Negli ultimi anni, la sicurezza informatica dei dispositivi di rete è diventata un tema centrale, soprattutto a causa della crescente sofisticazione delle campagne di phishing. Un recente attacco ha visto protagonisti i router industriali Milesight, sfruttati da cyber criminali per veicolare campagne di smishing, ovvero phishing tramite SMS, in diversi paesi europei come Svezia, Italia e Belgio. Gli attaccanti sono riusciti ad abusare dell'API dei router Milesight per inviare messaggi SMS contenenti link fraudolenti, spesso camuffati da siti di enti governativi, banche, poste e fornitori di servizi di telecomunicazione.

Secondo un’analisi condotta da esperti di sicurezza, oltre 18.000 router Milesight sono esposti su internet, di cui almeno 572 risultano potenzialmente vulnerabili perché consentono l’accesso alle API per la gestione della posta SMS senza alcuna autenticazione. Circa la metà di questi dispositivi vulnerabili si trova in Europa, rendendo il Vecchio Continente particolarmente esposto a questo vettore d’attacco.

Vulnerabilità tecnica

Il punto di ingresso sfruttato dai criminali informatici è una vulnerabilità di tipo information disclosure, catalogata come CVE-2023-43261 con punteggio CVSS pari a 7.5. Sebbene la falla sia stata già corretta dai produttori, molti router non risultano aggiornati e dunque restano esposti. Gli attacchi sono documentati almeno dal febbraio 2022 e, secondo le indagini, non mirano all’installazione di backdoor o malware aggiuntivo, ma sono focalizzati esclusivamente sull’invio massivo di SMS di phishing.

Tecniche di attacco osservate

Una delle tecniche osservate prevede che i cyber criminali effettuino prima una verifica sul router per accertarsi che possa inviare SMS, spesso inviando un messaggio di test a un numero sotto il proprio controllo. Successivamente, avviano la campagna di smishing vera e propria, utilizzando URL typosquattati e script JavaScript che verificano l’accesso da dispositivi mobili prima di reindirizzare l’utente al contenuto malevolo, il quale spesso induce a fornire dati bancari con la scusa di un rimborso.

Alcuni domini malevoli analizzati, attivi tra gennaio e aprile 2025, implementano codice JavaScript per disabilitare il tasto destro e bloccare strumenti di debug del browser, rallentando così le attività di analisi dei ricercatori di sicurezza. È stata anche rilevata la presenza di bot Telegram che registrano le connessioni delle vittime, gestiti da attori che parlano sia arabo che francese.

Sicurezza e prevenzione

Questi attacchi dimostrano come la sicurezza dei router industriali sia fondamentale per prevenire la diffusione di campagne di smishing su larga scala. L’abuso di dispositivi vulnerabili consente infatti ai criminali di sfruttare infrastrutture decentralizzate, rendendo più difficile l’identificazione e l’interruzione delle campagne di phishing.