Usare gli SMS per ottenere info su carte di credito e password sono il mezzo più sfruttato dai truffatori ma, ultimamente, questo strumento viene usato anche per indurre a telefonare e/o a rispondere, sempre tramite SMS, a messaggi in cui vengono chiesti dei crediti per tasse non pagate o cose simili.
Un fenomeno che prende il nome di smishing, molto diffuso negli USA, in Brasile e in Italia.
Lo smishing non è altro che un phishing trasmesso attraverso SMS e non mediante email. L’obiettivo principale è quello di portare i destinatari a inviare i loro dati privati: password e numeri di carte di credito ma anche a confermare il numero di cellulare a cui continuare ad inviare SMS e/o a chiamare per veicolare malware e adware. Per far questo, i truffatori inviano degli SMS con un problema da loro inventato, come un conto bloccato o una bolletta non ancora pagata, che la vittima può risolvere cliccando su un link inserito nel messaggio di testo ricevuto oppure rispondendo all’SMS.
Tre sono gli scenari plausibili:
- La vittima viene colpita nell’immediato da un malware
- La vittima viene reindirizzata ad una pagina di un sito web fasullo
- La vittima, rispondendo all’SMS (o telefonando) conferma la sua esistenza
Lo scopo, in tutti i casi, è quello di appropriarsi dei dati sensibili della vittima compresa la conferma dell’esistenza del numero. Questo genere di truffe risultano essere molto efficaci e portano alla perdita di migliaia e migliaia di euro.
Perché lo smishing sta diventando più pericoloso del phishing?
La risposta a questo quesito è insita nel tipo di minaccia. Molti di noi sono abituati a ricevere email fasulle e riconoscerle, gli SMS, invece, sono un canale inconsueto e questo porta a far si che le vittime cadano nella trappola dei truffatori più facilmente.
Rispetto al consueto phishing, negli SMS ci sono pochissimi segnali visibili che possono aiutare le vittime ad identificare una truffa. Un’email infetta è riconoscibile da elementi come:
- Indirizzo del mittente
- Design dell’email
- Layout dell’email
Sono questi i segnali che mettono in allerta chiunque ne riceva una. Questo non accade per i messaggi SMS che risultano essere uguali a qualunque altro messaggio e che non forniscono dati rilevanti sulla veridicità del numero da cui è partito. Esistono sistemi di invio di SMS attraverso piattaforme digitali che permettono di gestire tutti i campi dell’SMS per cui diventa praticamente impossibile stabilire se l’SMS è stato inviato da un truffatore.
Come facciamo, allora, a proteggerci dallo smishing?
Bisogna adottare gli stessi accorgimenti che adottiamo per il phishing e cioè:
- Non cliccare sui link ricevuti per SMS
- Non rispondere mai agli SMS e non telefonare ai numeri eventualmente indicati nel messaggio
- Ricordarsi che le Banche non chiedono mai dati personali tramite SMS
- Non condividere informazioni personali tramite canali telematici compresi i social network telefonici (WhatsApp, Telegram …)
- Usare sempre l’autenticazione a due fattori per l’accesso alle banche
- Contattare subito la banca/posta se si sospettano attività illecite sul proprio conto
- Non rispondere mai a messaggi SMS ingannevoli e, per qualunque dubbio, contattare prima la banca/posta
