Si può essere hackerati con un sms o una telefonata?

Cosa verifichiamo

Il phishing via email è solo uno dei tanti modi con cui i criminali informatici colpiscono le loro vittime. Anche gli sms oppure una telefonata possono essere utilizzati dagli hacker, moltiplicando così i rischi per gli utenti.

Analisi

Sms e telefonate sono un vettore privilegiato per gli attacchi che possono consentire ad un attore malevolo di accedere ai dati degli utenti o al loro dispositivo. Un attaccante potrebbe inviare un Sms ad una potenziale vittima invitandola a cliccare su un link presente nel messaggio. Questa azione di fatto può dare il via a molteplici processi di infezione del dispositivo, più o meno complessi, in funzione delle capacità degli attaccanti.

Un attacco di phishing che utilizza gli Sms come vettore è chiamato Smishing, termine appunto che combina le parole di phishing e Sms.

In attacchi complessi, potrebbe essere sfruttata addirittura una falla non nota (detta zero-day) in una componente del dispositivo mobile, che potrebbe portare alla sua completa compromissione. Un malware inoculato con questa metodica potrebbe rubare informazioni sensibili dai dispositivi oppure consentire ad un attaccante di utilizzare il dispositivo per compiere azioni che possano portargli profitto, ad esempio cliccando link su specifici siti o effettuare chiamate a numeri a pagamento.

Il contenuto dei messaggi Sms può includere talvolta informazioni sulle vittime allo scopo di apparire come provenienti da una fonte autorevole, ed invitare l’utente a compiere un’azione con urgenza. Un utente potrebbe ricevere un messaggio che appare come inviato dal proprio gestore della fornitura elettrica contenente i suoi dati anagrafici e codice cliente e che lo invita a cliccare su un link immediatamente per evitare la sospensione della fornitura. Una simile metodica potrebbe ingannare facilmente una buona parte di coloro che ricevono l’Sms.

In uno schema più complesso il messaggio potrebbe includere un numero di telefono da contattare per regolarizzare la posizione. Il finto call center, una volta contattato, potrebbe indurre la vittima a fornire informazioni personali, copie di documenti, password, e persino informazioni finanziarie come il numero di carta di credito. Ottenute queste informazioni un attaccante può utilizzarle in attacchi successivi di varia natura. Gli Sms potrebbero essere utilizzati anche in campagne di disinformazione per distribuire fake news.

Secondo il rapporto pubblicato da Proofpoint dal titolo “2023 State of the Phish Report” gli attacchi di smishing sono tra le principali minacce e continuano ad aumentare su base annua. Sempre secondo il rapporto, gli attacchi di smishing sono spesso utilizzati per distribuire malware. In aumento, ad esempio, gli attacchi in cui i criminali informatici utilizzano messaggi di testo che sembrano provenire da operatori di telefonia mobile o da spedizionieri per indurre le vittime a fare clic su link dannosi o a scaricare allegati malevoli.

Negli attacchi che utilizzano telefonate, gli attori malevoli tentano di ingannare le potenziali vittime per ottenere informazioni personali o indurle a compiere azioni di varia natura. Tale pratica prende il nome di vishing (o phishing vocale). Un attaccante, fingendosi il supporto tecnico di una banca, potrebbe anche istruire un utente a scaricare e installare una falsa applicazione di home-banking che vuoterà il conto corrente delle vittime.

Come proteggersi? Esistono diversi modi per proteggersi dagli attacchi informatici tramite Sms o telefonate. Di seguito alcuni utili suggerimenti: non cliccare su collegamenti o aprire allegati in messaggi Sms provenienti da fonti sconosciute. Limitare le informazioni personali che si forniscono in risposta alle telefonate. Mantenere i propri dispositivi aggiornati ed installare un software antivirus. Non rispondere a messaggi o telefonate sospette.

Fonte

Pierluigi Paganini, Ceo di Cybhorus, professore di Cybersecurity presso l’Università Luiss Guido Carli e coordinatore scientifico Sole 24 Ore formazione.