In un precedente articolo ci si è occupati del fenomeno (criminale) denominato “Phishing”, che viene perpetrato per lo più tramite l’invio di e-mail malevole (clicca qui).

Ma questo è solo uno dei tanti modi in cui il mondo del cyber crime sfrutta le “vulnerabilità umane”.

Ultimamente infatti, si è assistito ad un aumento delle truffe tramite il c.d. “Smishing”, che non è altro se non la combinazione tra due parole: Phishing e Sms.

La vittima non riceve una mail ma un messaggio sul suo cellulare, che all’apparenza – benché il mittente risulti sconosciuto – sembra essere assolutamente attendibile, e in cui si fornisce all’utente un’informazione molto precisa, come si può osservare in questo sms che è stato segnalato da una cittadina alla Polizia Postale:   

Scopo primario dei cyber criminali è attirare l’attenzione del destinatario facendo leva su un “fatto della vita” (la consegna di un pacco), di stretta attualità soprattutto in questo momento storico, vista la crescita vertiginosa degli acquisti online durante il lockdown (clicca qui).

Il malcapitato è invitato a cliccare nel link, che riporta ad un sito web (fasullo) del corriere, nel quale vengono richieste le proprie credenziali di accesso o anche il numero della carta di credito, per perfezionare la consegna.

Ovviamente non vi è nessuna consegna da effettuare, ma i criminali avranno in questo modo sottratto le credenziali e, nei casi più gravi i dati della carta di credito. 

Spesso anche gli Enti istituzionali vengono “usati” per adescare ignari cittadini. Ne è un esempio l’I.N.P.S. (Istituto Nazionale della Previdenza Sociale) che segnala una “campagna di malware tramite sms” (clicca qui).

In questa truffa gli hacker inoltrano al destinatario un messaggio a nome dell’Inps, invitandoli a cliccare il link contenuto nel testo per un non meglio precisato “aggiornamento della domanda covid-19”. Lo scopo è sempre lo stesso, sottrarre dati sensibili, sfruttando il fatto che milioni di utenti in questi mesi sono alle prese con le domande di sovvenzione post quarantena. 

E’ proprio facendo leva sulle diverse segnalazioni di utenti raggiunti da questi sms truffaldini, che la polizia postale ha emanato una serie di raccomandazioni (clicca qui) da tenere a mente quando si ricevono degli sms sospetti:

  • Nel caso in cui si ricevano sms di riscatto premi, coupon, regali, avvisi urgenti e di offerte “impossibili”, questi devono essere considerati come tentativi di truffa o di furto di dati;
  • Nessuna Banca o Istituto di Credito comunica con i propri clienti via sms o e-mail chiedendo loro di modificare le credenziali di accesso al conto o di aggiornarne le informazioni;
  • Quando si ricevono questo tipo di messaggi si è di fronte a tentativi i di truffa e non si deve rispondere né cliccare sui link. Si deve invece contattare il referente in banca per chiedere informazioni;
  • Qualora, per disattenzione o fretta, si clicchi sui link proposti, ricordarsi di non fornire alcun tipo di credenziali e/o dati personali e non autenticarsi con nome utente e password;
  • Mai scaricare eventuali documenti o allegati proposti;
  • Ricordarsi che, come nella vita reale si presta attenzione alla tutela dei dati propri personali, lo stesso deve essere fatto sulla rete. Nome, cognome, indirizzi, password e foto sono dati importantissimi e devono essere custoditi gelosamente.

Ma come è possibile che non ci si ricordi di non aver effettuato nessun ordine, nessuna domanda di sovvenzione, e si cada nel “tranello”?

Gli sms di smishing – come d’altronde le mail di phishing – non sono indirizzate ad un soggetto predeterminato e scelto dagli hacker come bersaglio (come nel caso dello Spear phishing), ma sono inviati in maniera randomica a migliaia di persone. La strategia dei criminali è che tra i tanti utenti raggiunti dall’sms ci sia qualcuno che, stando all’esempio fatto sopra, stia effettivamente attendendo la consegna di un pacco da un corriere, o quantomeno instillare il dubbio che il pacco sia stato ordinato da un familiare a sua insaputa, fatto tutt’altro che insolito, come sottolineato in precedenza.

Questa strategia, si badi, è tutt’altro che campata in aria, ma si basa su precisi studi sul comportamento umano.

L’sms di smishing può puntare su vari fattori:

  • l’autorità del mittente e la fiducia del destinatario → ( nel caso del corriere, dell’Inps…);
  • il rapporto velocità/tempo e i desideri/emozioni del destinatario → (nel caso di un’offerta limitata ai primi che cliccano);
  • la reciprocità → ( nel caso in cui si preveda un omaggio in cambio dell’iscrizione ad una newsletter)

Nel caso in cui si venga raggiunti da un sms – o anche da un messaggio WhatsApp (clicca qui) – di dubbia provenienza, o che promette incredibili promozioni, il consiglio ultimo è sempre lo stesso, non cliccare MAI sul link e soprattutto non inserire dati personali, bancari o sanitari.

Se il dubbio sulla “promozione imperdibile” persiste, si può sempre consultare il sito internet ufficiale dell’azienda; se la promozione è una promozione veritiera, la si troverà sicuramente anche lì.

Alberto Pittau