Eccoci di nuovo a parlare dell’ennesimo pericolo per i nostri dati sensibili. Vista l’enorme mole di attacchi che si stanno verificando in Italia con questa tecnica, molto probabilmente anche tu che stai leggendo avrai ricevuto almeno uno dei famigerati tentativi di truffa via SMS. lo Smishing, anche noto come SMS Phishing altro non è che la declinazione, del canonico attacco phishing che avveniva via mail, questa volta tramite il buon vecchio SMS.
Qualcuno potrebbe chiedersi come mai i cyber criminali si siano rivolti ad una forma di comunicazione oramai quasi in disuso, l’unica ragione e che gli SMS attualmente vengono utilizzati per inviare le OTP (One Time Password) di diversi servizi, tra tutti quelli delle banche e dell’Home banking in generale.
Troppo ghiotta l’occasione per non creare un novo sistema di truffe che utilizzasse questo strumento per estorcere ai malcapitati dati sensibili importantissimi come i riferimenti per accedere alla propria banca online.
Come funziona lo Smishing
Sappiamo che gli SMS sono una forma di comunicazione oramai poco usata, con l’avvento delle app di messaggistica come WhatsApp si è persa l’abitudine di sfruttare tale mezzo che nei primi anni 90 aveva rivoluzionato il modo di comunicare a distanza. Tuttavia questo strumento è il mezzo più diffuso per inviare le OTP soprattutto dai servizi finanziari e dalle banche e questo nell’ultimo periodo ha portato i criminali ad attenzionare questo canale.
Il cybercrimine che corre sugli smartphone cresce anno dopo anno ed è trasversale perché riesce ad attaccare tanto gli utenti Android quanto quelli Apple. Questa tipologia di truffa su internet è molto lontana dal vecchio concetto del virus o del trojan, qui si crea ad hoc una struttura fatta per ingannare alla perfezione un utente e farsi lasciare i propri dati personali di accesso ai sistemi bancari.
Gli esempi più diffusi sono legati proprio ai servizi di home banking, i criminali riescono a inviare SMS intestati con il nome della banca, quindi non con un numero qualsiasi, ma con un numero registrato tramite il servizio imposto per legge e gestito da AGCOM che permette di avere un nome personalizzato alfanumerico.
In questi messaggi intestati viene creato un senso di rischio o di urgenza per mettere pressione alle persone. Ecco quindi trovarci a messaggi del tipo:
- Abbiamo riscontrato un accesso non autorizzato al tuo account, ti chiediamo di ripristinare la password cliccando qui
- Il tuo account bancario è sospeso, per mancanza di un documento aggiornato, clicca qui accedi e inserisci il tuo documento
- Hai ricevuto un nuovo bonifico, clicca qui per accedere e accettare la transazione
In questi esempi quello che risalta all’occhio è sempre e solo la volontà del truffatore di rimandarci verso una qualche pagina falsa costruita ad hoc per farci credere che sia davvero l’accesso alla nostra home banking.
Inutile dire che se un malcapitato casca nella trappola inserendo i suoi dati, saranno guai. Si sarà dato pieno accesso al proprio conto corrente e dunque la possibilità di svuotarlo senza problemi.
Come proteggersi dallo Smishing
Sembra banale o scontato, ma per difenderci dallo smishing dovremmo grossomodo rispettare le medesime regole che abbiamo imparato per il phishing.
I criminali informatici, sono diventati abilissimi, creano messaggi in perfetto Italiano (cosa che invece non succedeva nelle mail e ci permetteva di individuare la truffa più facilmente), creano le landing page, ovvero le pagine di atterraggio dei link che inseriscono negli SMS, identiche alle pagine originali e a volte per fugare ogni sospetto si avvalgono anche si protezioni SSL che ci riportano nel browser come quel sito sia sicuro.
Risulta chiaro che, così come l’utenza si è abituata al phishing tramite mail ed ha imparato a smascherarlo, anche per lo smishing dovremo avviare un percorso e un processo simile. Questo si fa solo con la comunicazione e l’educazione al buon utilizzo di internet e dei suo mezzi.
Ci sono alcune cose da tenere a mente per proteggersi da questi attacchi:
- Consideriamo che tutti i messaggi SMS che spingono a collegarsi ad una pagina esterna dove ti chiedono di inserire dati personali sono TRUFFE
- Nessun istituto finanziario o commerciante invierà un SMS in cui chiede di aggiornare le informazioni del conto o di confermare il codice del bancomat. Se si riceve un messaggio che sembra provenire dalla propria banca o da un commerciante con cui si fanno affari e viene chiesto di cliccare qualcosa nel messaggio, è senza dubbio una truffa. Se si hanno dubbi è meglio chiamare direttamente la propria banca o il commerciante in questione.
- Non bisogna mai cliccare un link o un numero di telefono presenti in un messaggio di cui non si è sicuri.
- Prestare attenzione ai numeri sospetti che non sembrano numeri di telefono reali
- Nessun riscatto di coupon, regalo o omaggio richiede l’inserimento di dati personali. Difronte ad SMS di questo tipo cestinate e anzi mettete il numero in blacklist
Concludiamo dicendo che esattamente come per il phishing tramite email, il miglior modo per proteggersi e non fare nulla, non cliccare, non indagare su quel link, non inoltrarlo…niente di niente. Se NON rispondiamo all’SMS, NON clicchiamo dentro al link e NON visitiamo la pagina, noi come utenti non corriamo alcun rischio. Il segreto è ignorare l’SMS e questo non ci arrecherà alcun danno.
