Lo smishing, il phishing tramite SMS, è uno dei tipi di truffa più insidiosi. Ecco come funziona.
Lo smishing, il phishing tramite SMS, è uno dei tipi di truffa più insidiosi. Perché il messaggio ti arriva nel “thread” degli SMS inviati in precedenza dalla tua banca. L’SMS truffa si visualizza in coda ai messaggi ricevuti dal tuo istituto bancario (per esempio, tra quelli del tipo “autorizzata operazione su internet di euro…; conferma prelievo di euro…). Così tra i messaggi della tua banca, con lo stesso nome mittente dell’istituto bancario, i tuffatori, “smisher”, inviano l’SMS truffa.
Ecco un esempio:
Come vedete, i messaggi di smishing invitano i destinatari a compiere azioni (cliccare link, ecc.) o fornire informazioni con urgenza. E molti correntisti abboccano a questa truffa, perché presi dal panico e perché pensano sia davvero un messaggio inviato dalla propria banca.
Il tentativo di frode funziona così
I truffatori attraverso alcuni servizi online di invio in modo massimo di messaggi riescono a digitare, nel campo mittente del messaggio truffa, il nome della banca, per esempio UniCredit, MPS, Intesa Sanpaolo, ecc… e i nostri smartphone, vedendo quel nome mittente, vanno a inserire l’SMS truffa in coda ai messaggi inviateci realmente dalla banca. Ecco il “bug”.
Oppure, i truffatori usano i numeri di telefono delle banche da cui far partire le truffe.
Ci risulta che le banche stiano cercando un accordo, non facile da raggiungere, perché richiede un importante impegno economico, per avere dei nuovi numeri di telefono non replicabili attraverso i servizi Voip, che consentono l’acquisto collettivo di numeri di telefono.
Così l’utente riceve un messaggio sms, apparentemente inviato dalla propria Banca, contenente avvisi di movimentazioni sospette o problemi di accesso al servizio dell’home banking e viene invitato a cliccare su un link che rinvia, in realtà, ad un sito clone dell’istituto bancario, tramite il quale viene indotto a inserire le proprie credenziali (username, password, numero di telefono cellulare, nonché codice fiscale e indirizzo di posta elettronica).
A tal fine, i criminali contattano telefonicamente le vittime, spacciandosi per operatori della banca.
Vengono, quindi, impartite disposizione ai clienti finalizzate a far rimuovere l’applicazione home banking che viene subito dopo reinstallata dai truffatori che prendono così il completo controllo dei conti correnti. Recentemente, si è verificata un’ulteriore evoluzione del fenomeno criminale che consiste nel movimentare le somme presenti nei conti correnti colpiti attraverso l’esecuzione di bollettini postali online. Questa modalità, spiega in una nota la Polizia, a differenza dei bonifici bancari, presenta il vantaggio per i criminali di poter movimentare somme di denaro anche ingenti con operazioni non revocabili dall’utente.
Aumentare la consapevolezza sul fenomeno smishing, il phishing tramite SMS
Questo articolo nasce per aumentare la consapevolezza nei cittadini, anche nei professionisti con competenze digitali, sul fenomeno dello smishing.
A una professionista ternata, con la stessa modalità, i truffatori erano riusciti, in un primo momento, a rubarle 29mila euro. La donna ha ricevuto l’SMS apparentemente inviato dal suo Istituto di credito contenente l’avviso di accessi anomali al proprio conto corrente, con l’invito a cliccare sul link presente nel testo del messaggio al fine di ottenere maggiori informazioni. Giunta così sulla falsa pagina dell’Istituto di credito, la donna ha fornito i propri dati e, aderendo anche alla successiva richiesta telefonica da parte di un sedicente funzionario della Sezione antitruffe della banca, ha disinstallato l’app dell’home banking dal suo dispositivo ed ha disposto un bonifico di €. 29.000,00 su un nuovo conto corrente estero, descritto dall’operatore telefonico come sicuro.
L’immediata denuncia della donna e il tempestivo intervento degli investigatori della Specialità della Polizia Postale hanno consentito di individuare con precisione l’Istituto di credito lituano presso il quale i malfattori hanno trasferito illecitamente l’ingente somma, nonché l’attivazione delle procedure urgenti volte ad ottenere il blocco della transazione fraudolenta.
Perché lo smishing è così pericoloso?
Gli smisher fanno leva sul timore legato ad un rischio incombente per convincere le vittime ad abbassare il livello di prudenza e a reagire d’impulso.
Meglio quindi diffidare dei messaggi che hanno toni ultimativi e intimidatori o che spingono ad agire con fretta e urgenza.
Alcuni consigli
È bene ricordare che le banche non inviano mai email, sms o chiamano al telefono per chiedere di fornire le credenziali di accesso all’home banking o all’app, i dati delle carte di credito o la variazione dei dati personali.
Se ricevi email, sms o telefonate che ti chiedono di fornire dati bancari, chiama immediatamente la tua Banca e/o rivolgiti alla Polizia Postale:
– non aprire gli allegati o i link contenuti nelle e-mail o sms;
– tieni sempre aggiornato l’antivirus e il sistema Operativo: dispositivi aggiornati sono più sicuri.
Ma non solo banche. Le campagne di smishing possono riguardare anche SMS di falsi operatori di Polizia o apparentemente inviati da Poste italiane, Inps o in merito alla consegna di un pacco. Siamo nel mese di Natale, si attendono molti più pacchi del solito: se dovessimo ricevere un sms come il seguente, NO PANIC.
Riflettiamo un momento. Rileggiamo con calma il messaggio.
- verificare se il testo presenta anomalie, come errori linguistici, grammaticali, lessicali, ecc., che spesso sono indizi di smishing;
- Guardare con “4 occhi” il testo del link a cui si invita a cliccare.
- E imparare a memoria che “un link via sms o email può essere oggetto di frode”.