Torna al blog
Intelligence sulle minacce·11 min di lettura

Phishing via SMS nel 2026: anatomia di tre campagne reali

Truffe di pacchi USPS, finte bollette di pedaggi e SMS di conferma rimborso guidano oggi più furti di credenziali del phishing via email per gli utenti mobile. Analizziamo il funzionamento concreto di tre campagne — l'esca, l'infrastruttura, perché continuano a funzionare e cosa le intercetta.

Di Casper's Cloak Security Team

In breve: il phishing via SMS — "smishing" — ha superato il phishing via email come principale vettore di furto di credenziali per gli utenti mobile intorno al 2024, con un'accelerazione nel corso del 2025–2026. Le ragioni sono strutturali: i telefoni non hanno un equivalente di Safe Browsing per gli SMS, le anteprime dei link sono quasi assenti, i link abbreviati sembrano legittimi e le persone toccano lo schermo con molta meno attenzione di quanto non facciano clic su un browser desktop. Tre campagne dominano attualmente per volume. Ecco esattamente come funziona ciascuna.

Campagna 1 — Smishing USPS "pacco non consegnabile"

Attiva dal 2023. Volume secondo i dati FTC/USPS: ~5 milioni o più di destinatari negli Stati Uniti al mese nel periodo di picco. Attribuita dall'FBI e dai ricercatori di sicurezza (Resecurity, Trend Micro) al cluster di lingua cinese "Smishing Triad".

L'esca

Arriva un SMS, in genere la mattina o nel primo pomeriggio, che sostiene che il pacco del destinatario ha un "indirizzo incompleto" e verrà restituito se non si confermano i dettagli entro 24 ore. Il messaggio include un link che sembra USPS (varianti come usps-track[.]top, uspstracking-info[.]com, us-postss[.]cn) ma è registrato su domini usa-e-getta creati ore o giorni prima. La maggior parte delle persone è in attesa di un pacco — da Amazon, un rivenditore online, un regalo di un amico — e i tempi favoriscono la conversione.

Cosa succede cliccando

Una pagina clone di USPS pixel-perfect chiede l'indirizzo (per "riconsegnare"), poi scala a una "spesa di riconsegna" di 1,99–3,50 dollari richiedendo i dati della carta di credito. Il modulo della carta è il vero obiettivo: numero di carta completo, CVV, scadenza, indirizzo di fatturazione, numero di cellulare per "la conferma SMS della consegna". La carta viene quindi usata o venduta nel giro di ore. Le informazioni raccolte — nome completo, indirizzo, telefono, ultime 4 cifre della carta — alimentano anche attacchi successivi (telefonate da finte banche, tentativi di acquisizione dell'account).

Perché funziona

  • La maggior parte delle persone ha un pacco in transito in un dato momento — alta probabilità a priori che il destinatario creda alla premessa.
  • USPS normalmente non manda SMS — ma la maggior parte degli utenti non lo sa, e il marchio è universalmente riconosciuto.
  • La "piccola commissione" (1,99 $) sembra troppo piccola per combattere; le persone pagano e vanno avanti.
  • I domini ruotano ogni pochi giorni, quindi le difese basate solo su blocklist restano indietro rispetto alla campagna.

Cosa la intercetta

Il pattern dei domini è altamente prevedibile: varianti USPS con trattino, TLD .top / .cn / .info, registrati tramite registrar in lingua cinese, ospitati dietro Cloudflare o proxy a rotazione di AS, certificati rilasciati da Let's Encrypt o ZeroSSL nelle ultime 48 ore. Un classificatore ML addestrato su queste caratteristiche intercetta i nuovi domini la prima volta che qualcuno li raggiunge — molto prima che appaiano su PhishTank o nelle principali blocklist commerciali. Il classificatore è l'intero punto cardine del rilevamento delle minacce a livello di rete.

Campagna 2 — Smishing pedaggi non pagati (E-ZPass, SunPass, FasTrak)

Aumentata nel 2024 quando gli stati sono passati al pagamento elettronico dei pedaggi. L'FBI IC3 ha emesso un avviso pubblico nell'aprile 2024. Ora colpisce tutti i 50 stati (e gli utenti canadesi) con varianti del marchio specifiche per stato.

L'esca

"[DOT statale o ente autostradale]: Hai un saldo pedaggi non pagato di 4,27 $. Paga entro [data] per evitare una penale. Paga qui: ezpass-payments[.]com." L'importo è piccolo. Il nome del marchio corrisponde allo stato ("E-ZPass" nel Nord-Est, "FasTrak" in California, "SunPass" in Florida, "TxTag" in Texas, "I-Pass" in Illinois). Il link sembra a prima vista il sito reale dell'ente autostradale. I residenti negli stati con pedaggi solo elettronici — ormai la maggior parte del paese — hanno plausibilmente usato un'autostrada di recente.

Cosa succede cliccando

Un clone del portale di pagamento dell'ente autostradale del relativo stato, personalizzato per stato. Il modulo chiede nome completo, indirizzo, telefono, targa (per "cercare la violazione"), quindi indirizza a una schermata di pagamento che richiede i dati della carta di credito per il saldo irrisorio. Come con USPS, i dati della carta sono il premio, ma questa campagna raccoglie anche i dati della targa — utili per truffe successive (impersonificazione falsa del DMV, frode nella registrazione del veicolo, preparazione di frodi assicurative).

Perché funziona

  • Gli enti autostradali a volte contattano i conducenti via SMS o posta — la premessa è plausibile.
  • La maggior parte degli utenti non sa esattamente quanto deve in pedaggi e assume che i piccoli addebiti siano reali.
  • La minaccia di "penali" o "blocchi DMV" spinge al pagamento senza verifica.
  • Il mimetismo del marchio specifico per stato fa sì che i residenti di ogni regione vedano il marchio a loro familiare.

Cosa la intercetta

I domini delle truffe di pedaggi seguono una firma precisa: nome del marchio + payments/pay/billing nell'hostname, TLD .com / .net / .top, età di registrazione di ~24–72 ore, certificati dello stesso piccolo gruppo di CA gratuite, cluster ASN comuni (Cloudflare, Namecheap, provider di hosting noti per politiche permissive sugli abusi). Anche con la rotazione, un classificatore ML che valuta l'età di registrazione + la somiglianza hostname-marchio intercetta l'intera famiglia di campagne — inclusi i domini osservati per la prima volta sul tuo specifico dispositivo.

Campagna 3 — SMS di conferma rimborso (Apple, Amazon, Netflix, Walmart)

Attiva durante tutto il 2024–2026, con picchi stagionali di volume intorno al periodo dei rimborsi fiscali (febbraio–aprile negli USA) e per il Black Friday / Cyber Monday.

L'esca

"Apple ID: Un addebito di 239,99 $ per [iCloud Storage / Apple Music annuale / ecc.] è stato approvato oggi. Se non hai autorizzato questo, cancella qui: [link]." A volte Amazon ("Un addebito di 499,94 $ per [prodotto]…"). La premessa è un addebito che il destinatario non ha effettuato — la minaccia è finanziaria. La curiosità e l'allarme spingono al clic. Alcune varianti sono al contrario: "Il tuo rimborso di 237,45 $ è pronto. Conferma il tuo conto bancario per riceverlo." Stesso aggancio, inquadratura opposta.

Cosa succede cliccando

Un clone quasi perfetto della pagina di accesso all'account del marchio. Le credenziali raccolte qui sono più pericolose dei premi con carta di credito delle campagne 1 e 2: un Apple ID o un accesso Amazon apre la porta alla acquisizione dell'account — cronologia completa degli acquisti, metodi di pagamento salvati, saldi delle gift card, acquisti sull'App Store, possibilità di leggere email sensibili e accesso ad altri servizi che usano la stessa email per il recupero SSO. Molte varianti escalano ulteriormente: dopo la cattura delle credenziali, una falsa chat di supporto o un richiamo "da Apple" guida la vittima a leggere i codici 2FA via SMS ad alta voce, vanificando la protezione del secondo fattore.

Perché funziona

  • I veri SMS di fatturazione Apple/Amazon esistono, quindi la premessa è plausibile.
  • L'importo in dollari è calibrato specificamente per essere abbastanza alto da allarmare, ma non impossibilmente grande.
  • L'acquisizione dell'account è più preziosa per l'attaccante di un singolo colpo con carta di credito — una cattura "riuscita" di credenziali alimenta settimane di frodi successive.
  • I bersagli che interagiscono con la pagina delle credenziali si dimostrano chiaramente in fase di conversione — le operazioni di truffa-rimborso concentrano l'energia di follow-up lì, inclusa l'escalation della chiamata di supporto.

Cosa la intercetta

I domini delle truffe di rimborso tendono a sembrare apple-billing-verify[.]top, amazon-refund-claim[.]net, netflix-payment-update[.]com — di breve durata, con spoofing del marchio, registrati tramite registrar noti per essere permissivi con gli abusi. Il segnale del classificatore è essenzialmente lo stesso delle altre campagne: somiglianza hostname-marchio (punteggio Levenshtein rispetto a "apple.com", "amazon.com", "netflix.com"), età di registrazione, provider del certificato, infrastruttura di hosting. Intercetta la campagna alla prima osservazione, indipendentemente dalla specifica variante di marchio in uso.

Pattern comuni a tutte e tre

Tutte e tre le campagne condividono caratteristiche strutturali che le rendono rilevabili come classe:

  • Domini registrati di recente — solitamente meno di una settimana, spesso meno di 24 ore.
  • Mimetismo dell'hostname di un marchio riconosciuto — misurabile tramite punteggio di distanza di stringa rispetto a un elenco di marchi noti.
  • Certificati gratuiti da Let's Encrypt o ZeroSSL — anche i siti legittimi li usano, ma la combinazione "dominio nuovo + certificato gratuito + hostname che impersona un marchio" è altamente predittiva.
  • Hosting su un piccolo insieme di provider tolleranti agli abusi — con fronting Cloudflare, con server di origine in giurisdizioni note per la lentezza nelle azioni di rimozione.
  • Template di pagine che corrispondono a kit di phishing noti — le risorse UI specifiche del dominio vengono riutilizzate nelle campagne.
  • Struttura dell'URL — percorsi lunghi con token dall'aspetto casuale, uso frequente di redirect con query string.

Cosa non le intercetta

  • iOS Safe Browsing funziona solo in Safari. Il link di phishing toccato dall'app Messaggi si apre in una web view che non riceve la stessa protezione.
  • Il filtraggio SMS a livello di operatore blocca qualche volume ma ruota di rado — le campagne adattano il numero mittente e il filtro è permanentemente in ritardo.
  • "Non cliccare semplicemente su link sospetti" — un buon consiglio che fallisce con la piccola minoranza di messaggi in cui l'utente si aspetta davvero un pacco, un rimborso o una bolletta del pedaggio. Il volume è la strategia.
  • Le blocklist pure (PhishTank, OpenPhish, ecc.) — sono reattive. Quando un dominio viene segnalato e aggiunto, è già attivo da ore o giorni; gli operatori delle campagne ruotano prima che le liste li raggiungano.

Cosa le intercetta davvero

Il rilevamento delle minacce a livello di rete che esegue un classificatore ML sul dominio di destinazione al momento della risoluzione DNS. Il classificatore non ha bisogno che l'URL specifico sia stato segnalato da qualche parte — valuta le caratteristiche strutturali di cui sopra (età di registrazione, somiglianza al marchio, provider del certificato, ASN di hosting, forma dell'URL) e si rifiuta di risolvere i domini al di sopra della soglia di rischio. Questa è l'intera architettura del livello di protezione dalle minacce di Casper (spiegata in dettaglio qui), ed è l'unica cosa che colma materialmente il divario su queste tre campagne.

Un vantaggio più sottile: il classificatore di Casper riporta i falsi positivi (un utente ha contrassegnato un blocco come errato) nel riaddestramento. Le tre campagne sopra descritte sono ora ben classificate, ma gli operatori dietro di esse continuano a ruotare le tattiche — nuovi TLD, nuovi registrar, nuovi pattern di hosting. Un modello che apprende continuamente si adatta più rapidamente di qualsiasi blocklist statica.

Conclusione

Lo smishing sta vincendo in questo momento perché gli SMS sono il canale che gli utenti mobile sospettano meno, le protezioni integrate nel sistema operativo coprono solo un browser, e le campagne dominanti ruotano i domini più velocemente di quanto le blocklist reattive si aggiornino. Il punto di leva è nel livello DNS — ogni link cliccato effettua una query DNS prima che il browser lo apra, e quella query è il punto più pulito in cui intervenire. Se non porti nient'altro da questo articolo: non toccare mai un link di pagamento arrivato via SMS. Apri l'app tu stesso. I pochi secondi che ti costa sono l'intera difesa.

Verificato da Casper's Cloak Security Team · Ultimo aggiornamento

Intercetta il prossimo link di phishing prima di toccarlo

Casper's Cloak esegue il tipo di livello di rilevamento delle minacce a livello di rete descritto sopra — su ogni app del tuo iPhone, Mac e Android. I domini di phishing mai visti prima vengono contrassegnati rapidamente dal livello ML.