Che cos'è SMiShing?
Il phishing è come pescare perché usa un'esca o un'esca per catturare. Il phishing, tuttavia, si riferisce all'esca di una persona - spesso, ma non sempre, tramite un'e-mail - per rivelare importanti informazioni personali che potrebbero aiutare il truffatore di phishing ad accedere ad account o denaro o rubare l'identità del bersaglio. SMiShing, o smishing, è l'abbreviazione di phishing SMS , ovvero phishing tramite messaggi SMS. Il termine è stato coniato il 25 agosto 2006 da David Rayhawk e utilizzato per la prima volta sul blog di McAfee® Avert® Labs.
Mentre l'obiettivo del phishing è spesso quello di far divulgare al bersaglio informazioni personali preziose - come numeri di carte di credito, numeri di conti bancari o nomi utente e password - dopo aver fatto clic su un collegamento, SMiShing può richiedere una risposta o adottare un approccio diverso che comporta un download. In questo caso, l'obiettivo viene indotto a scaricare un virus o malware, come un cavallo di Troia, sul proprio telefono cellulare.
Le minacce di SMiShing hanno funzionato in vari modi. Uno dei primi arrivò come un messaggio SMS di conferma per un servizio di appuntamenti, dicendo al bersaglio che sarebbe stato addebitato a meno che non fosse stato cliccato un link per annullare. L'URL conteneva un prompt per scaricare un programma contenente un cavallo di Troia, che avrebbe trasformato il telefono cellulare in uno zombi, consentendo al truffatore di prenderne il controllo e possibilmente utilizzarlo per attacchi DDoS (Distributed Denial of Service). In alternativa, lo scame SMiShing potrebbe consentire il download di spyware che consentirebbe al truffatore di intercettare conversazioni tenute al telefono.
Il software antivirus e il software antimalware sono utili per aiutare a prevenire gli attacchi SMiShing. Evitare di fare clic su messaggi di testo sospetti è un'altra strategia utile. In caso di dubbi, le e-mail che minacciano la chiusura dell'account o l'accesso negato o gli addebiti, a meno che non vengano intraprese azioni, devono essere confermate tramite una telefonata anziché rispondendo al messaggio stesso. È particolarmente importante non utilizzare alcun numero indicato nel messaggio stesso, ma trovare in modo indipendente il numero, ad esempio, su una carta bancaria o carta di credito, nella rubrica telefonica o in qualche altro modo a prova di manomissione.
Alcuni istituti finanziari segnalano ai clienti gli stili di attacco segnalati, in modo che i clienti possano verificare se questo servizio è disponibile. Inoltre, i clienti possono segnalare messaggi sospetti alla fonte apparente - ma in una nuova e-mail, non facendo clic su "Rispondi" - e al loro Internet Service Provider (ISP), per aiutare a prevenire la diffusione di SMiShing.