Smishing: Attenzione alle truffe via SMS

di Francesca Columbu
Cos’è l’SMS phishing e come difendersi

La diffusione crescente degli smartphone ha senz’altro facilitato la comunicazione tra gli utenti, ma allo stesso tempo ha favorito l’insorgere di sistemi di attacco informatico: nel caso specifico degli SMS si parla di Smishing.

Cos’è lo Smishing

La parola - acronimo di SMS phishing - è la variante di un attacco phishing, che si serve degli SMS per attirare la vittima in una trappola.

L’obiettivo è quello di estorcere dati personali sensibili del singolo utente, come numeri di carte di credito e conti correnti, ma potrebbero essere anche i dati di un’azienda. I criminal hacker, attraverso normali applicazioni scaricabili dai vari app store, installano sullo smartphone della vittima un software malevolo in grado di simulare la ricezione di un messaggio SMS.

Negli ultimi tempi, i cyber criminali hanno attaccato l’INPS, approfittando della visibilità di cui l’ente gode in questo periodo caratterizzato dalla richiesta dei bonus Coronavirus. C’è stato un invio massivo di SMS, contenenti un testo simile a questo: “A seguito della sua richiesta accredito domanda COVID-19. Aggiorna i tuoi dati nel inps-ixxxxx.online””. Il link segnalato nel corpo del messaggio rimanda a un sito che ricorda quello dell’INPS - ma che naturalmente è fasullo - e lo scopo è quello di scaricare un APK (malware) sul telefono della vittima e ottenere così il controllo del dispositivo.

Purtroppo, il fatto che graficamente la pagina web a cui il messaggio rimanda sia identica a quella originale, fa sì che molte persone cadano nella trappola. Bisogna invece diffidare sempre di richieste di cui non è certa la provenienza e non scaricare eventuali documenti o allegati.

Un altro dei casi conclamati di smishing in Italia è quello di Poste Italiane: negli ultimi mesi migliaia di clienti stanno ricevendo sul proprio telefono degli SMS rivolti in particolar modo ai possessori di carte prepagate PostePay e PostePay Evolution, in cui si comunica la possibile sospensione delle utenze postali e si richiede l’aggiornamento delle credenziali. Il testo recita quanto segue: “Abbiamo sospeso le sue utenze postali per mancata sicurezza web. Per sbloccare si prega di seguire il seguente link: ….”.

Il fine è chiaramente quello di sottrarre i dati d’accesso ai servizi online. Purtroppo l’SMS può trarre facilmente in inganno in quanto come mittente figura effettivamente “Posteinfo” o “Postepay” e può addirittura essere visualizzato nella stessa lista dei messaggi inviati da Poste Italiane o PostePay.

Se però si presta attenzione ad alcuni dettagli, è possibile riconoscere i casi di smishing. Ci sono poi degli accorgimenti che si possono attuare per aggirare queste truffe.

 Come riconoscere gli SMS ingannevoli

Prendendo sempre come riferimento il caso di Poste Italiane (ma lo stesso discorso può estendersi ad altre realtà lavorative), bisogna tenere a mente che l’azienda contatta gli utenti solo con i seguenti scopi:

  • Informarli sui prodotti e servizi offerti
    N.B.: Nel testo non viene mai richiesto l’inserimento dei codici personali e l’eventuale link presente nel messaggio deve rimandare solo ed esclusivamente ai siti di poste.it e postepay.it, riconoscibili anche dal lucchetto in alto a sinistra della barra di navigazione.
  • Verificare se alcune operazioni richieste sulla carta siano state autorizzate dall’utente stesso. In questo caso non sarà inserito un link nel testo, ma bisognerà semplicemente rispondere al messaggio con “SI” o “NO”.

 Se dovessero arrivare sul tuo telefono messaggi diversi da quelli appena descritti, che esortano a cliccare ‘urgentemente’ su un link o a fornire i propri dati, non bisogna dare seguito ai link segnalati e cancellare il messaggio.

Per verificare l’attendibilità di un sito dovremmo innanzitutto accertarci che sia segnalata la dicitura “https” accanto al simbolo del lucchetto nella URL. Nel caso in cui questa compaia e quindi la pagina sia apparentemente protetta, cliccando sul lucchetto presente nella URL si possono verificare gli estremi del certificato digitale: se è stato rilasciato da poco, magari per una durata limitata ed è assegnato a soggetto diverso dalla Società/Ente di riferimento, siamo quasi sicuramente vittime di un tentativo di frode.

Come difendersi dagli attacchi di Smishing

Ricorda che nessuna banca, né azienda, né Ente pubblico vi chiederà mai i codici della carta tramite SMS, telefono e-mail e social.

Nel caso di Poste Italiane, l’azienda esorta tutti coloro che hanno ricevuto queste comunicazioni a segnalare gli SMS all’indirizzo e-mail [email protected].

Se dovessi aver cliccato sul link per errore e quindi venissi reindirizzato a una pagina in cui viene richiesto l’inserimento di codici personali, come Password, Pin, credenziali di accesso all’Home Banking, NON segnalare questi dati e chiudi semplicemente la pagina.

Lo stesso discorso è valido se dovessi ricevere un SMS da un mittente sconosciuto con la richiesta di installare un'App o scaricare qualcosa sul telefono cliccando su un link: non farlo. In questi casi, sono d’obbligo alcune verifiche: ricerca del nome dello sviluppatore dell’applicazione, oltre al nome del prodotto, alle statistiche di download e alle recensioni. Anche la presenza di errori grammaticali e di battitura nella descrizione è un segnale da non sottovalutare, infatti questi spesso denotano che l’applicazione è falsa.

Diffida di ogni SMS poco affidabile e presta massima attenzione ad ogni dettaglio del testo. Se ricevi un messaggio dalla provenienza incerta, questo andrebbe segnalato alla Polizia Postale, seguendo le indicazioni sul sito.

Inoltre, per tutelarsi da questi cyber-criminali, è consigliabile installare un Software di sicurezza per i dispositivi mobile, cercando tra quelli disponibili - e naturalmente certificati - online.

Condividi sui social network

Registrati gratis alla piattaforma per l'invio massivo di messaggi SMS promozionali
ad alta qualità, ricevi subito 20 SMS per testare il software