Lo smishing messo a nudo: cos’è e come funziona

Tra le nuove truffe online che mietono vittime tra chi effettua acquisti e transazioni su Internet c’è anche lo smishing. Questa parola per molti utenti, anche esperti di Internet, è ancora sconosciuta e in effetti anche a cercarla sul dizionario di lingua Inglese non la si trova. Ma cos’è lo smishing? In realtà con questa parola si intendono le truffe perpetrate attraverso gli SMS . Il termine deriva infatti dalla fusione di due termini: SMS e phishing. Esso indica quelle truffe di phishing via SMS, sempre più comuni e insidiose.

Molti utenti che effettuano transazioni online sono consapevoli dei rischi ad esse connesse e mettono in atto diversi meccanismi di difesa, per operare in modo sicuro e senza rischi. La caratteristica del phishing via sms è proprio quella di essere una frode in grado di far cadere in trappola anche gli utenti più esperti. Scopriamo più nel dettaglio i vari aspetti dello smishing: come funziona, come evitarlo e cosa fare se si è vittima di questa truffa.

Caratteristiche dello smishing

Una truffa smishing altro non è che praticare il classico phishing online utilizzando però SMS al posto delle mail. Questa comporta l’invio di un’esca che attira nella rete del raggiro un ignaro utente. L’obiettivo di questa truffa può essere quello di ottenere:

• credenziali e dati di accesso di un conto online
• dati e informazioni personali, password
• dati di carte di credito, Pin e altri dati finanziari

Come accennato, questo tipo di truffa viene effettuato tramite messaggi SMS. Si tratta di un tipo di comunicazione di cui tendenzialmente l’utente medio tende a fidarsi maggiormente rispetto alle classiche email, le cui caselle sono spesso piene di messaggi palesemente truffaldini. Gli SMS sono ritenuti più affidabili anche rispetto a comunicazioni ricevute attraverso canali di messaggistica social, come Whatsapp, Messenger, Telegram. A rendere questo tipo di truffa più efficace vi è il fatto che, come vedremo, questi messaggi sono ben congegnati.

Come funziona la truffa smishing phishing

Ai messaggi di smishing si attribuisce una certa attendibilità, ed è proprio questo che li rende efficaci nel loro intento truffaldino. Questa attendibilità è data dal fatto che il messaggio appare come proveniente da una fonte conosciuta e ritenuta affidabile: non si mette in dubbio il mittente e si tende a seguire le istruzioni.

Il mittente

Questo accade perché gli hacker riescono a camuffare la propria identità, utilizzando Alias che simulano un ID altrui. Dunque il mittente del messaggio sembra essere la banca, le Poste o un altro ente. Inoltre il dispositivo dell’utente, propone l’SMS all’interno della chat che contiene anche altri messaggi simili, realmente ricevuto dalla banca o dal mittente in questione.

Invece che cercare di creare un rapporto di fiducia, come avviene ad esempio nella cosiddetta truffa Facebook Marketplace, chi utilizza questa tipologia di truffa vuole da subito porsi come un elemento autoritario: spesso i messaggi sembrano arrivare da amministrazioni pubbliche e, ad esempio l’Agenzia delle Entrate, l’ente comunale e così via, e fanno riferimento a cartelle di pagamento, multe, anomalie relative ai propri dati.

In alcuni casi non è un ente, ma un brand noto, o un sito di eCommerce popolare presso il quale l’utente ha effettuato acquisti, a richiedere un’azione. Qui il messaggio può contenere avvisi sull’ordine, indirizzi o dati di pagamento da rettificare, o addirittura premi e vantaggi.

Una terza tipologia di phishing via SMS riguarda messaggi che fanno leva sulla componente emozionale. Se anche in questo caso non abbiamo la ricerca di un rapporto confidenziale o addirittura intimo, strategia utilizzata nelle truffe amorose, il tentativo è comunque quello di toccare una persona nei propri sentimenti. Gli SMS infatti si riferiranno a reali eventi di cronaca, chiedendo una donazione in beneficienza.

Un’ultima tipologia è infine lo smishing phishing: in questo caso i messaggi sembrano arrivare direttamente dalle piattaforme social più utilizzate e riguardano ipotetici tentativi di violazione dell’account. Viene quindi richiesto di inserire i propri dati personali per rientrare in possesso dello stesso, confermare l’identità o evitare eventuali sospensioni.

Il messaggio

Nella maggior parte dei casi, il testo del messaggio contiene avvisi spesso allarmanti, problemi con il conto, operazioni sospette, accessi da altri dispositivi, quindi induce ad agire anche con una certa urgenza. O come abbiamo visto è pertinente con il tipo di mittente che l’hacker sta impersonando.

Qualunque sia il tema, l’SMS contiene l’esca:

• un numero da chiamare
• l’invito a rispondere al messaggio inviando dati
• un link da cliccare
• un allegato da scaricare

In alcuni casi, il messaggio invia semplicemente un avviso e viene seguito da una telefonata di un operatore. Questi conferma quanto scritto nell’SMS e cerca di risolvere il problema dell’utente, richiedendo dati e informazioni, spesso anche i codici OTP per finalizzare la truffa. Parliamo insomma dell’unione di diverse tipologie di frodi – visitate la homepage del portale di Truffa.net per conoscerle tutte! – che per questo può rivelarsi particolarmente efficace per i malintenzionati.

Come difendersi dallo smishing?

Come abbiamo già evidenziato il phishing via SMS è una delle truffe su Internet più insidiose, in grado di arrecare danni anche agli utenti online più consapevoli. L’arma che funziona sempre in questi casi è quella della prudenza. Evitare di cliccare su link o di rispondere fornendo dati personali o bancari, mette al riparo da ogni tentativo di truffa.

Anche scaricare allegati di provenienza ignota è da evitare, in quanto può risultare dannoso per il proprio dispositivo. Prima di farlo è sempre bene raccogliere informazioni sul mittente, visitando autonomamente i siti di riferimento e capire se si tratta di un messaggio autentico oppure no.

Dubitare di tutto è complicato, soprattutto se si gestiscono account social online, conti bancari, se si utilizzano i siti istituzionali, se si fanno acquisti su internet. Capita a tutti di effettuare un ordine online poi cercare info sulla tracciabilità di un pacco. Ma all’aumentare dell’astuzia degli hackers bisogna aumentare anche il livello di attenzione.

Ecco una lista di consigli, diffusi dal garante per la Privacy proprio in tema di Smishing:

• Non comunicare a nessuno i propri dati personali, password, dati di accesso a conti, PIN e simili.
• Controllare spesso i movimenti bancari.
• Attivare notifiche e alert per essere informati in tempo reale di ogni operazione.
• Non cliccare su link ricevuti via messaggio, ma andare autonomamente sul sito di riferimento.
• Verificare i numeri di telefono da cui si ricevono messaggi e chiamate.

Cosa fare se si è vittima di Smishing

Generalmente per le vittime di smishing rimborso è una parola oscura. Quasi tutte le truffe perpetrate in questo modo restano impunite. Anche se vi sono stati casi in cui alla vittima, che si è rivolta all’Arbitro Bancario Finanziario, è stato riconosciuto il diritto al risarcimento dei danni.

In caso di truffa smishing è importante denunciare il reato alla Polizia Postale e comunicarla anche al proprio istituto bancario o ente/azienda di riferimento. Chi aspira, dopo lo smishing, al rimborso dovrà inoltrare alla banca coinvolta anche una diffida contenente una richiesta di risarcimento per le somme frodate, a cui si allega la denuncia. Questo potrebbe non bastare a ottenere quanto è stato rubato, il passaggio successivo è quello di avviare un’azione giudiziale.

truffa.net

Nel mio lavoro quotidiano ho un solo e unico obiettivo: evitare che i lettori possano incappare in truffe o raggiri online.

Scritto da: Nino Lucchesi

FAQ