Il phishing è da tempo uno degli attacchi informatici più comuni che le organizzazioni devono affrontare. Questi attacchi sono progettati per indurre i destinatari a consegnare dati sensibili o a installare malware sui loro computer.
Tuttavia, il panorama delle minacce di phishing è in continua evoluzione. L’ascesa dell’IA generativa come ChatGPT ha reso gli attacchi di phishing più credibili e sofisticati. Inoltre, con l’aumento dell’utilizzo dei dispositivi mobili, è cresciuta anche la minaccia dello smishing.
Lo smishing è un tipo di attacco di ingegneria sociale che utilizza l'inganno, la corruzione o altre tecniche per indurre la vittima a fare ciò che l'aggressore vuole. Lo smishing è definito dal fatto che utilizza messaggi di testo SMS, che è l'origine del suo nome (SMiShing).
Negli ultimi anni lo smishing è diventato sempre più diffuso come tecnica di attacco informatico a causa del crescente utilizzo di dispositivi mobili. Molte organizzazioni consentono l'uso di dispositivi mobili per le aziende, sia telefoni di proprietà dell'azienda che nell'ambito di un programma Bring Your Own Dispositivo (BYOD), rendendo gli SMS una forma comune di comunicazione.
Inoltre, molte aziende, tra cui fornitori di servizi finanziari e marchi come Apple, Amazon e Netflix, utilizzano sempre più spesso gli SMS per comunicare con i propri clienti. Ciò è particolarmente vero per le comunicazioni urgenti, come i problemi con l'account del cliente.
Gli Smisher approfittano di questo fatto per rendere i loro attacchi più plausibili. I messaggi di smisming comunemente si mascherano da comunicazioni provenienti da un provider legittimo e sono progettati per indurre la vittima a fare clic su un collegamento dannoso. Questo approccio sfrutta alcune funzionalità delle comunicazioni SMS, tra cui:
Come lo smishing, il phishing è un attacco informatico basato sull’ingegneria sociale. Tuttavia, non si limita ai messaggi SMS, utilizzando una varietà di piattaforme di messaggistica diverse per inviare messaggi dannosi all'utente.
In generale, il phishing utilizza una delle due tecniche principali per ingannare l'utente. Come lo smishing, può utilizzare collegamenti dannosi che indirizzano l'obiettivo a siti Web di phishing che potrebbero essere progettati per rubare le credenziali dell'utente o altri dati sensibili o installare malware sul dispositivo dell'utente. In alternativa, i messaggi di phishing possono includere allegati dannosi progettati per infettare il computer con malware.
Anche se il phishing è più comunemente associato alla posta elettronica, è un termine generale per qualsiasi attacco di questo tipo. Alcune forme di attacchi di phishing includono:
Lo smishing è un particolare tipo di attacco di phishing che utilizza messaggi SMS per fornire contenuti dannosi. Sebbene il phishing sia spesso associato a e-mail dannose, questo attacco può essere eseguito utilizzando qualsiasi piattaforma di messaggistica, inclusi e-mail, social media e app di comunicazione aziendale come Slack e SMS.
phishing e lo smishing sono due delle minacce informatiche più comuni che le organizzazioni devono affrontare. Poiché questi attacchi si basano sull’ingegneria sociale (ingannare, corrompere o costringere il bersaglio a fare qualcosa) piuttosto che sfruttare le vulnerabilità, sono spesso più facili da eseguire per gli aggressori. Di conseguenza, i criminali informatici utilizzano comunemente questi attacchi per rubare informazioni sensibili o come prima fase di un attacco informatico in più fasi.
La formazione dei dipendenti è importante per la prevenzione del phishing e dello smishing, ma da sola non è sufficiente. Gli attacchi di phishing stanno diventando sempre più sofisticati, soprattutto con l’avvento dell’IA generativa, e anche il dipendente più attento potrebbe non essere in grado di identificarli e rispondere adeguatamente a tutti.
Check Point offre soluzioni di sicurezza progettate per fornire una protezione completa contro tutte le minacce di phishing, indipendentemente dal mezzo utilizzato per inviare il contenuto dannoso. Check Point Harmony Email and Office offre una protezione efficace contro gli attacchi di phishing basati su posta elettronica ed è stato nominato Leader nel Forrester Wave for Enterprise Email Security del 2023. Per gestire la minaccia di smishing, Check Point fornisce Harmony Mobile, che può affrontare questo rischio di ingegneria sociale così come altri vettori di attacco focalizzati sui dispositivi mobili. Per saperne di più su come Check Point può proteggersi da phishing e smishing, iscriviti oggi stesso per una demo gratuita di Check Point Harmony Email and Office e Harmony Mobile .