Smishing vs. Phishing

Il phishing è da tempo uno degli attacchi informatici più comuni che le organizzazioni devono affrontare. Questi attacchi sono progettati per indurre i destinatari a consegnare dati sensibili o a installare malware sui loro computer.

Tuttavia, il panorama delle minacce di phishing è in continua evoluzione. L’ascesa dell’IA generativa come ChatGPT ha reso gli attacchi di phishing più credibili e sofisticati. Inoltre, con l’aumento dell’utilizzo dei dispositivi mobili, è cresciuta anche la minaccia dello smishing.

Legga il Rapporto Forrester Wave™ Richiedi una Demo

Che cos'è lo Smishing?

Lo smishing è un tipo di attacco di ingegneria sociale che utilizza l'inganno, la corruzione o altre tecniche per indurre la vittima a fare ciò che l'aggressore vuole. Lo smishing è definito dal fatto che utilizza messaggi di testo SMS, che è l'origine del suo nome (SMiShing).

Negli ultimi anni lo smishing è diventato sempre più diffuso come tecnica di attacco informatico a causa del crescente utilizzo di dispositivi mobili. Molte organizzazioni consentono l'uso di dispositivi mobili per le aziende, sia telefoni di proprietà dell'azienda che nell'ambito di un programma Bring Your Own Dispositivo (BYOD), rendendo gli SMS una forma comune di comunicazione.

 

Inoltre, molte aziende, tra cui fornitori di servizi finanziari e marchi come Apple, Amazon e Netflix, utilizzano sempre più spesso gli SMS per comunicare con i propri clienti. Ciò è particolarmente vero per le comunicazioni urgenti, come i problemi con l'account del cliente.

Gli Smisher approfittano di questo fatto per rendere i loro attacchi più plausibili. I messaggi di smisming comunemente si mascherano da comunicazioni provenienti da un provider legittimo e sono progettati per indurre la vittima a fare clic su un collegamento dannoso. Questo approccio sfrutta alcune funzionalità delle comunicazioni SMS, tra cui:

 

  • Accorciamento del collegamento: Molti marchi legittimi utilizzano servizi di accorciamento dei link (come bit.ly) nei messaggi SMS a causa della lunghezza limitata dei messaggi. Gli smisher sfruttano il fatto che questi servizi nascondono l'URL di destinazione all'utente, rendendo più semplice indurre l'utente a visitare un sito di phishing.
  • Nessun collegamento al passaggio del mouse: Su un computer, passando il mouse su un collegamento con il cursore è possibile visualizzarne la destinazione. Questo non è il caso dei dispositivi mobili, rendendo più difficile per un utente convalidare un collegamento prima di cliccarlo.
  • Mentalità sempre attiva: La maggior parte delle persone è costantemente connessa ai propri telefoni e abituata a leggere e rispondere istantaneamente ai messaggi SMS. Questa mentalità significa che i messaggi di smishing hanno maggiori probabilità di indurre il bersaglio ad agire senza pensare.

Che cos'è il Phishing?

Come lo smishing, il phishing è un attacco informatico basato sull’ingegneria sociale. Tuttavia, non si limita ai messaggi SMS, utilizzando una varietà di piattaforme di messaggistica diverse per inviare messaggi dannosi all'utente.

In generale, il phishing utilizza una delle due tecniche principali per ingannare l'utente. Come lo smishing, può utilizzare collegamenti dannosi che indirizzano l'obiettivo a siti Web di phishing che potrebbero essere progettati per rubare le credenziali dell'utente o altri dati sensibili o installare malware sul dispositivo dell'utente. In alternativa, i messaggi di phishing possono includere allegati dannosi progettati per infettare il computer con malware.

Anche se il phishing è più comunemente associato alla posta elettronica, è un termine generale per qualsiasi attacco di questo tipo. Alcune forme di attacchi di phishing includono:

  • Smishing: phishing tramite messaggi SMS.
  • Vishing: ingegneria sociale eseguita tramite telefono (“phishing vocale”).
  • Spear Phishing: Gli attacchi di phishing sono mirati precisamente a un singolo o a un piccolo gruppo.
  • La caccia alle balene: attacchi di spear phishing mirati a dirigenti di alto livello all'interno di un'organizzazione.
  • Business Email Compromise(BEC): attacchi di phishing in cui l'aggressore si spaccia per un CEO o un altro dirigente per indurre i dipendenti a inviare denaro o dati all'aggressore.

La differenza tra attacchi Smishing e attacchi phishing

Lo smishing è un particolare tipo di attacco di phishing che utilizza messaggi SMS per fornire contenuti dannosi. Sebbene il phishing sia spesso associato a e-mail dannose, questo attacco può essere eseguito utilizzando qualsiasi piattaforma di messaggistica, inclusi e-mail, social media e app di comunicazione aziendale come Slack e SMS.

Prevenzione di phishing e smishing con Check Point

phishing e lo smishing sono due delle minacce informatiche più comuni che le organizzazioni devono affrontare. Poiché questi attacchi si basano sull’ingegneria sociale (ingannare, corrompere o costringere il bersaglio a fare qualcosa) piuttosto che sfruttare le vulnerabilità, sono spesso più facili da eseguire per gli aggressori. Di conseguenza, i criminali informatici utilizzano comunemente questi attacchi per rubare informazioni sensibili o come prima fase di un attacco informatico in più fasi.

La formazione dei dipendenti è importante per la prevenzione del phishing e dello smishing, ma da sola non è sufficiente. Gli attacchi di phishing stanno diventando sempre più sofisticati, soprattutto con l’avvento dell’IA generativa, e anche il dipendente più attento potrebbe non essere in grado di identificarli e rispondere adeguatamente a tutti.

 

Check Point offre soluzioni di sicurezza progettate per fornire una protezione completa contro tutte le minacce di phishing, indipendentemente dal mezzo utilizzato per inviare il contenuto dannoso. Check Point Harmony Email and Office offre una protezione efficace contro gli attacchi di phishing basati su posta elettronica ed è stato nominato Leader nel Forrester Wave for Enterprise Email Security del 2023. Per gestire la minaccia di smishing, Check Point fornisce Harmony Mobile, che può affrontare questo rischio di ingegneria sociale così come altri vettori di attacco focalizzati sui dispositivi mobili. Per saperne di più su come Check Point può proteggersi da phishing e smishing, iscriviti oggi stesso per una demo gratuita di Check Point Harmony Email and Office e Harmony Mobile .

Per iniziare

Anti-Phishing

Sicurezza della suite Harmony Email & Collaboration

Protezione Harmony Mobile ( SandBlast Mobile)

Argomenti correlati

Social Engineering vs Phishing

Phishing Attack

URL phishing

Che cos'è lo Smishing

BYOD Security

×
  Feedback
Questo sito Web utilizza i cookie per motivi funzionali e a scopo di analisi e marketing. Continuando a utilizzare il sito Web, accetti implicitamente l'uso dei cookie. Per ulteriori informazioni, si prega di leggere la nostra Informativa sui cookie.
OK