Cosa hanno imparato gli autori di campagne smishing dai colleghi specializzati in phishing?
Il furto di credenziali via email rimane di gran lunga la minaccia più comune che incontriamo nel corso delle nostre ricerche. Ma un fenomeno in rapida crescita è quello del phishing basato su SMS (comunemente noto come smishing e che include SMS, MMS, RCS e altri tipi di messaggistica mobile). Nel dicembre 2021 Proofpoint ha analizzato l’onnipresenza dei kit di phishing basati su email, che consentono a chiunque di avviare un’operazione di phishing con poco più di un computer portatile e una carta di credito. Da allora, ha seguito la loro evoluzione con la progressiva acquisizione di nuove funzioni, tra cui la capacità di aggirare l’autenticazione multi-fattore.
Allestire la scena del crimine
Una moderna configurazione di phishing via email può essere semplice, basta una persona con un computer e accesso ai comuni servizi ospitati nel cloud. Per un’operazione di smishing, il quadro è un po’ diverso. I kit di smishing software sono disponibili per l’acquisto sul dark web, ma accedere alle reti mobili con l’obiettivo di abusarne richiede un investimento leggermente superiore.
A differenza di Internet, le reti mobili sono sistemi chiusi, cosa che rende più difficile creare e inviare messaggi anonimi attraverso la rete. Per inviare un messaggio mobile dannoso, un attore di smishing deve prima ottenere l’accesso alla rete, il che richiede exploit sofisticati o hardware dedicato. Questo stesso hardware è sceso di prezzo negli ultimi tempi, ma le unità possono ancora costare centinaia o addirittura migliaia di dollari, a seconda del numero di schede SIM supportate e del numero di connessioni mobili simultanee che possono gestire. Naturalmente, i criminali devono anche pagare le carte SIM attive da utilizzare nella loro “banca SIM”. Man mano che gli operatori di rete mobile identificano ed escludono i numeri dannosi, sono necessarie nuove schede SIM, con conseguenti costi di connessione continui.
La natura fisica delle reti mobili aumenta anche il rischio di rilevamento per gli attori di minacce smishing. Gli operatori di rete possono utilizzare le torri cellulari per individuare la provenienza delle attività dannose, e quindi i cybercriminali devono essere molto mobili e spostarsi frequentemente per evitare di essere scoperti.
Social engineering e altre possibili analogie
Sebbene vi siano importanti differenze strutturali tra smishing e phishing, quando si tratta di ingegneria sociale questi attacchi hanno molti punti in comune.
Fondamentalmente, entrambi gli approcci si basano su esche che sfruttano la psicologia umana, approfittando di tendenze come l’avversione alla perdita e pregiudizi verso emergenze e autorità per convincere le vittime a compiere un’azione. Le differenze tra i formati di posta elettronica e messaggistica mobile fanno sì che i tentativi di smishing siano più sintetici ed elementari di quelli portati via email. Ma anche se l’esecuzione può variare, la spinta creata da un pacco perso o da una richiesta proveniente dal proprio capo rimane lo stessa.
Lo smishing e il phishing tradizionale presentano analogie anche nel modo in cui si rivolgono alle potenziali vittime. Oltre alla messaggistica ad alto volume, entrambi fanno uso di tecniche più specifiche di “spear phishing/smishing”. In questi attacchi, i criminali informatici utilizzano ricerche dettagliate per personalizzare i messaggi, spesso mirando a persone “di valore” all’interno di un’organizzazione. i numeri di cellulare possono essere facilmente collegati a una serie di informazioni personali, il che li rende una fonte potente per le spedizioni di spear phishing. Oltre al modello di target, anche le campagne stagionali sono simili. L’estate è solitamente più calma e l’attività viene spesso sospesa completamente durante le vacanze invernali.
Differenze principali
Per molti utenti, ignorare lo spam e altri tipi di messaggi email dannosi è diventata una norma. Ma poiché la messaggistica mobile è più recente, molte persone hanno ancora un alto livello di fiducia nella sicurezza di queste comunicazioni.
Quindi, una delle differenze più importanti tra smishing e phishing è la suscettibilità di base agli attacchi. I tassi di clic sugli URL nella messaggistica mobile sono fino a otto volte superiori a quelli delle email, e questa reattività permane anche nei mercati in cui servizi come WhatsApp e Messenger hanno sostituito gli SMS come mezzo di comunicazione testuale mobile. Sono molti gli esempi di servizi essenziali comunicati via SMS, come ad esempio gli alert della Protezione Civile. Per questo gli utenti non sono sorpresi quando ricevono inviino messaggi importanti via SMS da istituzioni e aziende e tendono ad agire rapidamente quando si ricevono.
Link pericolosi invece di allegati. I messaggi mobili non sono efficaci per inviare allegati pericolosi, e si avvalgono di link incorporati, anche per distribuire malware. Gli attacchi via email, invece, vedono ancora circa il 20-30% dei messaggi dannosi contenere allegati malware.
I numeri di telefono personali espongono anche informazioni sulla posizione sotto forma di prefisso telefonico. Questo può fornire ulteriori opportunità di personalizzazione in base al luogo e alla lingua, dati non disponibili in un indirizzo email. Allo stesso modo, gli utenti hanno una capacità limitata di visualizzare come sia stato inviato il messaggio SMS, vedendo solo il numero da cui sembra essere stato spedito. I numeri di cellulare e gli indirizzi email possono essere camuffati, ma le intestazioni delle email contengono informazioni molto più dettagliate su come un messaggio è stato indirizzato al destinatario e possono consentire di individuarne uno pericoloso.
In quanto punto di connessione comune tra vita personale e professionale, i telefoni cellulari sono un obiettivo di grande valore per i cybercriminali. Un singolo dispositivo può contenere account che danno accesso a informazioni finanziarie individuali e aziendali, dati personali sensibili e documenti commerciali riservati. Sebbene le operazioni di smishing debbano utilizzare un numero limitato di caratteri, vincoli di localizzazione e maggiori spese generali, è evidente che le lezioni apprese dalle attività di phishing via email stanno contribuendo a massimizzare i loro ritorni. In effetti, riteniamo che il tasso di successo degli attacchi di smishing sarà probabilmente più alto di quello del phishing, anche se il volume degli attacchi via -mail resta molto più elevato.
Di Luca Maiocchi, Country Manager, Proofpoint
