Vai al contenuto

Smishing, quando la truffa passa dagli SMS

smishing inps coronavirus
Tempo di lettura - 3 minuti

A differenza delle campagne di spam via e-mail (phishing), lo smishing usa i messaggi di testo sui telefonini (i vecchi SMS). L’obiettivo resta attirare le vittime nella trappola ed estorcere informazioni personali, numeri di carte di credito a altri dati riservati.

Trovare delle varianti alle e-mail di phishing era ormai necessario: gli utenti abboccano sempre meno spesso e i filtri antispam delle caselle di posta elettronica sono sempre più efficaci nel bloccarle.

La spinta sbrigati

Le metodologie utilizzate restano comunque quelle di social engineering, capaci di attivare particolari meccanismi psicologici per chiedere alla vittima di intraprendere un’azione urgente. Quella che, nelle spinte comportamentali definite dallo studioso Taibi Kahler, corrisponde alla spinta sbrigati.

Chiamare un numero di telefono, collegarsi ad un sito Web, scaricare una app, fornire informazioni private come la password di accesso al banking on-line o il numero della carta di credito, effettuare bonifici. Questi alcuni esempi delle azioni richieste.

Caso più clamoroso di smishing

Uno dei casi più clamorosi di smishing visti in Italia, ad esempio, è quello ai danni degli utenti di Poste Italiane e Banco Posta. Il messaggio SMS è camuffato e sembra provenire realmente da Poste Italiane, ma in realtà è falso. Come è falso il sito sul quale veniamo spediti seguendo il link incluso nell’SMS.
Una variante dell’SMS invece del link ci mostra un numero dell’assistenza clienti di Poste Italiane da chiamare per confermare i nostri dati. In realtà dall’altra parte c’è un call center all’estero e un operatore (che non è affatto di Poste Italiane) che ci chiederà i dati del nostro conto corrente postale

Quest’ultima variante è nota con il nome di vishing (acronimo di voice phishing). Ancor più efficace poiché la chiamata vocale crea un maggior senso di urgenza per l’utente che per questo motivo fornisce tutte le informazioni richieste.

Smishing in tempo coronavirus

In tempo di coronavirus, tra le diverse truffe informatiche, non è certamente mancata la campagna smishing che sfrutta la possibilità per i lavoratori autonomi di richiedere all’INPS una indennità di 600 euro.
In questo caso i criminali informatici inviano un SMS che recita:

«A seguito della sua richiesta accredito domanda COVID-19. Aggiorna i tuoi dati nel inps-ixxxxx.online»

Cliccando sul link, che simula le fattezze del sito originale di INPS, viene scaricato un malware che, installato sul cellulare, permette ai criminali di accedere al dispositivo ottenendone il controllo.

Come difendersi

Molte delle tecniche di difesa valide per rendere innocuo un attacco di tipo phishing valgono anche nel caso dello smishing (e di conseguenza del vishing), e sono anche riassunte nell’articolo della Polizia Postale che vuole mettere in allarme sulla campagna che sfrutta il sito INPS.

Innanzitutto, se ci arriva un messaggio di smishing sul nostro numero di cellulare, vuol dire che lo avremo comunicato da qualche parte sul Web. La prima regola per difendersi dallo smishing, quindi, è prevenirlo evitando di compilare form in cui ci viene chiesto il numero di telefono senza un reale motivo.

Una volta che l’SMS è stato ricevuto, è opportuno osservare che i messaggi malevoli provengono di solito da numeri di telefono in un formato strano o inaspettato. Chiaramente, in questi casi, non bisogna affrettarsi a ricomporre il numero indicato nell’SMS.

Qualora per sbaglio o per disattenzione si dovesse effettuare la telefonata al numero indicato, oppure cliccare sul link presente, ricordiamoci di non fornire mai alcuna informazione personale e men che meno i dettagli dei nostri account di accesso all’home banking.
Nessun Ente istituzionale ci chiederà attraverso mail, SMS, telefono, o messaggi sui Social, a fornire password, dati delle carte, codici OTP, PIN, credenziali, chiavi di accesso all’home banking o altri codici personali.

Verificare sempre l’attendibilità della fonte ed eseguire ogni operazione esclusivamente passando per i canali ufficiali (servizio di assistenza, sito web ufficiali, app indicate sui siti ufficiali).

In arrivo SMS verificati in Google Messaggi

Gli utenti di Google Messaggi in futuro potrebbero veder mitigato, se non del tutto stroncato, il pericolo di smishing.
Google infatti sta testando una recente novità, gli SMS verificati.
Sostanzialmente per chi userà Google Messaggi riceverà solo agli SMS inviati da aziende certificate da Google, che diventerà garante dell’autenticità del mittente.
Ovviamente questo sistema non riguarderà gli SMS inviati da privati.

Nel frattempo, dovremo tutti continuare a prestare la massima attenzione!

Immagini collegate:

Antonella Bruzzone

Antonella Bruzzone

Founder del blog ConsapevolMente Connessi, Ingegnere Informatico appassionata di CyberSecurity approdata da qualche anno al Coaching. Un mix di competenze che sa farmi apprezzare le opportunità offerte dalla trasformazione digitale in cui viviamo, ben consapevole dei rischi insiti in essa. Perché la onlife è come un salto con lo skateboard: potresti cadere, lo sai, ma è altrettanto vero che, con la giusta guida, potresti imparare a chiudere i trick più difficili.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

error: Il contenuto è protetto