In maniera particolare, negli ultimi tempi sono significativamente cresciuti gli attacchi con spam text. Si tratta di messaggi non richiesti che violano le leggi sulla conformità in quasi tutti i Paesi, ma ciononostante non impedisce ad aziende prive di scrupoli di acquistare elenchi di numeri di cellulare per proporre offerte e promozioni non desiderate. Dal punto di vista degli utenti, c’è poco che si possa fare per fermare questa tipologia di spam, infatti, gli spammer hanno a disposizione una vasta gamma di numeri tra cui scegliere e quelli segnalati, probabilmente, sono già stati sostituiti da altri.
I messaggi inviati possono far riferimento a temi legati ad esempio al Covid 19, presentando link a siti Web sui quali è possibile acquistare online prodotti farmaceutici e dispositivi di protezione individuale, richiedendo l’inserimento dei dati della carta di credito per completare l’acquisto. Fortunatamente con la graduale diminuzione dell’attenzione soprattutto mediatica alla pandemia di Covid, questi messaggi si sono diradati. Un’altra famiglia di questi attacchi con spam text fa riferimento all’invio di un testo, che si suppone provenga dalla vostra banca o ad esempio da Amazon, nel quale vi si chiede di verificare un vostro acquisto.
Per poter accedere al sito e vedere di quale acquisto si tratta, occorre inserire i dati bancari o della carta di credito. Si chiama invece smishing una nuova forma di attacco phishing, che consiste nel contattare tramite sms potenziali vittime per indurle a fornire informazioni personali e/o bancarie, oppure indurle a cliccare su link che scaricano malware sugli smartphone. Gli attacchi più sofisticati utilizzano tecniche di social engineering per raccogliere informazioni personali e sensibili per poi utilizzarle per creare sms falsi (seppur molto realistici) che inducono la vittima a credere nell’autenticità di un’azienda o di una persona. Gli sms spoofing sono un altro metodo di truffa che modifica le informazioni relative al mittente di un messaggio in modo che il destinatario veda un testo alfanumerico anziché un numero di cellulare.
A differenza di quello che si possa pensare, non è illegale e può essere utilizzato anche per applicazioni valide, come per esempio i cosiddetti “bulk service message”, inviati ai clienti per avvisarli, ad esempio, della disponibilità per il download della fattura in seguito a una transazione appena avvenuta. Proprio per questo motivo gli sms spoofing vengono spesso utilizzati dai truffatori al fine di imitare messaggi di aziende legittime come banche, società di spedizioni, uffici delle imposte e persino il datore di lavoro nei casi di attacchi mirati di carattere spear phishing. Non rendendosi conto della frode, i destinatari rischiano di cliccare sui link, scaricando così il malware sul proprio telefono o venendo reindirizzarti a pagine false progettate per esfiltrare dati sensibili.
Ultimi, ma non per importanza, sono gli attacchi SIM swapping. Si tratta di un processo che gli hacker sfruttano per impadronirsi dei numeri di cellulare di altre persone, contattando poi il provider e utilizzando alcune semplici tattiche comportamentali al fine di carpire informazioni utili. Una volta rubato l’account, il criminale ha accesso a tutti i dati personali della vittima e alla sua casella e-mail e può persino ricevere le notifiche a doppia autenticazione necessarie per cambiare le password di banca e carte di credito.
Oltre all’evidente impatto finanziario, queste frodi non fanno che aumentare la sfiducia dei consumatori nei confronti degli sms, portandoli, con il tempo, ad abbandonare questo canale in favore di altre opzioni di messaggistica che possono portare a erodere i ricavi degli operatori di telefonia mobile e a far aumentare i prezzi degli altri servizi offerti. Inoltre, il costo delle misure di sicurezza aggiuntive ricadrà sui consumatori nel lungo periodo, influendo sulla user experience, ad esempio attraverso passaggi di autenticazione aggiuntivi.
Ma allora come ci si difende da questo genere di attacchi? I più semplici sistemi di difesa, a parte l’installazione di applicativi (ormai già disponibili sul mercato) in grado di identificare i numeri da cui si viene contattati, sono ignorare qualsiasi messaggio minimamente sospetto ed omettere o celare i propri contatti personali sulle pagine social.