Smishing e Vishing: che cosa sono e come evitarli

Digitree - Disruptive technologies for secure smart workers / Security Awareness  / Smishing e Vishing: che cosa sono e come evitarli
smishing-vishing

Smishing e Vishing: che cosa sono e come evitarli

I truffatori, tentando di manipolare le persone per mettere mano su informazioni confidenziali, espandono gli attacchi di phishing ad altri canali e li rendono sempre più sofisticati.

Smishing e vishing sonoo tipi di attacchi di phishing the cercano di adescare le proprie vittime tramite sms e chiamate vocali. Entrambi si affidano allo stesso richiamo emozionale utilizzato nelle tradizionali truffe di phishing e sono progettati per indurti ad agire con urgenza. L’unica differenza sta nel canale tramite cui vengono portati avanti.

“I ladri informatici possono applicare le loro tecniche di manipolazione a molte forme di comunicazione perché i principi sottostanti restano costanti” spiega Stu Sjouweman, CEO di KnowBe4. “Attirare le vittime con un’esca e quindi prenderle all’amo.”

Che cos’è lo smishing?

Definizione di smishing: lo smishing (SMS phishing) è un tipo di attacco di phishing condotto utilizzando SMS. Proprio come le truffe via email di phishing, i messaggi di smishing includono tipicamente una minaccia o una lusinga tendenti a far cliccare su un link o chiamare un numero e fornire informazioni confidenziali. A volte potrebbero suggerire di installare un qualche softwware di sicurezza che si rivelerebbe poi malware.

Un esempio di smishing:  un messaggio di smishing tipico potrebbe dire qualcosa del genere “Il tuo conto della banca ABC è stato sospeso. Per sbloccarlo, clicca qui: https://bit.ly/2LPLdaU” e il link fornito scaricherà  malware nel tuo cellulare. I truffatori sono anche abili ad adeguarsi al medium che stanno usando. Così, potresti ricevere un messaggio di testo che dice: “E’ veramente una tua foto? https://bit.ly/2LPLdaU” e se clicchi sul link per scoprire se è vero, ecco che di nuovo ti trovi a scaricare malware.

Che cos’è il vishing?

Definizione di vishing: il vishing (voice phishing) è un tipo di attacco di phishing che è condotto usando il telefono e spesso diretto ad utenti di servizi VoIPcome Skype.

E’ facile per i truffatori simulare un caller ID così da sembrare che stiano chiamando da un area locale o perfino da un’organizzazione che conosci. Se non rispondi, ti lasciano un messaggio in segreteria chiedendo di richiamarli. A volte questo tipo di truffe può persino utilizzare un call center che è inconsapevole del crimine che viene perpetrato.

Ancora una volta, lo scopo è di ottenere dettagli di carte di credito, date di compleanno, credenziali di accesso e talora semplicemente raccogliere i numeri di telefono della tua rubrica. Se rispondi o richiami, ci può essere un messaggio automatico che ti sollecita a fornire questi dati e molta gente non mette in discussione una tal cosa perché accettano i sistemi di telefonia automatici come parte delle loro vite.

Come evitare smishing e vishing

Stiamo un po’ più in guardia quando si tratta di email attualmente perché siamo abituati a ricevere spam e le truffe sono molto comuni, ma i messaggi di testo e le chiamate vocali vengono ancora percepite come legittime da molta gente. Dal momento che facciamo acquisti, accediamo alla banca e facciamo altre cose con i nostri telefoni, le opportunità proliferano per i truffatori. Per evitare di diventare una vittima, bisogna fermarsi e pensare.

“Il senso comune è una buona pratica generae e dovrebbe essere una prima linea difensiva contro le frodi online o telefoniche,” dice Sjouwerman.

Sebbene i consigli su come evitare di venire presi all’amo dalle truffe di phishing siano stati scritti consideranto le truffe via email, si applicano anche a queste nuove forme di phishing. Alla base, fidarsi di nessuno è un buon punto di partenza. Non dare alcuna informazione ad un interlocutore a meno che tu non sia sicuro che sia legittimo – puoi sempre richiarmarlo.err on the side of caution

Prevenire è meglio che curare, pertanto è sempre meglio eccedere in cautela. Nessuna organizzazione ti rimproverà per aver chiuso il telefono ed averli poi chiamati direttamente (avendo controllato da te il numero di telefono) per assicurarti che sono effettivamente chi dicono di essere.

Aggiorna il tuo modo di formare sulla security awareness

Sebbene rimanere in guardia sia un forte suggerimento alle persone nella vita di ogni giorno, la realtà è che la gente sul lavoro è spesso noncurante. Possono essere distratti, sotto pressione, e ansiosi di continuare il proprio lavoro e le truffe possono essere diabolicamente intelligenti. Che succede se l’SMS sembra arrivare dal proprio CEO, o la chiamata sembra arrivare da qualcuno dell’HR? Puoi temprare i tuoi impiegati e sviluppare le tue difese con il giusto training e policy chiare.

Ogni compagnia dovrebbe avere qualche sorta di programma di security awareness training obbligatorio. Può comprendere buone pratiche di sicurezza generale, ma anche definire policy, come quella su chi contattare in caso di qualcosa di sospetto, oppure regole su come condurre certe comunicazioni riservate, che rendano i tentativi d’inganno molto più facili da individuare.

Se subisci una qualunque forma di attacco di phishing, attua dei cambiamenti per assicurarti che non accada più. E ciò dovrebbe anche caratterizzare il tuo your security training.

La maggior parte degli attacchi di smishing e vishing non vengono notificati e questo gioca a favore dei criminali informatici. Sebbene tu possa essere abbastanza sveglio da ignorare l’ultimo SMS o l’ultima telefonata sospetta, ciò può non valere per Anna della ragioneria o Davide dell’HR. Se però hai un sistema per riportare questi tentativi di attacco, e possibilmente anche un sistema per attribuire un piccolo riconoscimento a chi lo fa, allora ciò ti offre un’opportunità per consigliare gli altri.

Dal momento che il phishing continua ad evolversi e a trovare nuovi vettori d’attacco, dobbiamo essere vigili e aggiornare continuamente le nostre strategie per combatterlo.

Articolo originale: https://www.csoonline.com/article/3411439/smishing-and-vishing-how-these-cyber-attacks-work-and-how-to-prevent-them.html

No Comments
Post a Comment