Smishing: cos’è e come riconoscerlo

8218 0

Lo smishing è una truffa tramite SMS che sta circolando negli ultimi tempi e che causa diversi danni. Ben architettata e segnalata da numerosi utenti sui social, lo Smishing funziona tramite il classico SMS.

Che cos’è lo Smishing

Lo smishing è un semplice messaggio di testo con scopi illegali. I messaggi sono manipolati con la tecnica dell’ingegneria sociale; l’obiettivo finale del malintenzionato è quello di indurre le vittime ignare a fornire informazioni riservate.

Quando si tratta di smishing, i criminali informatici si affidano proprio alle tecniche di ingegneria sociale, (guadagnare la fiducia di una vittima aumenta la probabilità che questa riveli le proprie informazioni), piuttosto che indovinare la sua password.

Cosa contengono i messaggi di smishing?

Di seguito una lista di contenuti che potreste ricevere nei messaggi di smishing:

  1. Link inaspettato
  2. Un file inatteso da scaricare
  3. Una richiesta urgente di aiuto, di solito sotto forma di denaro
  4. Congratulazioni per aver vinto un concorso a cui non avete partecipato
  5. Il nome di una banca che utilizzate o di un marchio che conoscete
  6. Una richiesta urgente di verificare le informazioni personali tramite un link o un numero di telefono.

Smishing esempio

La truffa inizia con un SMS che invita il malcapitato a cliccare su un link per completare l’operazione. Il contenuto del messaggio (quasi sempre lo stesso), fa riferimento a un pacco in arrivo o in giacenza. Il messaggio contenuto è quasi sempre il seguente:

“Il tuo pacco sta arrivando, seguilo qui”, seguito da un link composto da parole strane e numeri casuali; il collegamento non ha la certificazione SSL (l’url non inizia con https, ma con http).

Il messaggio cercherà di fare pressing nell’aprire il link. Di solito si trova un avviso come questo

“Caro cliente si prega di seguire le informazioni entro 48 ore” altrimenti il pacco in questione sarà restituito al mittente.

Se ci pensiamo è una truffa ben congegnata: una persona che sta attendendo la consegna di qualcosa acquistato online può davvero cascarci.

Il link indirizzerà il malcapitato ad un sito fake di quello originale, realizzato ovviamente per somigliare a tutti gli effetti a quello di una normale azienda di spedizioni in questo caso.

Smishing: la truffa del pacco presunto

In periodi come questi spesso si fanno acquisti online e il rischio di cadere nella trappola dell’SMS relativo alla consegna di un presunto pacco è dietro l’angolo.

Il messaggio contiene la fatidica frase “Il tuo pacco sta per arrivare”, ennesimo tentativo di truffa da parte di pirati informatici.

Come tutte le truffe di questa tipologia, il messaggio malizioso non è altro che il classico tentativo da parte dei malintenzionati di impossessarsi di dati sensibili come pin, iban o altre informazioni custodite nello smartphone.

Smishing: la campagna Flubot

L’obiettivo di questa campagna è quello di rubare dati sensibili delle povere vittime.

Flubot è ideato per rubare informazioni e credenziali delle carte di credito delle povere vittime, questo permette al cyber criminale di sottrarre denaro e attaccare gli account delle vittime, il malware imita una serie di icone di applicazioni reali per mascherarsi e diffondersi.

Come possiamo proteggerci dallo smishing?

La cyber truffa si sta diffondendo con molta velocità. Questo mette a serio rischio dati e privacy.
Di seguito una serie di consigli:

  1. Se non siete sicuri al 100% della provenienza del messaggio, non cliccate assolutamente sul link contenuto nel SMS che riporta il testo del tipo “Il tuo pacco sta arrivando”.
  2. ll messaggio sembra essere inviato da un numero italiano che può variare. Se si vuole essere ancora più tranquilli, il mittente può essere bloccato, ma non è detto che lo stesso messaggio non possa arrivarne da un numero di telefono differente.
  3. Se invece avete effettuato il click sul link ricevuto nell’SMS e se la pagina proponeva:

– di effettuare il login oppure
– di compilare un modulo con le vostre informazioni personali oppure
– è stato automaticamente scaricato un file e il vostro device si sta comportando in modo strano
In questi casi il consiglio è quello di:
– formattare il dispositivo
– informare i propri contatti presenti in rubrica di cancellare eventuali messaggi provenienti da quel numero di telefono.

Lo step successivo è quello di modificare anche tutte le password salvate sullo smartphone (per ad esempio i social network, email, applicazioni varie ma soprattutto quelle di home banking).

  • Controllate la fonte
  • Può davvero essere troppo bello per essere vero
  • Non rispondete
  • Proteggete il vostro smartphone

Nessun corriere chiede soldi per tracciare la spedizione o soldi aggiuntivi a spedizione in corso.

Se avete dei dubbi che si tratti di una vera consegna, accedete direttamente al sito ufficiale per verificare a che punto sia la spedizione o contattate il customer service dello spedizioniere.

Tenete sempre aggiornati i vostri device a livello di sistema operativo e installate un antivirus di ultima generazione. Fate attenzione a cosa aprite e a cosa cliccate.

Per rimanere aggiornato

Iscriviti al canale YouTube di Giorgio Perego

Consulta i volumi di EPC Editore

Giorgio Perego

Sono IT Manager di un gruppo italiano leader nella compravendita di preziosi presente in Italia e in Europa con oltre 350 punti vendita diretti e affiliati. Sono una persona a cui piace mettersi in gioco e penso che non si finisce mai di imparare, adoro la tecnologia e tutta la parte sulla sicurezza informatica. Mi diverto trovare vulnerabilità per poi scrivere articoli e dare delle soluzioni.