Smishing: come difendersi dai messaggi truffa
Il cybercrimine mirato ai cellulari si evolve come l’uso dei cellulari stessi. Tra le minacce più insidiose troviamo lo smishing, una forma di phishing che utilizza SMS (messaggi di testo) truffa per ingannare le vittime e sottrarre informazioni sensibili o denaro. Questo tipo di attacco, noto anche come “messaggi truffa”, mira a sfruttare la fiducia e la disattenzione degli utenti di telefonia mobile. Come il phishing tradizionale, lo smishing cerca di indurre le vittime a cliccare su link pericolosi, scaricare allegati dannosi o rispondere a messaggi ingannevoli.
Cos'è e come avviene un attacco smishing
Gli attacchi di smishing possono manifestarsi attraverso varie modalità:
- Invito a cliccare su un link: Gli utenti ricevono un SMS che li invita a cliccare su un link, il quale porta a un sito web fraudolento dove viene richiesto di inserire informazioni personali o bancarie.
- Richiesta di scaricare un allegato: Alcuni messaggi truffa possono contenere allegati che, una volta aperti, installano malware sul dispositivo della vittima.
- Richiesta di rispondere al messaggio: Viene chiesto di rispondere all’SMS fornendo dati sensibili, come codici PIN o numeri di carte di credito.
- Invito a contattare un numero di telefono: La vittima viene indotta a chiamare un numero dal quale un falso operatore richiede informazioni personali.
In generale, una truffa via SMS si manifesta generalmente in tre fasi:
FASE 1: LA RACCOLTA DEI NOSTRI DATI
I cybercriminali hanno bisogno per prima cosa di riuscire ad entrare in contatto con noi tramite 2 elementi chiave:
- il nostro nome
- il numero di telefono
Questi dati vengono recuperati dai frodatori tramite i più svariati canali, molto spesso tramite i social.
FASE 2: L’INVIO DELL’SMS FALSO
Viene inviato un SMS, del tutto simile a quelli solitamente ricevuti dalla banca: stessa sintassi, stesso numero di telefono e invito a cliccare necessariamente un link per risolvere un problema urgente.
Il frodatore in questa fase non sa ancora che tu sei cliente di quella particolare Banca, ricaverà questa informazione dalla tua risposta.
Una volta che il link proposto dall’SMS viene cliccato, la navigazione porta ad un sito falso, in cui verranno richieste e raccolte le credenziali di accesso alla banca e, a volte, un numero di cellulare per un successivo contatto: si arriva così alla terza fase dell’attacco.
FASE 3: LA CHIAMATA DA UN FALSO OPERATORE
Un falso operatore della banca ci contatta direttamente e ci chiede di confermare e leggere i codici SMS in arrivo. In questo momento la truffa SMS si è concretizzata: abbiamo dato al criminale accesso al nostro conto corrente online che verrà riconfigurato su un nuovo numero di cellulare appartenente al truffatore e svuotato tramite bonifici, ricariche o altro.
Un’altra tecnica comune è lo spoofing telefonico, in cui il truffatore si finge un operatore dell’ufficio antifrode della banca e convince il cliente a recarsi in filiale per trasferire i propri fondi su un nuovo conto corrente. Il pretesto? Un presunto operatore “infedele” della stessa filiale starebbe tentando di svuotare il suo conto corrente.
Per approfondire, leggi l’articolo “La truffa ‘salva i tuoi soldi’: proteggersi dallo spoofing telefonico”.
Da dove provengono i messaggi truffa?
Le vittime possono ricevere messaggi truffa da mittenti che si fingono soggetti fidati con cui è abitualmente in contatto, tra cui:
- Banche che segnalano presunti problemi con il conto corrente o la carta di credito.
- Amministrazioni pubbliche che richiedono la verifica di dati o il pagamento di sanzioni.
- Fornitori di servizi che informano di bollette non pagate o pacchi da ritirare.
- Social media e piattaforme di messaggistica che segnalano violazioni dell’account personale.
Come riconoscere gli SMS sospetti e come difendersi
Come il phishing, ossia le frodi tramite email, lo smishing è un reato di frode che sfrutta messaggi di testo: si basa sull’ingannare la vittima facendo cliccare un link per fornire informazioni e il modo più semplice per proteggersi da questi attacchi è non fare nulla.
Finché non si risponde o non si esegue il comando del messaggio, un SMS sospetto non può innescare la frode. Basta ignorarlo ed eliminarlo e resterà innocuo. Chi effettua un attacco smishing generalmente fa leva sul timore legato a un rischio incombente e urgente per convincere la potenziale vittima ad abbassare il livello di prudenza e a reagire d’impulso.
In generale, una banca non ti chiederà mai con un SMS di aggiornare le informazioni del conto o di confermare il codice della tua carta di pagamento. È fondamentale, pertanto, mantenere la prudenza e non rispondere a messaggi sospetti. Ignorare i messaggi che richiedono azioni immediate può prevenire frodi.
Ecco alcuni suggerimenti utili per tenere sempre alta la guardia:
- avvisi urgenti di blocco del conto o delle carte, di pagamenti urgenti o di vincite immeritate sono campanelli d’allarme per un tentativo di frode. Ecco un esempio di sms pericolosi: “Il tuo conto è stato bloccato. Clicca qui per risolvere” oppure “Hai vinto un premio! Rispondi con i tuoi dati per reclamarlo”;
- se un messaggio sembra provenire dalla propria banca (o da un negozio o azienda nota) e viene chiesto di cliccare un link, si tratta senza dubbio di truffe bancarie via SMS;
- leggere bene il testo verificando l’eventuale presenza di anomalie come errori linguistici, grammaticali, lessicali, ecc., che spesso sono indizi di smishing;
- mai cliccare un link o chiamare un numero di telefono presenti in un messaggio di cui non si è sicuri;
- se si hanno dei dubbi sul messaggio ricevuto, contattare il vero mittente cercando il numero ufficiale e verificare il contenuto dell’SMS sospetto;
- prestare attenzione ai numeri sospetti che non sembrano numeri di telefono reali: potrebbero essere collegati a servizi che inviano SMS truffa direttamente dalle caselle email, spesso usati dai truffatori per evitare di fornire il loro reale numero di telefono;
- verificare l’autenticità del messaggio contattando direttamente il mittente tramite canali ufficiali;
- non condividere informazioni finanziarie o personali tramite SMS non verificati;
- non conservare mai i dati bancari o della carta di credito sullo smartphone;
- denunciare sempre tutti i tentativi di frode e phishing con SMS subiti.
Cosa fare se ho cliccato su un link di smishing?
Ho cliccato su in link di phishing con SMS, e ora? Se sospetti di essere caduto vittima di un attacco di smishing, è fondamentale agire rapidamente per proteggere i tuoi dati personali e finanziari. Come segnalare lo smishing? Innanzitutto, contatta immediatamente la tua banca o il gestore della carta di credito per informarli dell’accaduto: saranno in grado di aiutarti a bloccare eventuali transazioni sospette e a proteggere i tuoi conti. Successivamente, cambia tutte le password e i codici di sicurezza per evitare ulteriori accessi non autorizzati. Infine, non dimenticare di segnalare la truffa alle autorità competenti per contribuire a prevenire futuri attacchi e aiutare nelle indagini.
Perché sono aumentati i casi di SMS truffa
La maggior parte delle persone sa qualcosa sui rischi di frode che si possono nascondere nelle email, tuttavia, quando si tratta del cellulare è meno diffidente, poiché ritiene ad esempio lo smartphone più sicuro di un pc. Tuttavia, gli attacchi di smishing sono in costante aumento grazie alla facilità con cui gli hacker possono contattare le vittime e alle alte percentuali di apertura e risposta ai messaggi di testo.
Inoltre, mentre i dispositivi Android restano il bersaglio principale dei malware, perché ve ne sono molti in circolazione e la piattaforma lascia maggiore flessibilità agli utenti (ma anche ai truffatori), le truffe via SMS non hanno limiti di piattaforma. Ciò espone gli utenti di iPhone e iPad a particolari rischi poiché spesso si sentono immuni agli attacchi.
Infine, l’utilizzo del telefono “in movimento”, facendo spesso altre cose contemporaneamente e di fretta, aumenta il livello di distrazione e quindi la possibilità di rispondere senza pensare quando si riceve, ad esempio, un SMS in cui vengono richiesti dati personali, bancari o di riscattare un buono.
In breve, false convinzioni, fretta e distrazione sono le principali esche attraverso cui i cybercriminali arrivano a truffarci.
L’articolo è di carattere divulgativo aggiornato alla data di pubblicazione. Per conoscere l’offerta della Banca consulta l’area Prodotti.
Messaggio pubblicitario con finalità promozionale. Per le condizioni contrattuali ed economiche si rinvia ai Fogli Informativi disponibili in Filiale e sul sito www.bancobpm.it.
Per l’emissione della carta di debito e della carta di credito la Banca si riserva la valutazione dei requisiti necessari alla concessione e dei massimali di spesa da assegnare alla stessa.”