Smishing e Vishing, il nuovo trend che fa gola agli hacker
Nell’universo, sempre più complesso, del crimine informatico, i ladri spesso corrono più veloci delle guardie. E l’epilogo non è quasi mai come nei film americani, dove a vincere sono sempre quelli dalla parte del giusto. Qui, nella realtà “vera” del mondo cibernetico i pirati ne sanno una più del diavolo e la maggior parte delle volte trovano il modo per smarcarsi da verifiche e controlli.
Tra le trovate della pirateria informatica ci sono due insidiose varianti sul tema del phishing: il Vishing (phishing vocale) e lo Smishing (attacchi tramite Sms). Secondo l’ultimo rapporto trimestrale di Threat Trends & Intelligence, di Agari e PhishLabs:
- gli attacchi di Vishing sono aumentati di quasi il 550% tra il primo trimestre 2021 e il primo trimestre 2022
- quelli di Smishing di oltre il 700% nei primi due trimestri del 2021. Addirittura, secondo una ricerca di EarthWeb, quest’anno durante una sola settimana del mese di aprile i criminali hanno inviato 2.649.564.381 messaggi di smishing.
I motivi di queste nuove strategie sono diversi: in primo luogo gli ormai diffusissimi filtri antispam delle email che, insieme a una maggiore e più diffusa consapevolezza degli utenti, sempre più sospettosi e attenti prima di cliccare su link sospetti, stanno irrobustendo la barriera in grado di bloccare i messaggi di phishing.
A tutto ciò si aggiunge il fatto che, al contrario delle mail, i messaggi di testo vedono un tasso di apertura molto alto e la maggior parte di essi vengono aperti entro 15 minuti. Inoltre, le compagnie telefoniche non hanno ancora predisposto metodi di filtraggio dei messaggi adeguati all’alto livello di rischio. Infine, c’è da considerare la grande facilità con cui un criminale informatico riesce oggi a recuperare contatti telefonici.
Risolte queste facili faccende, al truffatore non rimane che la parte più divertente: inventare una storia che funga da trappola per il destinatario del messaggio. Potrebbe trattarsi di un problema con il conto corrente, con la carta di credito, oppure di una vincita, di un premio, di un viaggio o di una lotteria, o anche dell’offerta di consulenze gratuite. Insomma, qualsiasi cosa che possa condurre in modo convincente il malcapitato a cliccare su un link malevolo e consegnare tutti i suoi dati ai criminali.
Tutte le strade portano allo stesso punto
E’ di pochi mesi fa la segnalazione della Polizia Postale di prestare molta attenzione a una campagna di smishing che sta colpendo i correntisti di diversi istituti bancari. La truffa inizia con un sms, apparentemente proveniente dal “sistema IoSicuro”. Nel messaggio il malcapitato utente viene avvisato di un movimento anomalo sul proprio conto corrente e invitato a cliccare prontamente sul link per verificare l’operazione. Inutile dire che il link reindirizza su un sito clone della banca. Per accedere bisognerà inserire le credenziali dell’home banking e il proprio numero di telefono, fornendo così ai criminali cyber tutto il necessario.
I temi utilizzati sono tra i più fantasiosi. Negli USA, nel 2020, quasi 60 milioni di americani hanno perso del denaro per un totale di circa 30 miliardi di dollari a causa di truffe telefoniche e SMS. I criminali offrivano kit gratuiti per il test Covid, oppure offrivano aiuto gratuito per la compilazione di documenti, come la richiesta del sussidio di disoccupazione, oppure si spacciavano per enti di beneficenza che raccoglievano fondi per aiutare le persone colpite dalla pandemia.
Insomma, le storie possono essere le più diverse ma si tratta di strade che portano tutte allo stesso punto: la consegna dei dati degli utenti o l’installazione di un malware sul device.
Se lo Smishing è pericoloso il Vishing è ancora più subdolo
Il Vishing è ancora più subdolo perché dall’altra parte della cornetta c’è una voce che sembra molto convincente e che chiama da un numero conosciuto. Un numero “familiare” che può essere quello della banca, della compagnia di assicurazioni o addirittura della Asl.
Con la tecnologia a disposizione oggi, (ad esempio quella VoIP) i criminali possono infatti creare più numeri con prefissi locali (ai quali le persone sono molto più propense a rispondere) o che sembrano quasi identici a quelli di aziende o organizzazioni esistenti.
Con la stessa facilità con cui questi numeri vengono creati, possono essere eliminati, con la conseguenza che rintracciare il truffatore diventa un compito assai arduo. Anche il call-spoofing (l’utilizzo di informazioni false sull’ID chiamante per mascherare la vera fonte di una chiamata in arrivo) è un’operazione che i truffatori utilizzano regolarmente per nascondersi dietro un ID chiamante apparentemente reale e legittimo.
Ad esempio, i criminali che vogliono rubare un conto bancario o i dati di accesso utilizzano spesso il call spoofing per fingere di chiamare da una banca locale o da una nota società di carte di credito. E’ molto più probabile che la vittima risponda a una chiamata se l’ID dice che si tratta della sua banca o di un centro sanitario piuttosto che di un numero sconosciuto.
Dopo aver risposto, lo sfortunato interlocutore, convinto di parlare con un operatore della sua banca o della sua compagnia di assicurazioni, o con il suo capo, non si farà problemi a rivelare i suoi dati più personali o a svolgere operazioni molto delicate.
Addirittura le cronache degli ultimi anni hanno registrato storie di voci riprodotte con l’Intelligenza artificiale e che, fingendosi amministratori delegati di aziende hanno chiesto ai loro sottoposti spostamenti di grosse somme di denaro. Ovviamente i soldi, tanti soldi, sono finiti sul conto dei banditi.
Investire in formazione e consapevolezza non è più un opzional
Certo, sembra una guerra difficile da vincere. I pirati sono sempre più avanti di un utente medio e questa consapevolezza li fa sentire ancora più invincibili.
Ma è una realtà con cui bisogna obbligatoriamente confrontarsi e che richiederà negli anni a venire sempre maggiori investimenti di energia, soprattutto in termini di formazione e di conoscenza.
Quel che è certo è che non si può più prescindere, soprattutto a livello aziendale, da una formazione aggiornata e in grado di stare al passo con le veloci evoluzioni della pirateria. Quest’ultima non sembra voler smettere di inventare nuovi modi per truffare aziende, amministrazioni, società e privati cittadini.
L’unica cosa che può fermarla è confrontarsi con utenti preparati e in grado di rispondere agli attacchi con altrettanta furbizia. Considerato che è sempre il fattore umano a permettere ai pirati di farla franca, la preparazione, la consapevolezza e la corretta postura digitale di ogni utente rappresentano la barriera più efficace per porre un argine allo tsunami del rischio informatico che sembra inarrestabile. Ma non lo è.
Per saperne di più sui percorsi formativi di Cyber Guru
