarsi di implementare delle policy centralizzate di sicurezza informatica (mobile Device Management).

Se desideri informazioni specifiche sui nostri servizi cyber security, contattaci.