Il twishing è un tipo di crimine informatico che prevede l'uso di tecniche di ingegneria sociale per ottenere informazioni riservate come password, numeri di carte di credito o altre informazioni sensibili da vittime ignare. È strettamente legato al "phishing", ma con una differenza fondamentale: Il Twishing viene condotto tramite messaggi di testo o SMS, anziché tramite e-mail.
Le truffe di twishing si basano sugli stessi principi di altre forme di phishing: l'autore crea un messaggio che sembra provenire da una fonte legittima, come una banca o un istituto finanziario. Questo messaggio viene poi inviato come messaggio di testo o SMS, di solito a un gran numero di persone. L'obiettivo è quello di ingannare il destinatario e indurlo a fornire informazioni riservate che possono essere utilizzate per accedere ai suoi conti.
I messaggi di twishing sono tipicamente progettati per apparire come se provenissero da una fonte legittima. Possono contenere un link che, una volta cliccato, conduce a un sito Web dannoso che può essere utilizzato per raccogliere informazioni riservate. Possono anche contenere istruzioni che invitano il destinatario a fornire informazioni riservate tramite un modulo o una risposta.
Gli attacchi di twishing possono essere ampiamente suddivisi in due categorie: twishing diretto e twishing indiretto. Il twishing diretto prevede l'invio di un messaggio che sembra provenire da una fonte legittima, come una banca. Il twishing indiretto, invece, prevede l'invio di un messaggio che sembra provenire da una persona di cui il destinatario si fida, come un amico o un familiare.
I twisher utilizzano comunemente una serie di tattiche per cercare di ottenere informazioni riservate. Queste possono includere il camuffamento della loro identità, l'invio di messaggi in massa, l'utilizzo di tecniche come lo "spoofing" e l'uso di un linguaggio progettato per creare un senso di urgenza.
I rischi del twishing sono simili a quelli di altre forme di phishing. Fornendo informazioni riservate a un autore, la vittima può rischiare di vedersi rubare l'identità, compromettere i conti e mettere a rischio le proprie finanze.
Il modo migliore per evitare di cadere vittima di un attacco di twishing è essere consapevoli dei rischi e adottare misure per proteggersi. Ciò include la cautela nel rispondere ai messaggi, il fornire informazioni riservate solo attraverso canali sicuri e l'assicurarsi che i propri dispositivi siano regolarmente aggiornati con le ultime patch di sicurezza.
Le aziende possono adottare diverse misure per proteggersi dal twishing. Tra queste, la formazione del personale su come identificare e rispondere ai messaggi di twishing, l'implementazione di misure di sicurezza per monitorare i messaggi sospetti e l'implementazione dell'autenticazione a più fattori per prevenire gli accessi non autorizzati.
Il twishing è un reato penale e gli autori possono incorrere in gravi conseguenze legali. In molti Paesi, gli autori possono essere perseguiti ai sensi delle leggi sulla frode o sul furto d'identità e possono persino rischiare il carcere. È importante essere consapevoli delle implicazioni legali del twishing e segnalare qualsiasi sospetto di twishing alle autorità competenti.