I phisher sono cyber criminali specializzati nel progettare ed eseguire attacchi che hanno come scopo principale quello di sottrarre alle vittime le credenziali d’accesso ai più comuni siti internet (banche, vettori logistici, e-commerce ad esempio).
La stagione dello shopping natalizio rappresenta un periodo di grandi affari per i phisher, una sorta di ‘alta stagione del Cyber Crime’!
I tradizionali attacchi di phishing arrivano ai malcapitati attraverso una mail, scritta spesso in maniera sgrammaticata e con un allegato da scaricare: accortezza, diffidenza delle persone e sistemi di sicurezza antiphishing, contribuiscono a rendere meno efficaci gli attacchi di questo tipo.
Oggi la nuova frontiera del cybercrime e di questo tipo di attacchi sono però i dispositivi mobili: i nostri smartphone. Giorno dopo giorno infatti, aumentano i tentativi di queste nuove truffe telefoniche e l’efficacia è in crescita grazie ad un mix criminale di approcci nuovi e vecchi.
Lo smishing è un attacco di phishing su mobile che arriva con un SMS e di solito include un testo ed un falso link (della nostra banca ad esempio o relativo ad una consegna) attraverso il quale l’attaccante prova a sottrarre informazioni personali.
Vale la pena porre l’attenzione su due tipologie di questo attacco; sono entrambe raffinate, acute e spesso efficaci.
Caso uno:
arriva un messaggino: grafica di un notissimo vettore logistico che dichiara problemi con un consegna e chiede di riprogrammare (siamo in dicembre, ci teniamo che i regali arrivino puntuali). Il link inserito nell’SMS è però un link malevolo che indirizzerà gli sprovveduti su una finta pagina, nella grafica totalmente identica all’originale, in cui sarà necessario accedere inserendo le proprie credenziali. E’ questo il momento in cui gli attaccanti le sottraggono e possono avere accesso al profilo della vittima sottraendone (rubando!) i dati sensibili, compresi quelli della carta di credito.
Caso due:
questo attacco usa una nuova formula ibrida, sullo smartphone arriva un sms proveniente apparentemente dalla banca del malcapitato (la banca non c’entra nulla ovviamente), stavolta senza alcun link su cui cliccare, e che pone una domanda semplicissima:
“Hai autorizzato un pagamento di € 500 dal tuo conto corrente ? SI o NO”
Richiesta semplice e ragionevole a cui si fa in fretta a rispondere: NO, ad esempio.
A quel punto scatta la seconda fase della truffa, alla vecchia maniera: una telefonata dell’attaccante che si presenta come addetto dell’ufficio antifrodi della banca e comunica che è stato rilevato un tentativo di frode e deve verificare se al telefono ci sia il titolare del conto o il truffatore: per farlo ha bisogno di verificare le credenziali d’accesso al conto corrente. Da qui è semplice immaginare il seguito.
C’è anche la buona notizia fortunatamente: che siano sofisticati o meno gli attacchi di phishing su mobile possono essere disinnescati!
Il consiglio è semplice: hai un dubbio? NON reagire impulsivamente! Prenditi un minuto per riflettere: ad esempio cerca il contatto della tua banca sui canali pubblici, richiama e accertati di cosa sta succedendo.
Chiudo augurando buone feste e consigliando due bei regali per familiari ed amici.
Il primo: ricordargli le regole base per evitare le truffe legate al phishing. Non rispondere in caso di dubbio e prendere tempo!
Il secondo: un tool di Web Protection Antiphishing, ce ne sono anche sviluppati da aziende italiane! Affidiamoci anche professionisti e non solo al buon senso.
Giacomo RICCIARDELLO, Ermes Cyber Security