Why is smishing more effective than email phishing?

SMS phishing (smishing) achieves click rates 6 to 10 times higher than email phishing. People trust text messages more because they feel personal and immediate. Mobile screens truncate URLs, making it harder to spot fakes. Push notifications create urgency. And most phones lack the anti-phishing filters that protect email inboxes. Proofpoint's 2023 report found 76% of organizations experienced smishing attacks.

How can you tell if a text message is a smishing attempt?

Watch for unexpected messages from delivery services, banks, or IT departments. Be suspicious of shortened URLs, urgent language about account lockouts or missed deliveries, and requests to verify personal information. Legitimate organizations rarely ask for credentials via text. Instead of tapping any link, open the official app or website directly. If a message claims to be from a colleague, verify through a separate channel.

Sfavillante

Detect fraud hiding in your text messages.

Cos’è Sfavillante?

Lo smishing e il phishing distribuito tramite messaggi SMS, e sta crescendo piu rapidamente di qualsiasi altro canale di phishing. Il rapporto 2023 State of the Phish di Proofpoint ha rilevato che il 76% delle organizzazioni ha subito attacchi smishing, con tassi di click sui link SMS malevoli da 6 a 10 volte superiori rispetto al phishing via email. Il motivo e semplice: le persone si fidano piu del loro telefono che della casella di posta elettronica, e gli schermi mobili rendono piu difficile ispezionare gli URL prima di toccare. In questa simulazione, ricevi un messaggio di testo che sembra una notifica di consegna pacchi, un avviso di sicurezza bancaria o una richiesta di reimpostazione password del dipartimento IT. Il messaggio e breve, urgente e contiene un URL abbreviato che oscura la destinazione reale. Su un piccolo schermo mobile, le differenze tra un link legittimo e uno malevolo sono quasi invisibili. Imparerai a rallentare la tua risposta invece di reagire all'urgenza creata dal messaggio. L'esercizio ti insegna a verificare le notifiche di consegna andando direttamente sul sito web o l'app del corriere piuttosto che cliccare il link, a chiamare la tua banca usando il numero sul retro della carta invece di seguire le istruzioni via SMS, e a inoltrare i messaggi sospetti al team di sicurezza della tua organizzazione. Vedrai anche come gli attaccanti registrano domini simili che differiscono di un singolo carattere, usano accorciatori di URL per nascondere destinazioni malevole e tempificano i loro messaggi in concomitanza con eventi reali come consegne di pacchi effettive o transazioni bancarie recenti per aumentare la credibilita.

Cosa imparerai in Sfavillante

Identificare le caratteristiche dei messaggi smishing tra cui URL abbreviati, linguaggio di urgenza e impersonazione di servizi noti
Verificare la legittimita degli avvisi SMS navigando direttamente su app o siti web ufficiali piuttosto che cliccare sui link incorporati
Spiegare perche i tassi di click del phishing via SMS sono significativamente piu alti del phishing via email e come i piccoli schermi mobili riducono la capacita di ispezione
Inoltrare messaggi di testo sospetti al team di sicurezza della tua organizzazione utilizzando le procedure di segnalazione stabilite
Riconoscere le tattiche di smishing basate sulla tempistica in cui gli attaccanti inviano messaggi che coincidono con eventi reali per aumentare la credibilita

Sfavillante — Fasi della formazione

Introduzione

In questo corso di formazione sperimenterai un attacco smishing orchestrato da Bob, un criminale informatico che mira a rubare le tue credenziali attraverso tattiche ingannevoli.
Ricezione del testo sospetto

Nei panni di Alice, il tuo cellulare ronza improvvisamente sulla tua scrivania, indicando un nuovo messaggio di testo. Incuriosito dalla notifica inaspettata durante la tua intensa mattinata, prendi il telefono per controllarlo.
Facendo clic sul collegamento sospetto

Nei panni di Alice, ti senti a disagio per il messaggio di testo ma sei preoccupato per il presunto problema dell'account. Sotto la pressione del tono urgente, decidi di aprire il collegamento sospetto per indagare ulteriormente.
Visualizzazione della pagina di accesso falsa

Il collegamento apre una pagina Web che imita da vicino il portale di accesso ufficiale di CypherPeak Technologies, completo di logo, colori e layout dell'azienda. Ti viene richiesto di inserire nome utente e password per 'verificare' il tuo account. Bob ha progettato questo sito falso per indurti a condividere le tue credenziali, sfruttando la fiducia ispirata dal suo aspetto professionale. L'URL, http://cypherpeak-secure-login.com, è diverso dal sito ufficiale, ma la somiglianza è ingannevole.
Immissione delle credenziali

Nei panni di Alice, sei rassicurato dall'aspetto familiare della pagina web e, ancora preoccupato per il problema urgente dell'account, decidi di inserire il tuo nome utente e la tua password nel portale di accesso falso per risolvere il presunto problema.
Incontro con una pagina di errore

Dopo aver inserito le credenziali, la pagina Web visualizza un messaggio di errore: 'Impossibile verificare l'account. Riprova più tardi.' Nei panni di Alice, questo errore inaspettato aumenta la tua preoccupazione, facendoti sospettare che ci sia qualcosa che non va nel processo di accesso o nel tuo account. A tua insaputa, Bob ha già catturato le tue credenziali e si prepara a usarle in modo improprio. Questa pagina di errore è una tattica comune negli attacchi smishing per sviare i sospetti mentre l'aggressore ottiene l'accesso.
Bob accede al sistema

Bob ora utilizza le credenziali rubate per azioni dannose come l'esfiltrazione di dati. Ciò dimostra l’impatto reale dello smishing: oltre ai semplici dettagli di accesso, può compromettere interi sistemi.
Ricezione dell'e-mail di avviso di accesso

Nei panni di Alice, apri la tua app di posta elettronica la mattina successiva e trovi un'e-mail di avviso di accesso dal reparto IT di CypherPeak Technologies.
Segnala l'incidente

Nei panni di Alice, allarmata dall'e-mail di avviso di accesso e ricordando il testo sospetto e la pagina di errore, decidi di rispondere all'e-mail del dipartimento IT per segnalare l'incidente. La segnalazione è fondamentale per la mitigazione. Descrivi l'incidente in modo accurato per aiutare l'IT a rispondere in modo efficace. Anche i sospetti attacchi dovrebbero essere segnalati.
Accesso al sito aziendale

Dopo aver segnalato l'incidente, intraprendi azioni immediate per proteggere il tuo account accedendo al sito Web aziendale ufficiale di CypherPeak Technologies per aggiornare la tua password attraverso il portale sicuro. Per garantire la sicurezza, accedi manualmente al sito Web ufficiale utilizzando il browser, evitando qualsiasi collegamento da messaggi sospetti.

Cos’è Sfavillante?

Cosa imparerai in Sfavillante

Sfavillante — Fasi della formazione

Introduzione

Ricezione del testo sospetto

Facendo clic sul collegamento sospetto

Visualizzazione della pagina di accesso falsa

Immissione delle credenziali

Incontro con una pagina di errore

Bob accede al sistema

Ricezione dell'e-mail di avviso di accesso

Segnala l'incidente

Accesso al sito aziendale