Sconti Amazon
mercoledì 15 settembre 2021 di 2524 Letture
SMS spoofing e smishing: cosa sono e perché restano un grave problema

SMS spoofing e smishing: cosa sono e perché restano un grave problema

Gli SMS sono poco utilizzati dagli utenti ma restano un punto di riferimento per le aziende al fine di raggiungere quanti più clienti possibile. Ecco quindi che i criminali informatici se ne stanno approfittando per tendere trappole agli utenti più frettolosi.

L'utilizzo degli SMS da parte degli utenti è ormai marginale trattandosi di uno strumento di comunicazione da tempo sostituito dai client di messaggistica istantanea.

Gli SMS continuano però a rimanere un mezzo essenziale per le aziende che sono così certe di poter raggiungere i clienti indipendentemente dalla tipologia di dispositivo mobile utilizzato (gli SMS si gestiscono con un semplice feature phone sprovvisto delle funzionalità degli smartphone) e senza che risulti necessaria la presenza di una particolare app.

Nell'ultimo periodo stanno però crescendo SMS spoofing e smishing, leve sulle quali i criminali informatici stanno sempre più agendo anche in Italia per sottrarre credenziali e dati personali.

SMS spoofing e smishing: due fenomeni diversi utilizzati per tendere trappole molto efficaci

Lo smishing, forma abbreviata di SMS phishing, è un attacco che viene utilizzato da parte di malintenzionati per indurre l'utente a visitare un sito malevolo, a scaricare un malware o a eseguire un file pericoloso seguendo il link contenuto nel messaggio di testo.

Il meccanismo dell'SMS spoofing permette invece agli aggressori di modificare il mittente del messaggio per indurre l'utente a ritenere che provenga da un contatto fidato o sia una comunicazione trasmessa da un'azienda attiva su scala nazionale o internazionale.

Un gruppo di truffatori può ad esempio modificare il nome del mittente dell'SMS per far credere al destinatario che il messaggio arrivi da una banca o da un operatore di telecomunicazioni.

Si prenda in esame l'immagine d'esempio pubblicata di seguito: in questo caso i primi SMS mostrano un codice OTP (one-time-password) ricevuto da Poste per l'autenticazione sui servizi della Pubblica Amministrazione con SPID.

Gli SMS riportano PosteInfo come mittente e sono assolutamente legittimi, utili per l'accesso a tanti servizi online.

SMS spoofing e smishing: cosa sono e perché restano un grave problema

L'ultimo SMS, invece, è un esempio di smishing che utilizza la tecnica SMS spoofing per modificare il reale mittente del messaggio. Come si vede, l'aggressore ha impostato PosteInfo come mittente e cerca di inviare la vittima su un sito web congegnato per spronarlo a inserire le sue credenziali.

In questo caso il testo dell'SMS è tutt'altro che perfetto e il link inserito nel messaggio è davvero poco credibile: Poste Italiane userebbe mai un servizio di URL shortening come bit.ly? Assolutamente no. E soprattutto non chiederebbe di confermare le proprie credenziali di accesso, come qualunque altro istituto di credito.

Un utente un po’ frettoloso, magari tratto in inganno da un messaggio truffaldino concepito meglio, potrebbe però cadere nella trappola vedendo apparire un SMS che all'apparenza sembra legittimo sotto agli altri messaggi della stessa banca o della stessa azienda ricevuti in precedenza.

Come funziona la tecnica SMS spoofing

Come abbiamo visto, l'SMS spoofing consiste nell'inviare SMS come se si fosse un altro soggetto. Questo viene fatto cambiando il nome del mittente, il numero di telefono o entrambi.

Il fatto è che l'operazione non è affatto difficile da eseguire: in BackTrack e in alcun versioni della distribuzione Kali Linux è presente un tool chiamato Social Engineering Toolkit (SET) che permette di inviare SMS a terzi alterando il numero e il nome del mittente.

Esistono addirittura aziende che offrono servizi di SMS spoofing acquistabili online: chiunque possegga un bagaglio di conoscenze informatiche minimo può quindi inviare messaggi spacciandosi per un altro soggetto.

Come possono essere legittimi questi utilizzi? E come possono esserci aziende che vendono la possibilità di accedere a meccanismi di SMS spoofing?
In alcuni casi i mittenti di SMS inviati su larga scala ai loro clienti non desiderano mostrare numeri di telefono ma solo una stringa che permetta di identificarli sui terminali dei destinatari. Ecco perché si utilizzano tecniche per impostare ad arte il mittente dell'SMS e nascondere il numero telefonico utilizzato.

Alcuni esempi di smishing vengono automaticamente filtrati dal sistema di protezione integrato nell'app per la gestione degli SMS. Nell'immagine l'esempio di un blocco automatico da parte di Google Messaggi.

SMS spoofing e smishing: cosa sono e perché restano un grave problema

È però bene non fidarsi ciecamente di queste soluzioni di protezione: alcuni messaggi smishing con mittente dell'SMS falsificato potrebbero sfuggire al controllo.

Attenzione quindi a tutte le comunicazioni che si ricevono, a non inserire mai dati personali e credenziali di autenticazione nelle pagine web riportate in un SMS e astenersi dal visitare indirizzi nascosti dietro indirizzi abbreviati o facenti riferimento a domini diversi da quelli ufficiali appartenenti all'azienda.

Buoni regalo Amazon
SMS spoofing e smishing: cosa sono e perché restano un grave problema - IlSoftware.it