$80 Billion Lost to SMS Fraud Last Year. The Good News Is Wrong.

Le frodi mobili si spostano dai SMS a canali più difficili da tracciare

Le frodi mobili si spostano dai SMS a canali più difficili da tracciare

Una buona notizia che nasconde una realtà più complessa

Le proiezioni dicono che le perdite globali da frode mobile diminuiranno dell’11% nel 2026, passando da 80 miliardi di dollari a 71 miliardi. A prima vista, sembra un progresso incoraggiante. In realtà, la frode non sta scomparendo: si sta trasformando. I criminali stanno abbandonando i canali tradizionali per spostarsi verso piattaforme più difficili da controllare, utilizzando tecnologie più sofisticate e dati rubati per creare attacchi incredibilmente personalizzati.

La soluzione rapida: se la vostra organizzazione comunica con i clienti tramite dispositivi mobili, non potete più contare solo su filtri SMS. Dovete monitorare il vostro ecosistema di dati, proteggere i numeri di telefono come informazioni critiche e integrare i team di sicurezza e frode sotto un unico comando.

Perché i numeri sembrano migliorare quando in realtà peggiorano

Il calo delle perdite da SMS riflette un cambiamento tecnico, non una vittoria sulla frode. I filtri a livello di operatore stanno bloccando meglio i domini di smishing noti. Le autorità di regolamentazione negli Stati Uniti e a livello internazionale stanno pressando gli operatori telefonici per migliorare i filtri. Di conseguenza, nascondere traffico fraudolento nel traffico SMS legittimo sta diventando più costoso e più facile da rilevare per le organizzazioni criminali.

Ma questo non significa che i criminali stiano chiudendo i loro affari. Significa che si stanno muovendo verso nuovi canali.

Dove si sta spostando la frode mobile

L’infrastruttura dietro le grandi campagne di frode mobile non viene smantellata. Viene reindirizzata verso canali dove i filtri degli operatori non possono arrivare.

iMessage e RCS sono la nuova infrastruttura di consegna. Piattaforme sofisticate di Phishing-as-a-Service, incluse Darcula e Lucid (entrambe collegate a reti criminali di lingua cinese), si sono largamente spostate da SMS a Apple iMessage e al protocollo Rich Communication Services di Google. Il motivo è strutturale: iMessage e RCS utilizzano la crittografia end-to-end, il che rende impossibile agli operatori di rete ispezionare o filtrare il contenuto dei messaggi. I controlli anti-spam degli operatori sono inutili quando non riescono a leggere il messaggio. Bolle blu che sembrano legittime da indirizzi sconosciuti ora trasportano link di phishing verso più di 100 paesi.

WhatsApp e Telegram trasportano campagne personalizzate. Quando gli attaccanti hanno informazioni personali di alta qualità, come i dati di prenotazione dalla recente violazione di Booking.com o i record di viaggio da violazioni del settore dell’aviazione, li utilizzano per costruire campagne mirate su piattaforme di messaggistica affidabili. Un messaggio WhatsApp che cita correttamente il vostro hotel, la data di check-in e il numero di prenotazione aggira l’istinto che identifica lo smishing generico. Queste campagne non sono attacchi ad alto volume. Sono colpi di precisione costruiti da dati violati.

L’intelligenza artificiale sta eliminando la qualità minima. I segnali rivelativi che storicamente aiutavano i destinatari a identificare lo smishing – frasi goffa, errori grammaticali, esca generica – stanno scomparendo. Gli aggiornamenti dei kit di phishing alimentati da IA hanno dato anche agli operatori di basso livello la capacità di generare messaggi grammaticalmente perfetti, contestualizzati localmente e accurati dal punto di vista del marchio, in qualsiasi lingua, su larga scala, in pochi minuti. Le campagne di smishing alimentate da IA stanno ora raggiungendo tassi di clic fino al 54%. Il divario tra smishing generato da IA e comunicazione mobile legittima si sta riducendo rapidamente.

La pipeline di monetizzazione è automatizzata e in tempo reale. Le moderne piattaforme PhaaS trasmettono i dati inseriti dalle vittime agli operatori carattere per carattere mentre la vittima digita, inclusi numeri di carta, PIN e codici monouso. I dati delle carte rubate vengono verificati automaticamente e in tempo reale rispetto ai sistemi bancari. L’intera catena da un clic di una vittima al provisioning fraudolento di carte a un portafoglio digitale può completarsi in meno di tre minuti. La perdita finanziaria media di 800 dollari per vittima di smishing sottostima il valore della frode a valle di un singolo furto di credenziali riuscito.

Ogni settore verticale è esposto

La migrazione dei canali dalla frode SMS alla messaggistica crittografata e alle esche personalizzate dall’IA colpisce ogni settore che detiene dati personali, elabora pagamenti o comunica con i clienti attraverso canali mobili.

Servizi finanziari: Banche e fintech sono l’obiettivo primario di imitazione nelle campagne di smishing perché l’urgenza finanziaria di un avviso di frode o di una nota di sospensione dell’account spinge all’azione immediata. Le perdite da truffe rappresentano miliardi di dollari ogni anno. Le banche sono sempre più responsabili della frode di trasferimento autorizzato in ambienti normativi che richiedono il rimborso, creando esposizione istituzionale diretta quando i loro clienti vengono smishing con successo per approvare trasferimenti fraudolenti.

Operatori di telecomunicazioni: I dati degli abbonati telefonici, che includono nomi, numeri di telefono, dettagli dell’account e cronologia dei servizi, sono la materia prima per campagne di imitazione mobile altamente mirate. Quando gli attaccanti hanno il vostro operatore, il numero dell’account e l’indirizzo del servizio, un falso avviso di account è quasi indistinguibile da uno legittimo.

Retail e e-commerce: I lure di consegna dei pacchi e conferma dell’ordine rimangono il modello di smishing a più alto volume a livello globale. I dati di violazione al dettaglio che includono numeri di telefono, indirizzi di spedizione e cronologie degli ordini consentono lo smishing di consegna personalizzato che fa riferimento a ordini recenti reali.

Viaggi e aviazione: I dati di prenotazione dei viaggi combinano nomi, numeri di telefono, piani di viaggio, dettagli dell’alloggio e record finanziari in un unico pacchetto. Questa combinazione è straordinariamente preziosa per gli operatori di smishing che costruiscono esche attorno ai viaggi imminenti.

Registri sanitari: I record sanitari sono il rischio di frode d’identità più persistente perché contengono la più ampia gamma di informazioni personali: nomi, date di nascita, indirizzi, identificatori di assicurazione e cronologia del trattamento. Le campagne di smishing sanitario che fanno riferimento alla cronologia reale degli appuntamenti o ai reclami assicurativi producono tassi di risposta delle vittime che le campagne generiche non possono eguagliare.

Governo e infrastrutture critiche: Lo smishing delle strade a pedaggio è l’esempio più visibile attualmente di infrastrutture governative utilizzate come armi in campagne di frode mobile. I reclami legati specificamente allo smishing relativo ai pedaggi rappresentano decine di migliaia di segnalazioni ogni anno.

I dati vengono prima, la campagna di smishing segue

La ragione per cui lo smishing sta diventando più efficace, anche se diminuisce il volume grezzo di SMS, è la qualità dei dati di identità sottostanti che alimentano le campagne. Questi dati provengono da violazioni. Provengono da log di infostealer. Provengono da record di violazione ricchi di informazioni personali che mostrano aumenti significativi anno su anno.

La connessione tra l’esposizione dei dati e le campagne di frode mobile non è incidentale. È la realtà operativa di come funziona la frode mobile moderna. Gli attaccanti non generano i propri dati di targeting. Li acquistano, li raccolgono da campagne di phishing o li estraggono da pacchetti di violazione che circolano nei mercati sotterranei.

Cosa dovrebbero fare le organizzazioni adesso

Smettere di trattare lo smishing come un problema SMS. I filtri specifici di SMS e i controlli a livello di operatore affrontano una quota in diminuzione della minaccia. La stessa infrastruttura criminale sta ora operando su iMessage, RCS, WhatsApp e Telegram con evasione sostanzialmente migliore. Le vostre difese contro la frode mobile devono tenere conto del panorama completo dei canali, non solo della messaggistica di testo tradizionale.

Monitorare l’ecosistema di violazione come indicatore principale del rischio di campagna. Ogni grande campagna di smishing è preceduta da un evento di acquisizione di dati: una violazione, un’infezione di infostealer, un acquisto di dati nel dark web. Le organizzazioni che monitorano l’esposizione dei dati dei clienti e dei dipendenti nei mercati sotterranei ricevono un preavviso prima dell’avvio di queste campagne.

Trattare i numeri di telefono come informazioni personali ad alto rischio. I numeri di telefono sono il vettore di consegna per la frode mobile. Meritano gli stessi controlli di accesso, protocolli di risposta alle violazioni e monitoraggio dell’esposizione dei dati delle carte di pagamento e delle credenziali dell’account. La maggior parte delle organizzazioni non ha visibilità su dove i numeri di telefono dei loro clienti circolano nei mercati sotterranei. Questo divario di visibilità è dove iniziano le campagne di smishing.

Connettere i team di frode e sicurezza alla stessa intelligence. Le operazioni di frode mobile superano il confine tradizionale tra la sicurezza informatica e la prevenzione delle frodi. Il furto di credenziali è un problema di sicurezza. Il pagamento fraudolento è un problema di frode. L’esca di smishing che li collega è un problema di comunicazione mobile. Le organizzazioni che operano questi come silos separati perdono il quadro completo. L’intelligence sull’identità che copre tutti e tre dà ai team di frode e sicurezza un quadro operativo comune.

Dare priorità ai settori con i dati che consentono la maggior personalizzazione. Le organizzazioni sanitarie, i servizi finanziari, i viaggi e le telecomunicazioni detengono i tipi di dati – nomi, numeri di telefono, cronologia dell’account, dettagli delle transazioni – che rendono le campagne di smishing più convincenti. Se la vostra organizzazione è in uno di questi settori, la vostra esposizione a campagne di smishing personalizzate è strutturalmente più alta rispetto alle organizzazioni che detengono meno dati personali contestuali.

Technical Deep Dive

Architettura della frode mobile moderna

Le piattaforme PhaaS contemporanee operano secondo un modello operativo che integra diversi componenti tecnici:

Infrastruttura di consegna multi-canale: Le piattaforme come Darcula e Lucid mantengono endpoint su SMS, iMessage, RCS, WhatsApp, Telegram e altre piattaforme di messaggistica. Questa ridondanza garantisce che se un canale viene filtrato o bloccato, il traffico viene reindirizzato automaticamente attraverso altri canali. L’uso della crittografia end-to-end su iMessage e RCS elimina la possibilità di ispezione del contenuto a livello di rete, rendendo i filtri tradizionali inefficaci.

Raccolta e correlazione dei dati: Gli attaccanti utilizzano algoritmi di machine learning per correlare i dati di violazione con informazioni di contatto pubblicamente disponibili, registri di social media e dati di transazione acquisiti. Questo processo di arricchimento dei dati crea profili di targeting ad alta fedeltà che includono non solo nomi e numeri di telefono, ma anche contesto comportamentale, cronologia di transazione e preferenze di comunicazione.

Generazione di contenuti alimentata da IA: I modelli di linguaggio di grandi dimensioni, addestrati su campagne di smishing storiche e comunicazioni legittimate, generano messaggi che superano i filtri di rilevamento del contenuto. Questi modelli producono variazioni linguistiche localizzate che mantengono coerenza di marca mentre evitano firme di contenuto note.

Automazione della verifica delle credenziali: Quando una vittima inserisce credenziali, i sistemi di backend verificano immediatamente queste credenziali rispetto ai servizi bancari, ai sistemi di gestione dell’account e agli endpoint di autenticazione. Questo processo avviene in tempo reale, con i risultati della verifica trasmessi agli operatori che decidono se procedere al passaggio successivo della catena di attacco.

Provisioning di frode in tempo reale: Una volta verificate le credenziali, i sistemi automatizzati avviano il provisioning di frode su portafogli digitali, effettuano trasferimenti di fondi e modificano le impostazioni dell’account. L’intera pipeline, dal clic iniziale al completamento della frode, avviene in pochi minuti.

Vettori di evasione tecnica

Crittografia end-to-end: iMessage e RCS utilizzano protocolli di crittografia che rendono il contenuto dei messaggi illeggibile agli operatori di rete. Questo elimina efficacemente i controlli anti-spam a livello di operatore, poiché questi sistemi dipendono dall’ispezione del contenuto dei messaggi.

Spoofing di identità: Gli attaccanti utilizzano servizi di routing di messaggi internazionali per inviare messaggi che appaiono come originari da numeri di telefono legittimi. I servizi di routing non verificato consentono il masquerading di numeri brevi di codice (short codes) ufficiali utilizzati da banche e servizi.

Evasione del filtro di contenuto: L’utilizzo di Unicode, caratteri invisibili e codifiche alternative consente ai messaggi di aggirare i filtri basati su firma che cercano stringhe di testo note associate a smishing.

Raccomandazioni tecniche di mitigazione

Le organizzazioni dovrebbero implementare:

  • Monitoraggio multi-canale: Estendere i sistemi di rilevamento delle frodi oltre SMS per includere iMessage, RCS, WhatsApp e Telegram. Questo richiede integrazione con API di terze parti e sistemi di raccolta di messaggi.

  • Correlazione dei dati di violazione: Implementare sistemi di monitoraggio continuo che cercano nei mercati sotterranei informazioni personali dell’organizzazione. Questo fornisce un preavviso prima che i dati vengano utilizzati in campagne.

  • Autenticazione multi-fattore robusto: Implementare autenticazione che non dipenda da SMS o da dati facilmente phishabili. L’autenticazione biometrica e le chiavi di sicurezza hardware forniscono protezione superiore.

  • Analisi comportamentale: Implementare sistemi che identificano modelli di transazione anomali che indicano credenziali compromesse, indipendentemente dal canale attraverso il quale sono state acquisite.

Fonte: https://securityboulevard.com/2026/04/80-billion-lost-to-sms-fraud-last-year-the-good-news-is-wrong/

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto