Lo smishing è una forma di phishing in cui un utente malintenzionato utilizza un messaggio di testo convincente per indurre i destinatari a fare clic su un collegamento e inviare informazioni private all’aggressore o scaricare programmi dannosi su uno smartphone.
La maggior parte dei 3,5 miliardi di smartphone nel mondo può ricevere messaggi di testo da qualsiasi numero nel mondo. Molti utenti sono già consapevoli dei pericoli derivanti dal fare clic su un collegamento nei messaggi di posta elettronica. Meno persone sono consapevoli dei pericoli di fare clic sui collegamenti nei messaggi di testo.
Gli utenti si fidano molto di più dei messaggi di testo, quindi lo smishing è spesso redditizio per gli aggressori che effettuano phishing per ottenere credenziali, informazioni bancarie e dati privati.
Come funziona lo Smishing?
La maggior parte degli attacchi smishing funziona come il phishing via email. L’autore dell’attacco invia un messaggio che invita l’utente a fare clic su un collegamento o chiede una risposta che contenga i dati privati dell’utente preso di mira.
Gli smisher usano una varietà di modi per indurre gli utenti a inviare informazioni private. Possono utilizzare le informazioni di base sull’obiettivo (come nome e indirizzo) da strumenti online pubblici per ingannare l’obiettivo facendogli credere che il messaggio provenga da una fonte attendibile.
Come proteggersi
Lo smisher potrebbe usare il tuo nome e la tua posizione per rivolgersi direttamente a te. Questi dettagli rendono il messaggio più convincente. Il messaggio mostra quindi un collegamento che punta a un server controllato da un aggressore. Il collegamento può portare a un sito di phishing delle credenziali o a un malware progettato per compromettere il telefono stesso. Il malware può quindi essere utilizzato per intercettare i dati dello smartphone dell’utente o inviare silenziosamente dati sensibili a un server controllato da un aggressore.
Il malware viene spesso bloccato dalle funzionalità di sicurezza di base di Android e iOS. Ma anche con solidi controlli di sicurezza sui sistemi operativi mobili, nessun controllo di sicurezza può contrastare gli utenti che inviano volontariamente i propri dati a un numero sconosciuto.