Tutte le nuove tecniche di smishing, da quello sul Covid-19 a quello sul tracciamento dei pacchi

Lo smishing è un tipo di attacco di cybersecurity che utilizza gli SMS come veicolo. L’obiettivo è simile a quello del phishing, ovvero estorcere dati sensibili come numeri di carte di credito e informazioni personali. Osserviamo insieme i dettagli.

LEGGI ANCHE > L’avanzata dei ransomware, come difendersi dalla minaccia

Smishing: la definizione

La parola “smishing” deriva dalla combinazione di SMS e phishing. Con phishing ci si riferisce alla pratica di rubare informazioni personali o finanziarie attraverso comunicazioni ingannevoli, principalmente e-mail. Fondamentalmente, lo smishing è phishing veicolato attraverso messaggi di testo su dispositivi mobili.

La definizione precisa di smishing classifica il fenomeno come un tipo di attacco di ingegneria sociale che si basa sullo sfruttamento della fiducia umana, piuttosto che sugli exploit tecnici. Quando i criminali informatici conducono una campagna di phishing, inviano e-mail fraudolente che cercano di indurre il destinatario a fare clic su un collegamento dannoso. Lo smishing utilizza semplicemente gli SMS anziché le email.

In sostanza, questi cybercriminali cercano di rubare i tuoi dati personali, che possono quindi utilizzare per commettere frodi o altri crimini informatici. In genere, questo include furti di denaro da conti bancari e arriva fino ai furti di identità.

Come funziona lo smishing

I messaggi di testo sono creati per somigliare il più possibile a qualcosa che la vittima può credere. Ad esempio, si può ricevere quello che sembra un messaggio di testo da un’azienda come la propria banca, un gestore di telefonia mobile, un’azienda di trasporti o un servizio tecnologico come Netflix o PayPal.

In linea generale, i messaggi affermano che il tuo account è scaduto o è stato bloccato con qualche pretesto come un’attività sospetta. Il passo seguente è fornire informazioni personali o fare clic su un collegamento per riattivarlo. Ciò fornisce ai truffatori i mezzi per rubare soldi e dati personali, o per infettare il tuo dispositivo con malware. I criminali informatici spesso utilizzano due metodi per rubare questi dati:

Malware: il collegamento URL incluso nel messaggio potrebbe contenere un malware che si installa da solo sul telefono. Questo malware SMS potrebbe mascherarsi come un’app legittima, inducendoti con l’inganno a digitare informazioni riservate e a inviare questi dati ai criminali informatici.

Sito Web: il collegamento nel messaggio potrebbe portare ad un sito fasullo che richiede di inserire i propri dati sensibili. I criminali informatici utilizzano siti costruiti a pennello per imitare quelli reali, rendendo più facile per la vittima cadere nell’inganno.

Inoltre, sempre più persone utilizzano i propri smartphone personali per lavoro (un fenomeno chiamato BYOD, o “bring your own device”). Lo smishing sta quindi diventando una minaccia per le aziende oltre che per i consumatori.

Tipi principali di smishing

Lo smishing tocca molti punti della nostra vita quotidiana. Vediamone alcuni più approfonditamente.

Smishing e COVID-19

Le truffe smishing COVID-19 si basano sui reali messaggi inviati dalle autorità sanitarie, soprattutto riguardanti le prenotazioni dei vaccini. Gli aggressori hanno utilizzato queste tattiche per sfruttare la paura delle vittime riguardante la pandemia. I criminali si fingono staff delle varie ASL e presentano dei moduli da compilare per la campagna di immunizzazione, richiedendo quindi codice fiscale, tessera sanitaria, email e simili.

Smishing e banche

Di solito i criminali si fingono il vostro istituto di credito e inviano notifiche sullo stato del conto. Molto spesso viene richiesto di sbloccare il proprio account o di verificare attività sospette, cliccando su un link che conterrà poi il malware.

Ordini e tracciatura pacchi

Anche questo tipo di smishing è comunissimo. Solitamente le tipologie sono due: la conferma di un ordine che non avete mai effettuato o la tracciatura di un pacco che non state aspettando. Questi sms sono accompagnati da dei link malevoli e spesso le vittime cliccano senza pensare per evitare di essere addebitati per qualcosa di sconosciuto.

Poste Italiane e smishing

Una delle truffe smishing più comuni in Italia è quella di “PosteInfo”. I messaggi tendenzialmente chiedono di confermare i dati del proprio conto; anche in questo caso abbiamo un link ad una pagina Web creata ad hoc per somigliare a quella delle Poste. L’obiettivo è rubare, tra i vari dati personali, numeri di carte di credito, PIN e OTP vari. Importante ricordare che Poste Italiane non chiede mai dati riservati in nessuna finalità.

Come difendersi dallo smishing?

Il modo migliore di difendersi dallo smishing è molto facile: non fare nulla. È proprio ignorando questi SMS che si evita di cadere in questi inganni. Nonostante ciò, ci sono alcune piccole accortezze che si possono prendere.

Non rispondere ai messaggi sospetti.

Soprattutto se vi spingono a rispondere con “STOP” o “NO” per disattivare i servizi. Spesso la sola risposta può identificare quali numeri di telefono sono attivi.

Se hai dubbi, chiama l’azienda direttamente.

Che sia un pacco da Bartolini o il tuo conto in banca, è sempre meglio essere sicuri. Contattate direttamente l’azienda per confermare le informazioni contenute nei messaggi.

Non cliccare mai link negli SMS.

A meno che non siate sicuri al 100% della provenienza del messaggio, evitate di aprire qualsiasi tipo di link contenuto nell’SMS.

* Pierguido Iezzi si occupa da anni di cyberSecurity e Digital Innovation. Ha fondato e segue diverse start-up. Cybersecurity Director e CEO di Swascan.