Provider e aggregatori di messaggi offrono alle aziende un modo scalabile per inviare messaggi mobili, con numerosi usi legittimi. Pensiamo al settore viaggi e hospitality: aggiornamenti dei voli, conferme di prenotazioni di treni e hotel e ristoranti, tutto ricevuto via SMS o notifica su cellulare. Come sottolineato dall’Osservatorio Innovazione Digitale nel Turismo, l’e-commerce dei viaggi guida la crescita del settore, che nel suo complesso conferma una forte ripresa dopo due anni caratterizzati dalle limitazioni alla mobilità, avvicinandosi ai livelli pre-pandemia. A guidare il trend è proprio la componente digitale: nel 2022 l’e-commerce nel mercato dei trasporti è cresciuto dell’84% rispetto al 2021.
Tuttavia, a differenza delle email, che possono essere inviate liberamente da qualsiasi dispositivo connesso a Internet, gli SMS viaggiano su una rete chiusa e, per accedervi, i malintenzionati hanno bisogno di hardware costoso o di un fornitore di messaggistica di terze parti che invii gli SMS in rete per loro. E poiché i provider offrono generalmente accesso facilitato alle reti mobili, diventano un bersaglio molto appetibile per gli abusi. I tassi di clic sugli URL nella messaggistica mobile sono fino a otto volte superiori a quelli delle email, e questa reattività permane anche nei mercati in cui servizi come WhatsApp e Messenger hanno sostituito gli SMS come mezzo di comunicazione testuale mobile.
Come evidenziato nel report Human Factor 2022 di Proofpoint, i criminali informatici sanno che lo smartphone contiene le chiavi della nostra vita personale e professionale. I tentativi di smishing sono più che raddoppiati negli Stati Uniti nel corso dell’anno, mentre nel Regno Unito oltre il 50% delle esche era incentrato sulle notifiche di consegna. Complessivamente, sono stati lanciati più di 100.000 attacchi telefonici al giorno.
Come spiegano i ricercatori Proofpoint: “Molte piattaforme di messaggistica operano su un modello freemium, con scarsa verifica dell’utente e alcune permettono addirittura di registrarsi con un numero prepagato usa e getta. Quindi, anche in caso di rilevazione di un abuso da un dispositivo, i criminali informatici possono registrarne un altro o centinaia. Sono stati segnalati anche casi di malintenzionati che hanno utilizzato numeri di carta di credito o credenziali falsi o rubati.”
Come i cybercriminali approfittano di questi servizi
Un ulteriore vantaggio offerto da questi servizi è l’accesso a mercati mobili di alto valore, pensiamo a quello statunitense o europeo. Osservando il punto di origine dei messaggi di smishing inviati da una popolare piattaforma americana, si nota che vengono inviati da tutto il mondo. Per un cybercriminale in Pakistan o in Cambogia inviare SMS direttamente negli Stati Uniti sarebbe proibitivo, ma grazie alle opzioni gratuite disponibili, questi attaccanti potrebbero non pagare nulla per colpirne i consumatori.
Molti criminali informatici utilizzano le piattaforme di messaggistica per avviare attacchi conversazionali. Di solito iniziano con un messaggio innocuo, spesso un semplice “Ehi, come stai?” e per stabilire un rapporto può essere necessario inviarne più d’uno. Questi attacchi sono spesso multimodali e possono passare dagli SMS a un servizio di messaggistica come WhatsApp, e chiedere alle vittime anche di investire denaro su false piattaforme di criptovalute o altri siti finanziari fraudolenti.
Un altro attacco comune consiste nello spoofing di tipologie di messaggi legittime, come notifiche di consegna o reimpostazione della password, che possono condurre a siti di smishing o, meno comunemente, all’invio di malware.
Infine, oltre alle minacce palesi, le piattaforme di messaggistica vengono abusate anche per inviare spam assumendo la forma di messaggi politici, offerte locali o avvisi per campagne sociali. Nella maggior parte dei casi questi messaggi non rispettano le impostazioni di opt-in/opt-out o permettono agli utenti di richiedere la rimozione.