I ricercatori della sicurezza avvertono gli utenti di Verizon di una truffa aggressiva e aggressiva
Il phishing è sempre stato uno dei preferiti dai cybercrook. Ci sono alcuni buoni motivi per questo. Non è necessario possedere molte competenze tecniche per realizzare una truffa di phishing di successo e anche campagne su larga scala non richiedono ingenti investimenti in termini di tempo e denaro. Nel frattempo, nonostante tutti gli avvertimenti, l'ingegneria sociale nelle e-mail è ancora sufficiente per ingannare gli utenti nel fare clic sui collegamenti e fornire informazioni sensibili.
Lo smishing è una variante del phishing che si rivolge agli utenti di telefonia mobile e viene eseguita tramite messaggi di testo. Gli attacchi di smishing non sono affatto comuni come le truffe più tradizionali, ma come dimostra una recente campagna rivolta agli utenti di Verizon, questa tecnica presenta alcuni vantaggi distinti che potrebbero tentare un bel po 'di criminali informatici.
Table of Contents
I truffatori cercano di ingannare i clienti di Verizon dai loro dati personali
La truffa è stata individuata e segnalata da HowToGeek e Chris Hoffman, caporedattore del sito Web, ha descritto l'attacco minaccioso come "il più sofisticato di sempre". Sebbene questa affermazione possa essere messa in discussione, ci sono pochi dubbi sul fatto che i criminali abbiano riflettuto sull'operazione.
Come puoi immaginare, l'attacco inizia con un SMS che ti dice che "la sicurezza del tuo account Verizon deve essere convalidata". Se fai clic su un link, sarai in grado di "convalidare il tuo account ed evitare che il tuo accesso venga disabilitato". Come puoi vedere, la grammatica è scomoda come ti aspetteresti da questo tipo di attacco. Ciò che è un po 'insolito è il fatto che gli utenti del link sono invitati a fare clic non è stato tramite un servizio di abbreviazione di URL. Detto questo, se non lo guardi troppo da vicino, potresti essere ingannato nel pensare che provenga davvero dal fornitore di telecomunicazioni.
Il link che HowToGeek ha descritto ha portato a una pagina di phishing ospitata su vwireless[.]xyz (che è inattivo al momento della stesura) e che è stata descritta come "sorprendentemente convincente". In effetti, gli screenshot sembrano abbastanza vicini all'originale e non ci sono errori grammaticali evidenti, il che suggerisce che invece di creare le pagine delle truffe da soli, i truffatori hanno usato un kit di phishing facilmente disponibile acquistato nei mercati sotterranei.
Il sito Web fasullo inizia richiedendo il numero di cellulare o l'ID utente e la password. Successivamente, ti viene richiesto il codice PIN del tuo account e, infine, ti viene detto che devi fornire alcune informazioni personali. La pagina ti dice che se inserisci il tuo nome, indirizzo e codice postale di fatturazione a cinque cifre, aiuterai Verizon a proteggere meglio il tuo account. Dopo aver fornito tutti i dettagli, verrai reindirizzato al sito Web Verizon reale.
La pagina di phishing non ti permetterà di fare clic se non hai compilato tutti i campi, ma quando i reporter di HowToGeek lo hanno testato, hanno usato informazioni false, che mostrano che il sito Web della truffa non convalida i dati in tempo reale.
Il danno potenziale è piuttosto significativo
Se tutto quanto sopra sembra familiare e se pensi di essere caduto nella trappola, devi chiamare Verizon e correggere immediatamente il problema perché se prendono il controllo del tuo account con successo, i truffatori possono provocare ogni sorta di caos. Possono ordinare un nuovo smartphone e accreditarlo sulla tua fattura e possono anche eseguire un attacco di scambio SIM contro di te. Se hai riutilizzato la stessa password su più siti Web, puoi cadere vittima del ripieno di credenziali e perdere l'accesso anche ad altri account.
Tutto sommato, ponendo gli occhi sui clienti di Verizon potrebbe ripagare profumatamente per i truffatori e, con la loro scelta di spingere piuttosto che il phishing tradizionale, sperano di massimizzare il numero delle vittime.
Smishing vs. phishing: qual è il migliore?
Il vantaggio principale di Smishing è che la vittima è inevitabilmente sul proprio telefono durante l'operazione. Lo schermo più piccolo rende più difficile individuare i segni rivelatori di una truffa. Come abbiamo già detto, a prima vista, l'URL nel messaggio di testo sembra semi-legittimo e, poiché lo spazio dello schermo è limitato, la barra degli indirizzi di un browser mobile può rimanere nascosta per la maggior parte del tempo. Di conseguenza, è più probabile che tu non riesca a rendersi conto di essere nell'indirizzo sbagliato.
In questo caso, scegliere il messaggio di testo anziché la tradizionale e-mail di phishing è una chiamata particolarmente buona perché, in quanto fornitore di telecomunicazioni, è probabile che Verizon ti contatti via SMS. Un altro fattore che migliora le possibilità di successo dei truffatori sta nel fatto che mentre le truffe di phishing via e-mail sono in circolazione da anni, lo smishing è una tendenza relativamente recente e meno persone sanno che lo schema è stato adattato per funzionare tramite messaggi di testo.
Come sempre, la migliore difesa contro attacchi come questi è cautela e consapevolezza. Gli utenti devono sapere che i truffatori ora usano gli SMS per indurre le persone a divulgare le loro informazioni e devono capire che un collegamento in un messaggio di testo imprevisto può essere pericoloso quanto un collegamento in un'e-mail.
