Social Engineering: 7 minacce alla sicurezza aziendale

Smishing

Lo smishing è una forma di phishing simile al vishing, che sfrutta i messaggi di testo (SMS) o messaggi di testo su app di messaggistica come WhatsApp o Telegram per trarre in inganno le vittime. La parola “smishing” deriva dalla combinazione di “SMS” e “phishing.”

Gli attaccanti inviano messaggi apparentemente legittimi che inducono le persone a compiere azioni dannose, come cliccare su link malevoli, condividere informazioni personali o persino effettuare trasferimenti di denaro.

Una strategia integrata di difesa informatica puoi ridurre con successo il rischio associato allo smishing e proteggere l’integrità dei dati aziendali.

Esempi di smishing aziendale

1. Messaggi bancari fraudolenti: un dipendente riceve un SMS che sembra provenire dalla sua banca. Il messaggio afferma che c’è un problema con il suo account e chiede di fare clic su un link per risolverlo. In realtà, il link porta a un sito web falso che ruba le credenziali bancarie.
2. Offerte di lavoro fasulle: un individuo in cerca di lavoro riceve un messaggio che sembra essere una promessa di un’opportunità di lavoro eccellente. Tuttavia, il link per “applicare” richiede l’inserimento di informazioni sensibili.
3. Richieste di pagamenti falsi: un dipendente riceve un messaggio che sembra provenire da un fornitore aziendale. Il messaggio chiede un pagamento urgente a un nuovo conto bancario. In realtà, l’attaccante cerca di rubare fondi aziendali.

Strategie chiave per proteggere l’azienda dallo smishing

1. Formazione e consapevolezza dei dipendenti sulla minaccia dello smishing e su come riconoscerlo, fornendo esempi di messaggi smishing e spiegando loro di non cliccare su link sospetti o condividere informazioni sensibili tramite SMS. Incoraggiare i dipendenti a verificare l’autenticità dei messaggi ricevuti. In caso di dubbi su un messaggio, dovrebbero contattare direttamente la fonte, come la banca o il fornitore, per confermare la richiesta.
2. Filtri Anti-Smishing in grado di rilevare messaggi di testo sospetti. Questi filtri possono bloccare automaticamente i messaggi che sembrano essere smishing.
3. Politiche di sicurezza chiare che vietino il trasferimento di fondi o la condivisione di informazioni aziendali via SMS o app di messaggistica senza un’adeguata verifica.
4. Mantenere aggiornati i dispositivi aziendali con le ultime patch di sicurezza e software antivirus.
5. Sicurezza a due fattori (2FA).
6. Segnalazione degli incidenti: importante istituire un processo di segnalazione degli incidenti in modo che i dipendenti possano informare tempestivamente l’azienda se ricevono messaggi di smishing.