Chat criptate, vecchi trucchi: perché il phishing sta andando oltre gli SMS
Operazioni di phishing in lingua cinese starebbero facendo sempre più affidamento su RCS e iMessage per distribuire esche di furto di credenziali all'interno di app di messaggistica fidate, dove le difese dell'era SMS sono più deboli.
Introduzione
L'aspetto interessante di questo cambiamento non è che gli aggressori abbiano trovato un modo per rompere la crittografia. È che non ne hanno più bisogno. Se una vittima può essere convinta a digitare una password o un codice monouso dentro un thread di chat familiare, l'aggressore ha già vinto la parte che conta di più. Ecco perché le app di messaggistica sono diventate un terreno così attraente per il phishing: combinano fiducia, comodità e urgenza in un'unica schermata.
Fatti rapidi
- Le reti di phishing-as-a-service in lingua cinese vengono collegate a tentativi di furto di credenziali e di aggiramento dell'MFA in RCS e iMessage.
- La tattica prende di mira la fiducia dell'utente in un'app di chat invece di cercare di intercettare il traffico criptato.
- La verifica basata su SMS resta un ripiego più debole rispetto ai metodi di autenticazione resistenti al phishing.
- PhaaS abbassa la barriera d'ingresso per i gruppi di phishing, impacchettando infrastruttura e strumenti per le campagne.
- Il rilevamento dello spam lato client e la verifica dell'utente contano di più quando il canale di messaggistica è privato per progettazione.
Corpo
RCS e iMessage non sono la stessa cosa dei semplici SMS. Nelle implementazioni supportate, possono usare protezioni di trasporto più forti, e questo rende meno utili i filtri lato operatore. Ma il confine di sicurezza si è spostato, non è scomparso. Il messaggio arriva comunque a un endpoint, e l'endpoint appartiene ancora a una persona che può essere manipolata.
È qui che il phishing-as-a-service diventa pericoloso. Le operazioni PhaaS possono abbassare la barriera d'ingresso e aiutare gli operatori a scalare le campagne senza bisogno di competenze tecniche approfondite. Invece di costruire tutto da zero, i gruppi possono riutilizzare pagine-esca, automatizzare i messaggi di follow-up e concentrarsi sull'ingegneria sociale. Quando queste esche arrivano in un'app di messaggistica ricca di funzionalità, possono sembrare più legittime di un rozzo invio di SMS in massa.
La lezione più ampia sull'autenticazione è altrettanto importante. Le indicazioni degli standard considerano gli SMS o altri codici monouso consegnati tramite PSTN come un'opzione a rischio più elevato rispetto agli autenticatori crittografici, perché i codici possono essere inoltrati, reindirizzati o rubati tramite ingegneria sociale. Ciò non significa che ogni accesso via SMS sia destinato a fallire, ma significa che gli SMS non dovrebbero essere trattati come una prova forte di identità quando esiste un'opzione migliore.
Dal punto di vista difensivo, il vero punto debole è spesso il rapporto di fiducia attorno al messaggio. Un prompt malevolo può chiedere una password, un codice di recupero o la conferma di un account fingendo di provenire da un contatto o da un servizio che la vittima già utilizza. Anche quando il livello di trasporto è criptato, la decisione umana resta esposta.
Le organizzazioni dovrebbero quindi orientarsi verso MFA resistente al phishing, come passkey o chiavi di sicurezza hardware, e dovrebbero considerare sospette le richieste inattese di credenziali o di codici di recupero nelle app di chat finché non vengono verificate tramite un canale noto e affidabile. Le informazioni disponibili supportano un'analisi del rischio, non l'affermazione che la crittografia sia fallita. Mostrano qualcosa di più pratico: gli aggressori stanno imparando a vivere all'interno degli stessi sistemi di messaggistica sicura che un tempo i difensori vedevano come una barriera.
Conclusione
La lezione è semplice ma scomoda. I controlli di sicurezza che funzionano contro il vecchio spam via SMS non funzionano automaticamente contro canali di chat fidati e criptati. Man mano che il phishing si avvicina all'utente, le difese più preziose non sono più solo filtri e gateway. Sono l'autenticazione resistente al phishing, abitudini di verifica attente e il rifiuto di fidarsi di un messaggio solo perché è arrivato in un'app sicura.
TECHCROOK
chiave di sicurezza hardware: Un piccolo dispositivo fisico di accesso per account che supportano l'MFA resistente al phishing. È utile per proteggere email, gestori di password e altri servizi importanti con un secondo fattore più difficile da inoltrare rispetto a un codice di testo. Conserva una chiave di backup in un luogo separato nel caso in cui quella principale venga smarrita.
WIKICROOK
- RCS: Rich Communication Services, uno standard di messaggistica moderno con funzionalità più ricche degli SMS e, in alcune implementazioni, crittografia end-to-end.
- iMessage: il servizio di messaggistica di Apple per dispositivi Apple, progettato per proteggere il contenuto dei messaggi tra dispositivi registrati.
- Phishing-as-a-service (PhaaS): un modello di servizio criminale che impacchetta infrastruttura e strumenti di phishing per gli operatori.
- MFA resistente al phishing: metodi di autenticazione come passkey o chiavi di sicurezza hardware progettati per resistere al reindirizzamento delle credenziali e al furto dei codici.
- Verifica SMS: codici monouso consegnati tramite messaggio di testo, utili ma più deboli degli autenticatori crittografici in ambienti ad alto rischio.




