Cybersecurity Pills – Smishing

Come abbiamo riportato nel nostro recente articolo, la pandemia globale ha portato a nuovi ed inaspettati trend nella cybersecurity. Mentre governi ed istituzioni internazionali combattevano un’emergenza sanitaria senza precedenti, i cittadini hanno scoperto sulla propria pelle le conseguenze di un’altra minaccia globale: il cybercrimine. Le statistiche parlano chiaro, il numero di attacchi cyber rivolti a cittadini ed aziende è cresciuto in modo esponenziale, ma esistono delle semplici misure che ciascuno di noi può adottare per invertire il trend e rispondere in modo deciso alle nuove minacce. La formazione e la consapevolezza sono le armi più efficaci a questo scopo, e per questo in Dedalo abbiamo lanciato una nuova iniziativa di Awareness: Cybersecurity Pills. L’obiettivo è quello di approfondire tematiche spesso complesse in modo chiaro ed accessibile a tutti, fornendo spunti pratici e semplici istruzioni da seguire per la sicurezza informatica.

Il primo tema che abbiamo scelto di approfondire è quello dello smishing.

Che cos’è lo smishing?

In questa modalità di attacco, i cybercriminali utilizzano SMS o altre piattaforme di messagistica per raggiungere le proprie vittime. I criminali inviano dunque SMS apparentemente innocui, con messaggi sintetici o poco chiari, spesso contenti link a siti web non noti. Secondo alcune recenti analisi, in gran parte degli attacchi di smishing i messaggi sembrano provenire da banche o istituti di credito, ma non è sempre facile identificare un attacco. In questi ultimi giorni, ad esempio, molti utenti in Italia hanno ricevuto SMS sospetti prevenienti da società di spedizione o servizi di posta, proprio come quello che riportiamo nell’immagine. Una volta cliccato il link, la vittima scarica inconsapevolmente un software malevolo sul proprio dispositivo o viene reindirizzata a siti “civetta”, che richiedono l’inserimento delle proprie credenziali o informazioni. Il colpo è andato a buon fine.

Gli attacchi di smishing hanno più probabilità di successo per ragioni sia tecniche che psicologiche. Innanzitutto, come già noto nel mondo del marketing, gli SMS sono più efficaci per catturare l’attenzione degli utenti. Come riporta Gartner, infatti, il 98% degli SMS vengono letti (in confronto al 20% delle e-mail), e molti di questi riescono a innescare una risposta del destinatario (45%, in confronto al 6% delle e-mail). Gli utenti, inoltre, non sono sufficientemente sensibilizzati su questa “nuova” modalità di attacco, che non viene spesso considerata nelle campagne di sensibilizzazione in ambito security. Dal punto di vista tecnico, infine, i dispositivi mobili personali o aziendali sono solitamente sprovvisti di adeguati presidi di sicurezza (es. software antivirus, restrizioni al download, etc.), e non viene garantita una protezione adeguata nel caso in cui il “fattore umano” fallisca.

Come combattere lo smishing?

Come già noto, la sicurezza informatica è una catena, e richiede l’implementazione di più azioni coordinate per poter rispondere in modo efficace. In questo caso, tuttavia, proponiamo due semplici regole, economiche e di facile implementazione, da seguire per combattere lo smishing. Ciascuna organizzazione potrà poi affiancare le misure tecniche ed organizzative che ritiene più idonee a rispondere alle proprie esigenze di sicurezza. Ecco i nostri suggerimenti:

  1. Adottare adeguati presidi di sicurezza sui dispositivi mobili (smartphone e tablet). Valutare, ad esempio, l’installazione di un software antivirus sul dispositivo personale. Per le aziende, invece, raccomandiamo l’implementazione di un sistema di Mobile Device Management, che possa rispondere in modo adeguato alle esigenze operative degli utenti, salvaguardando però dati e reti aziendali;
  2. Sensibilizzare il personale a questa nuova modalità di attacco cyber, integrando i piani di formazione aziendali con le nuove minacce cyber. Suggeriamo di adottare strumenti di comunicazioni variegati (es. intranet aziendale, e-mail, classi online) per assicurare di trasmettere il messaggio a tutti gli utenti, specialmente a quelli che operano in smart working. Recentemente, inoltre, abbiamo sperimentato l’efficacia dello svolgimento di simulazioni di attacchi e campagne di smishing mirate, che riteniamo servizi supplementari essenziali per garantire una valida sensibilizzazione.

Speriamo che abbiate trovato utile questa Cybersecurity Pills, e vi invitiamo a seguirci per i prossimi approfondimenti.

di Licia Nicoletti Senior Consultant – IT & Security Governance, Risk Management e Compliance @ Dedalo GRC Advisory