Trappole di Smishing: un classico, più attuale che mai?

Trappole di Smishing: un classico, più attuale che mai?

Che cos’è lo smishing?

C’è davvero bisogno di spiegarlo?

Lo smishing è una vecchia conoscenza della cybersecurity con cui tutti ci siamo scontrati prima o poi. Chi non ha mai letto un post sullo smishing, una statistica, o una notizia?

L’obiettivo dello smishing è lo stesso del phishing e può essere diviso in due grandi categorie:

  • Rubare informazioni riservate
  • Installazione di software dannoso

L’unica differenza è il mezzo: non si tratta di un’e-mail, ma di un SMS.

 

SMS… Qualcuno usa gli SMS nell’anno 2024?

Personalmente, non uso gli SMS da quasi dieci anni, se non per convalidare il mio numero di cellulare quando mi registro su un sito web.

Per questo motivo, onestamente, non pensavo che lo smishing potesse essere un grosso problema. Rispetto all’uso massiccio delle e-mail, quanto danno può fare lo smishing nel mondo di oggi?

E sì, era un’ipotesi molto ingenua. È emerso che lo smishing è la principale porta di accesso alle minacce nel mondo mobile. Furto di credenziali, installazione di malware, truffe, estorsioni… Insomma, tutti i soliti crimini informatici, adattati per iniziare con un messaggio di testo.

 

Vantaggi dello Smishing

Lo smartphone è generalmente il canale di comunicazione meno protetto in assoluto. Rispetto all’invio di un’e-mail, un SMS bypassa molte, se non tutte, le barriere di sicurezza aziendali. Inoltre, è un mezzo di contatto diretto con la vittima.

D’altra parte, questo canale non riceve sufficiente attenzione nei programmi di awareness. Forse perché è messo in ombra da altri temi come il phishing e il ransomware, o perché le regole per determinare se un SMS è sicuro non sono così chiare come per le e-mail.

Inoltre, gli SMS facilitano vari scenari di social engineering che potrebbero non funzionare altrettanto bene via e-mail, come il furto della 2FA di un utente.

Insomma, per ora sembra avere solo vantaggi per i malintenzionati… Se fossi un criminale informatico, credo che invierei smishing.

 

Anatomia di uno Smishing

Mittente dell’SMS

Come il phishing, si tratta di un messaggio che impersona una persona o un’azienda.

È possibile impersonare il mittente di un SMS. Tuttavia, il successo delle diverse tecniche di spoofing dipende molto dal vettore coinvolto nell’invio del messaggio.

In genere, se lo spoofing fallisce, l’SMS viene comunque consegnato. L’unica differenza è che al posto del mittente spoofato appare un numero generico come “50005”.

È uno svantaggio? Non credo… Pensiamoci bene: come facciamo a determinare se il mittente di un SMS è affidabile? Vi invito ad aprire l’elenco degli SMS ricevuti sul vostro cellulare. Anche quelli che sappiamo essere ufficiali possono provenire da numeri o mittenti che non dicono nulla, come ad esempio “50005” o “LaTuaFattura”.

Contenuto degli SMS

Per definizione, gli SMS sono messaggi molto brevi. È quasi come pensare al phishing: l’obiettivo è lo stesso, ossia indurre la vittima a compiere una determinata azione con un certo pretesto.

A seconda della creatività del criminale informatico e del grado di personalizzazione dell’SMS, spesso ottenuto attraverso un processo OSINT, la probabilità di successo della trappola varia.

Un esempio molto comune è rappresentato da messaggi SMS del tipo: “Il tuo account Microsoft ha rilevato attività sospette. Verifica la tua identità qui: [link]”.

E qui introduciamo uno degli aspetti più rilevanti di questo attacco:

Link abbreviati (Short URL)

Il link nei messaggi SMS (che si tratti di smishing o meno) è solitamente abbreviato. Questa è una pratica comune, legata al costo dell’invio di un SMS: più caratteri ha il messaggio, più è costoso inviarlo.

Questo rappresenta un vantaggio diretto per i cybercriminali. Le persone sono abituate a ricevere link abbreviati via SMS e di solito non hanno un modo semplice per verificare se l’URL a cui sono indirizzati è sicuro o meno. Questo aumenta notevolmente la probabilità di aprire i link rispetto a un’e-mail di phishing.

Consegna degli SMS

Lo smishing può essere inviato utilizzando diverse tecniche e strumenti, a seconda degli obiettivi del criminale informatico.

Ad esempio, se l’obiettivo è inviare un attacco massiccio, si possono utilizzare dispositivi chiamati SIM Farm. Questi dispositivi permettono di collegare molte schede SIM e usarle per inviare un gran numero di SMS:

Con un dispositivo di questo tipo, i criminali spesso ruotano le schede SIM per evitare il rilevamento e il blocco. Inoltre, utilizzano schede SIM di fornitori che offrono piani di SMS illimitati, il che migliora il rapporto costi/benefici dell’attacco.

Per trappole più personalizzate, si può prendere in considerazione l’assunzione di una piattaforma di phishing-as-a-service, in cui sono già forniti gli strumenti necessari per una consegna accurata ed efficace. Ci sono molte opzioni e di solito non richiedono un grande investimento.

Nei casi in cui l’attacco è mirato a una persona specifica e si vogliono massimizzare le probabilità di successo, i criminali implementano tecniche complementari come SIM Swapping e SIM duplication.

Questa è solo una breve panoramica sulla consegna di SMS, poiché si tratta di un argomento molto vasto.

Furto di 2FA tramite Smishing

Per concludere, analizziamo un caso molto comune nel mondo dello Smishing: l’accesso ad account protetti con 2FA, la già molto utilizzata, e per fortuna, doppia autenticazione:

Cyber criminaleVittima
Invia un messaggio di smishing alla vittima.

Di solito il messaggio avverte la vittima di attività sospette sul suo conto:

Il tuo conto è stato compromesso. Clicca su questo link per verificare la tua identità: [link].

Cliccando sul link Smishing, viene indirizzato a una landing page falsa di phishing.
Inserisce le proprie credenziali nella pagina di phishing.
Sullo schermo appare il modulo per inserire il codice di verifica inviato via SMS.
Riceve le credenziali inserite dall’utente.
Inserisce tali credenziali nel sito reale.
Il sito reale invia un SMS alla vittima con il codice 2FA.
Inserite il codice ricevuto sul sito di phishing.
Immettere il codice inviato dalla vittima sul sito attuale
Ottiene l’accesso all’account della vittima.

 

Considerazioni finali

Scrivere questo articolo mi ha aiutato a comprendere l’importanza dello smishing, e spero che abbia lo stesso effetto sulle persone che lo leggono.

In passato, ho erroneamente considerato lo smishing come qualcosa di poco diffuso e di scarsa importanza, poiché non utilizzo spesso questo tipo di messaggi.

Tuttavia, nulla potrebbe essere più lontano dalla verità. Gli attacchi di smishing sono sempre più comuni e rappresentano la principale via di accesso per gli attacchi nel mondo mobile. Purtroppo, molti utenti non sono preparati a riconoscerli.

Gli SMS spesso provengono da mittenti sconosciuti e includono link abbreviati, creando così le condizioni ideali per un attacco di social engineering di successo.

In questo contesto, è particolarmente importante effettuare simulazioni di smishing per misurare la situazione attuale delle persone nella nostra organizzazione e renderle consapevoli di questo tipo di attacco:

  • siano consapevoli di questo tipo di attacco
  • dispongano di strumenti e procedure per rilevarli
  • aiutare l’organizzazione e la comunità segnalandoli

Nicolás Bruna

Product Manager de SMARTFENSE. Su misión en la empresa es mejorar la plataforma día a día y evangelizar sobre la importancia de la concientización. Lidera el equipo de desarrollo y QA de SMARTFENSE. Ha escrito dos whitepapers y más de 50 artículos sobre concientización. También es uno de los autores de la Guía de Ransomware de OWASP y el Calculador de costos de Ransomware, entre otros recursos gratuitos.

Lascia un commento