Hai mai ricevuto un messaggio di testo da una società di spedizioni che conosci senza dubitarne per un momento? Perchè dovresti? Ordiniamo così tanto online che tutte queste notifiche di consegna possono confodersi tra loro. Anche se non ti aspettavi nulla, spesso possono essere così credibili che quando viene incluso un link potresti persino sentirti obbligato a fare click per saperne di più. Recentemente abbiamo notato che potrebbe esserci un aumento degli SMS phishing (noti anche come smishing) da presunte società di spedizone.
L’altro giorno, un nostro cliente ci ha inviato un messaggio:
Ho chiesto uno screenshot del messaggio per vedere a cosa faceva riferimento:
Chiaramente questo era un testo smishing progettato per invogliare le vittime a fare clic sul collegamento e quindi ad attirarle a fare un pagamento. Ma perché nell’ultimo periodo se ne vedono così tanti? Poco prima di Natale abbiamo notato che sui social media si stava riempiendo di persone arrabbiate che ricevevano quantità crescenti di questi messaggi
.C’è una cosa in particolare in cui i truffatori sono bravi: la manipolazione. Inoltre, cambiano costantemente le loro tecniche e ne adottano di nuove per spingere le persone a fare quello che generalmente “si spera” penserebbero due volte. Molti di noi si sono abituati alle classiche email di phishing e sempre più persone condividono best practice e consigli di sensibilizzazione.
Tuttavia, i messaggi smishing non ricevono sempre la stessa quantità di pubblicità, il che può giocare a vantaggio dei criminali. I messaggi SMS non hanno un indirizzo del mittente che puoi verificare rapidamente (sebbene questo da solo non sia una garanzia che un messaggio sia autentico) e alcuni possono persino introdursi nelle precedenti chat di una corrispondenza legittima sul tuo telefono e così possono, a prima vista, sembrare autentici anche a dei professionisti della sicurezza.
Prima di coprire i consigli su cosa dovresti fare se ricevi uno di questi messaggi, vogliamo condividere con voi alcune ricerche su alcuni di questi messaggi per vedere cosa abbiamo scoperto. Pensiamo sia importante sapere come sono costruiti i messaggi e capire la psicologia che c’è dietro. Dopo tutto, queste campagne devono funzionare, altrimenti non continuerebbero a inondare le nostre caselle di posta.
Ho deciso di vedere cosa c’era dietro i collegamenti, quindi abbiamo utilizzato una macchina dedicata su una rete dedicata progettata per resistere a qualsiasi potenziale sito dannoso a cui potremmo accedere. Il collegamento era un URL abbreviato.
E’ improbabile che l’URL sia simile a qualche società di spedizioni nota, ma contiene parole simili a ciò che potresti aspettarti. La prima pagina chiede di programmare la consegna con la tariffa indicata. Abbiamo provato a visitare questa pagina utilizzando una rete privata virtuale (VPN), come se provenissimo da paesi diversi, ma abbiamo scoperto che funzionava solo dal Regno Unito, segno che questo phishing non era così sofisticato. Tuttavia, la parte preferita è che, se si guarda da vicino, i truffatori hanno utilizzato il nome dell’azienda “IPS” anziché UPS, ma si sono presi il tempo di copiare il logo. Perché non utilizzare semplicemente il logo corretto? E’ imporbabile che il copyright sia davvero una loro preoccupazione.
Dopo aver fatto clic sulle istruzioni, siamo arrivato a una pagina che suggerisce che il “pacco” sarebbe arrivato entro 24-48 ore. Tuttavia, quando abbiamo cliccato su “Inserisci informazioni di spedizione” siamo stati indirizzati su un altro sito che riportava un’offerta speciale per iPhone, cun po strana: per solo 1€, si poteva acquistare un telefono! Ha continuato a richiedere dettagli personali, inclusi i dettagli della carta di credito e i numeri CVV. Quello è sembrato strano visto che se i truffatori sono in grado di invogliare le persone a questo stadio, perché cambiare strategia e offrire un telefono cellulare fortemente scontato invece di concentrarsi sulla più plausibile “consegna”?
Anidamo avanti…
Recentemente ci è stato anche inoltrato un altro messaggio smishing che ci ha molto “impressionato”. Questa volta era un collegamento a un falso sito della Royal Mail. Sebbene l’URL non tenti nemmeno di sembrare simile a quello originale, il sito Web aveva un aspetto più autentico rispetto al precedente sito aziendale “IPS”.
Dopo aver fatto clic sul link “programma una nuova consegna”, ci è stato chiesto di inserire le informazioni personali, come il nome, indirizzo, data di nascita, coordinate bancarie e, naturalmente, il nome da nubile di nostra madre. (Perché Royal Mail dovrebbe mai richiederlo?)
Abbiamo proseguito con i dettagli di pagamento. Dopo che tutti questi dettagli sono stati compilati, hanno richiesto un piccolo pagamento (€ 2,95) per ricevere la consegna del pacco, a quel punto ci è stato richiesto di inserire alcuni dati della carta di credito. Abbiamo tentato di compilare questo con più righe di dati fasulli ma c’erano dei controlli in atto; ad esempio, il numero della carta di credito doveva essere un numero di 16 cifre. Tuttavia, abbiamo notato che eravamo stati reindirizzati su un altro sito Web, che in realtà era un vero sito Web che era stato violato e utilizzato per questa truffa. Abbiamo informato gli amministratori del sito e ora il sito è inattivo.
Dopo alcune ricerche, abbimo trovato una vittima che aveva recentemente raccontato alla BBC di come aveva ricevuto un’e-mail come questa che tentava di confondersi con quella dalla società di spedizione DPD. Gli è stato chiesto di pagare € 2 per una riconsegna e, sfortunatamente, ha inserito i suoi dati bancari come nelle richieste descritte sopra. Quando ha controllato il saldo del suo conto due giorni dopo, ha scoperto un nuovo acquisto da Apple UK per £ 409 che non aveva autorizzato. Sebbene la banca dell’uomo abbia rimborsato l’intero importo perso a causa di questa truffa, non tutti sono così fortunati.
Non essere troppo veloce nel fare clic
Man mano che questi messaggi aumentano di frequenza e creatività, ricordatevi solo di pensarci due volte per qualsiasi messaggio che chiede di reagire rapidamente I messaggi che influenzano le emozioni tentano di manipolarci senza che il subconscio lo sappia. Questa è la psicologia intelligente che viene utilizzata per farci usare il cervello veloceprima che il cervello lento e razionale si insinui e prenda il sopravvento, mettendo in discussione tali comunicazioni.
Inoltre, abbiamo bisogno di fornire consigli e consapevolezza a coloro che potrebbero essere più suscettibili a tali svantaggi. Quelli che sono troppo spesso molto fiduciosi e inclini a cadere in schemi fraudolenti. Come lettore di questo blog, probabilmente sei un professionista esperto nell’individuare un messaggio falso, ma quelli che sono meno fortunati e non hanno questa abilità sono quelli che dobbiamo aiutare e supportare. RICORDA: non essere troppo veloce nel fare clic!