Sms dall’Inps su indennità Covid-19? Occhio alla truffa!

InfoSec.news del 11 aprile 2020

Dopo gli eventi che hanno coinvolto il Portale INPS , è arrivata la notizia anche dei prevedibili attacchi informatici collegati all’evento di invio massivo delle domande da parte delle partite IVA per ottenere l’indennità di 600 euro. È lo stesso Ente previdenziale che con una segnalazione ha infatti allertato su una campagna di phishing svolta attraverso l’invio fraudolento di SMS con l’invito ad aggiornare la domanda di indennità COVID-19 e inducendo così gli utenti ad installare un malware in grado di consentire l’accesso remoto dei propri dispositivi al cybecriminale.
Come avevamo anticipato, l’attuale contesto di maggiore vulnerabilità degli utenti espone proprio a tali tentativi di attacco che sfruttano una ridotta percezione dei rischi e la correlata diminuzione delle cautele applicate. Infatti, il metodo di attacco rimane lo stesso: persuadere l’utente ad un “clic” dannoso, ingannando tramite un senso di urgenza (e quale urgenza maggiore del dover aggiornare i propri dati per ottenere l’agognata indennità?) con un misto di paura (perdere la possibilità di ottenere l’indennità) e desiderio (ricevere quanto prima il “bonus”). Mosso dall’onda emotiva, l’ignaro utente apre così la porta del proprio dispositivo ad ogni utilizzo da parte dell’attaccante il quale può avere pieno accesso a dati, informazioni e il controllo del dispositivo.
Anche la Polizia Postale e delle Comunicazioni ha pubblicato l’allerta relativa a tale campagna di smishing, ricordando agli utenti che la navigazione sicura dipende tanto dal mezzo quanto dall’utilizzatore, consigliando alcuni fondamentali accorgimenti di sicurezza che ogni utente può adottare. Fra questi, campeggiano la generale cautela di non aprire link esterni, non scaricare allegati e, soprattutto, di non avere fretta nell’eseguire le operazioni online.
Cogliendo lo spunto dell’accaduto, è possibile comprendere meglio che i metodi di attacco massivo basati sull’ingegneria sociale sono progettati attentamente per agire proprio sui grandi numeri degli utenti e sulla bassa percezione di rischio collegato alle attività condotte online. Con particolare riguardo allo smishing, l’esatta percezione di quanto il proprio telefono cellulare sia oramai un collettore di informazioni ed accessi non è sufficientemente diffusa. Uno smartphone può infatti essere collegato ad uno o più account aziendali o di organizzazioni, alle proprie carte fedeltà e a servizi condivisi con altri utenti in cloud, oltre che ovviamente ai propri profili social o ai servizi per la gestione dei pagamenti. Spesso però il profilo della sicurezza è così sottovalutato dallo stesso utente che questi non provvede a curare gli aggiornamenti di sicurezza o non applica la crittografia sul proprio smartphone, nonostante tali funzioni siano ampiamente disponibili e di facile impiego. 
Un’ulteriore cautela fondamentale per la sicurezza delle informazioni consiste nella selezione consapevole di quali dati rendere accessibili o disponibili attraverso il proprio smartphone. Ad esempio: non collegare tutti i propri account se non quelli strettamente necessari, o, ancor meglio, ricorrere ad un diverso dispositivo per svolgere l’attività professionale o lavorativa, in modo tale da evitare i rischi derivanti dall’impiego promiscuo degli strumenti.


Commenti