Lo smishing, la vecchia-nuova frontiera delle truffe via sms

Categorie: Cyber security
Tag: ,
Enzo Boldi

Nel corso degli anni si sono moltiplicati i casi di truffe partite da un sms. Proviamo a spiegare di cosa si tratta e, soprattutto, come difendersi

Un vasto uso di piattaforme social e device hanno provocato l’aumento di truffe. Nel corso degli ultimi anni, infatti, si sono moltiplicati i tentativi di frode. In particolare, è cresciuto il fenomeno dello smishing che – per modalità – è il sistema che rischia di rendere ancor più appetibili le potenziali vittime. Il fratello minore del phishing si basa su criteri di verosimiglianza e di affidabilità e avviene sfruttando i più basilari sistemi di invio e ricezione di sms, ma ha anche molte declinazioni. Con il proliferare del mercato delle applicazioni di messaggistica istantanea, infatti, le famose catene WhatsApp (ma anche Telegram o Messenger) sono diventate invadenti e preminenti nel sistema delle truffe telematiche. E i rischi sono molti: il minore è quello dello spam e dall’iscrizione a servizi mobile in abbonamento, il peggiore arriva ai conti bancari (o postali) svuotati nel giro di pochissimi minuti. L’appello, dunque, è quello ad avere un occhio critico nei confronti di quel che quotidianamente riceviamo sui nostri device.



LEGGI ANCHE > Avete mai sentito parlare del 6G?

L’etimologia è piuttosto semplice. Come spiega il dizionario Collins, la parola smishing nasce dall’unione di sms (short message service) e phishing (truffa informatica via mail). Perché, di fatto, cambiano le piattaforme e i device utilizzati per il tentativo di frode, ma l’obiettivo è sempre lo stesso: «utilizzare messaggi di testo fraudolenti per estrarre dati finanziari degli utenti a fini di furto di identità». E nel corso degli ultimi anni, soprattutto durante la pandemia quando è cresciuto – per ovvi motivi – l’utilizzo di smartphone, i tentativi di frode via sms si sono moltiplicati.



Abbiamo parlato di quello “targato” PosteInfo, a quello sul “pacco fermato alla dogana“, fino a quello – più recente e per molti versi inquietante – che arriva dal tuo stesso numero di telefono. Ma i tentativi sono talmente tanti, diffusi e variegati, che si rischia di perdere il conto. Quotidianamente, infatti, molte persone ricevono sms (e a tutto ciò va unito anche il fenomeno delle catene su Whatsapp, Messenger e altre piattaforme di messaggistica istantanea) che promettono buoni spesa (come nel caso della Regione Lazio e i supermercati Coop) o presunti questionari a cui rispondere per ricevere buoni e sovvenzioni da Trenitalia e da ENI.

Smishing, cos’è e come difendersi dalle truffe via sms

Questi i casi principali che sono stati denunciati nel corso degli scorsi mesi. Ma come funziona lo smishing? Come detto, il principio alla base di tutto è il phishing, ovvero l’invio di un link malevolo attraverso una piattaforma online. E come accade via mail, il principio si ripete anche nella forma via sms: la vittima di questo tentativo di truffa, frode o raggiro, riceve un messaggio testuale con l’annuncio di un’iniziativa – ma anche di una verifica, come spesso accade quando si tenta di carpire i dati di accesso di un conto bancario – che si conclude con l’invito al click su un link (spesso in formato short-link che, dunque, non mostra direttamente il nome del sito finale) per completare i passaggi indicati.



Ed è proprio in quel frangente che avviene il furto di dati, la sottrazione di identità digitale che ha effetti anche su quella reale. Spesso e volentieri, infatti, i link inseriti all’interno degli sms truffaldini portano a portali che – almeno graficamente – ricordano e appaiono molto simili (spesso non distinguibili) a quelli ufficiali. Quindi l’utente, ignara vittima della truffa, è più orientato a inserire quei dati richiesti. Ma proprio quella fiducia visiva creata dai truffatori è la cartina di tornasole della frode. Una volta inseriti i dati richiesti, infatti, il gioco è fatto. Per i truffatori.

Il caso dei cloni delle banche

Di cosa stiamo parlando? Nello specifico dello smishing che avviene attraverso finti siti di banche o gruppi bancari, Nel luglio del 2021, per esempio, abbiamo raccontato il caso del falso portale del Banco BPM. La vittima di questo tentativo di frode e truffa online aveva ricevuto questo sms.

«Gentile Cliente abbiamo rilevato una richiesta di pagamento anomala proveniente dal suo conto corrente. Il consulente Marco Bocchetti ID743232 la contatterà dal dipartimento antifrode per stornare o approvare la richiesta. Dunque la invitiamo a rispondere. Banco BPM». Il mittente non era un numero anonimo o una stringa di cifre: sul telefono della vittima, infatti, appariva il contatto “Banco BPM“. Come spiegato dalla stessa Banca Popolare di Milano a Giornalettismo, questo è stato possibile sfruttando sistemi di pirateria informatica che consentono di creare “numeri virtuali” e celarli dietro nomi. E l’utente, dunque, è portato ad associare quel contatto alla fonte ufficiale (in realtà, gli sms ufficiali di questa banca – nello specifico – arrivano con mittente “BANCO BPM”, tutto in maiuscolo).

Poi il link che riportata a un sito che, graficamente (anche con la presenza di loghi), ricordava quello della Banca Popolare di Milano. Lì si chiedeva di inserire “Codice identificativo”, “Pin” e “Numero di telefono”. Tre elementi necessari per poter sottrarre gli accessi al proprio conto bancario (il numero di telefono serviva per certificare la variazione di “utenza” attraverso il codice OTP). E la truffa attraverso smishing è servita. Ma questo è solo uno dei tanti esempi di frode bancaria che parte dagli sms e poi si sposta sui portali online.

Come difendersi

Perché il “messaggino” (che arrivi via sms o via chat) è solo la porta d’accesso per perpetrare la frode. Ma ci si può difendere? Certamente, anche se il consiglio principale è quello di avere sempre un occhio altamente critico nei confronti di quel che riceviamo (e questo vale anche per il phishing). Come spiegato da Pierguido Iezzi – Ceo di Swascan – a Giornalettismo, la miglior difesa è il non agire. Quando si ricevono messaggi sospetti (almeno ai nostri occhi) la prima cosa da fare è quella di non rispondere immediatamente. Ci si deve prendere del tempo per chiamare – eventualmente – il servizio clienti dell’azienda da cui abbiamo ricevuto quel messaggio che non riteniamo veritiero per chiedere conferma sulla paternità del sms. E mai cliccare sui link: difficilmente, infatti, le aziende e le istituzioni inviano link via sms (se non in risposta a query avanzate dallo stesso utente online, quindi in prossimità temporale con la ricezione).