Nel panorama della cybersecurity, si sente spesso parlare di pericolo phishing come arma letale utilizzata dai cybercriminali per obiettivi economici. Un pericolo subdolo e silenzioso che viaggia su canali email e in grado di evolversi continuamente, fino a diventare sempre più difficile da riconoscere. Il phishing però ha un fratello tutt’altro che minore, anzi… è altrettanto temibile e allo stesso modo è necessario adottare una strategia strutturata per proteggersi. È lo smishing.
Cos’è lo smishing e perché oggi è ancora più insidioso
Considerata la variante principale del phishing, lo smishing si muove tramite SMS e continua a essere una delle tecniche più sfruttate per sottrarre dati, credenziali e risorse economiche, cercando di convincere l’utente a cliccare su link malevoli, scaricare malware ecc. Un semplice messaggio sullo smartphone può trasformarsi in un punto d’ingresso per attacchi molto più complessi.
Negli ultimi mesi abbiamo osservato un’evoluzione preoccupante del fenomeno:
In primis, i messaggi sono sempre più personalizzati, costruiti sulla base di informazioni raccolte da fonti pubbliche o da precedenti violazioni di dati. Inoltre, i link appaiono sempre più credibili, spesso abbreviati o mascherati, e rimandano a pagine web praticamente indistinguibili da quelle originali; gli stessi mittenti possono sembrare legittimi: banche, corrieri, enti pubblici, fornitori di servizi. Insomma, sembrano proprio messaggi inviati da mittenti autorevoli!
In linea generale, con il lavoro da remoto e l’uso quotidiano del mobile per accedere a email, documenti e gestionali cloud, non è più sufficiente proteggere solo PC e server. Ogni smartphone aziendale (o personale usato per lavoro) è un potenziale punto d’ingresso per un attacco.
Inoltre, mediamente l’utente mobile ha una soglia dell’attenzione spesso inferiore rispetto ad altri devices. Ecco perché lo smishing è diventato un vettore molto pericoloso per “infiltrazioni aziendali”, con un rischio molto importante per l’intera infrastruttura IT.
Smishing: il caso INPS
“Negli ultimi cinque anni le attività fraudolente si sono intensificate in modo significativo e, solo nei primi tre mesi del 2025, sono stati individuati 33 falsi domini INPS creati appositamente per sottrarre documenti di identità alle vittime” – recita il bollettino Cert-AGID.
A inizio marzo, sono stati tantissimi gli utenti italiani caduti nella truffa a tema INPS. L’utente riceve un SMS che lo avvisa di un presunto problema con un pagamento, con un link che rimanda a un sito identico a quello ufficiale dell’INPS. Una variante è quella che minaccia gli utenti con presunte conseguenze dal punto di vista penali per un’eventuale mancata presentazione della dichiarazione dei redditi.
L’utente inserisce le proprie credenziali, i propri documenti d’identità per la verifica: dati sottratti e rivenduti nel dark web, utilizzati per compiere altre truffe, aprire conti bancari e richiedere prestiti o altri finanziamenti, come avverte il CERT-Agid.
Longwave: soluzioni di protezione anti-smishing
Il contrasto allo smishing non può basarsi su un’unica soluzione. Serve un approccio integrato che combini consapevolezza, tecnologia e processi di risposta rapida.
Dal punto di vista tecnologico, è necessario implementare soluzioni di Mobile Threat Defense, per analizzare, rilevare e bloccare minacce su dispositivi mobili, anche in ambiti BYOD. In ottica smishing, l’analisi dei link e degli SMS in tempo reale è un fattore che può essere decisivo.
Ma nessuna tecnologia, da sola, può garantire sicurezza totale.
La prima vera barriera contro attacchi come lo smishing è un utente consapevole, informato e allenato a riconoscere i segnali del pericolo. I cybercriminali, infatti, puntano spesso sulla distrazione, sulla pressione psicologica e sull’assenza di conoscenze specifiche. Riconoscere gli attacchi smishing oggi è diventato veramente complesso, ma ci sono alcuni segnali che devono subito far scattare l’allarme:
- Tono urgente o allarmistico (“Ultimo avviso”, “Conto sospeso”, “Azione richiesta immediata”)
- Presenza di link abbreviati o non riconoscibili
- Richiesta di inserimento di dati personali direttamente via SMS
- Mittente che appare come un servizio noto ma ha un numero non ufficiale.
La protezione completa contro gli attacchi smishing passa quindi inevitabilmente attraverso una formazione strutturata degli utenti, un pilastro essenziale nella prevenzione contro le violazioni. Un percorso strutturato di cybersecurity awareness costruito “ad hoc” in base al rischio e al ruolo in azienda consente di ridurre drasticamente il rischio di attacco, rafforzando la sensibilità alla tematica e il senso di responsabilità.
Formazione e strumenti come la Mobile Threat Defense non sono alternative, ma alleati complementari.
Le tecnologie rilevano e bloccano, ma l’utente consapevole è spesso l’unico in grado di prevenire l’errore umano.
Red Team: scopri il nostro servizio smishing
Aspetto sicuramente non da considerare in secondo piano, sono le simulazioni di phishing e smishing controllate. Il Red Team Longwave propone un servizio di smishing per mettere alla prova le “difese umane” dell’azienda: gli utenti.
Ogni campagna di simulazione inizia con l’analisi del livello di rischio e della tipologia di utenti (operativi, amministrativi, manager, tecnici) per una conseguente personalizzazione dei messaggi, perché siano il più possibile “accattivanti” e in linea con le rispettive mansioni (corrieri, banche, enti interni, servizi cloud), inserendo link tracciati ma sicuri che portano a pagine di feedback. Un report dettagliato evidenzia l’utente che ha cliccato, chi ha inserito i dati e chi ha segnalato l’anomalia correttamente. Inoltre, vengono condivise le best practices e discusse in un debriefing collettivo o per team.
