Smishing: i migliori consigli per com­bat­te­re i messaggi di phishing

Il termine smishing è composto dalle due parole “SMS” e “phishing”. Come nel phishing, i cy­ber­cri­mi­na­li si spacciano per rap­pre­sen­tan­ti di una società o or­ga­niz­za­zio­ne degna di fiducia. Al posto delle mail, gli ag­gres­so­ri nel phishing via SMS uti­liz­za­no SMS (Short Message Service), ossia dei messaggi brevi di testo, per fare in modo che le loro vittime rivelino delle in­for­ma­zio­ni relative ai propri account o che in­con­sa­pe­vol­men­te in­stal­li­no malware e trojan.

Anche se questa de­fi­ni­zio­ne dello smishing potrebbe lasciare un’im­pres­sio­ne con­tra­stan­te, non è sempre facile ri­co­no­sce­re un SMS di phishing. I cy­ber­cri­mi­na­li giocano con­sa­pe­vol­men­te con le emozioni delle vittime per portarle a delle decisioni ir­ra­zio­na­li. In questo articolo vi spie­ghia­mo il modo di procedere degli smisher, l’aspetto che hanno gli SMS di phishing e come poter ve­ri­fi­ca­re l’au­ten­ti­ci­tà dei messaggi di testo.

Gli smisher hanno svi­lup­pa­to vari modi di procedere per riuscire a ottenere i dati degli utenti di smart­pho­ne. Il pattern però è sempre lo stesso: il truf­fa­to­re si spaccia per il rap­pre­sen­tan­te di una società o per un co­no­scen­te e racconta una storia che induca la vittima a rivelare i propri dati personali o a scaricare software dannosi. Questo elemento è fon­da­men­ta­le per lo smishing e viene de­no­mi­na­to in­ge­gne­ria sociale. L’ag­gres­so­re cerca di creare un par­ti­co­la­re rapporto di fiducia e di coin­vol­ge­re il bersaglio dal punto di vista emotivo. Deve scattare la sen­sa­zio­ne che sia proprio il momento giusto per seguire le in­di­ca­zio­ni del truf­fa­to­re senza attenersi alle solite misure di sicurezza.

Nei seguenti paragrafi vi mo­stre­re­mo le com­po­nen­ti e i contenuti prin­ci­pa­li di un SMS di phishing, così potrete toccare con mano come fun­zio­na­no questi messaggi frau­do­len­ti e saprete a cosa prestare at­ten­zio­ne per ve­ri­fi­ca­re la ve­ri­di­ci­tà di un messaggio di testo.

Il classico SMS di phishing è un breve messaggio di testo scritto come se fosse ricevuto da un amico. Deve ri­sve­glia­re curiosità ed esortare il de­sti­na­ta­rio a cliccare sul link contenuto nell’SMS. Quando cliccate sul link viene scaricato au­to­ma­ti­ca­men­te un software che consente al pirata in­for­ma­ti­co di aver accesso allo smart­pho­ne. Se lo smisher è un pro­fes­sio­ni­sta, non vi ac­cor­ge­re­te nemmeno del download e del pericolo per i vostri dati sensibili.

Nelle affini mail di phishing si in­di­riz­za­no le persone, tramite una falsa mail, su un sito web con un finto for­mu­la­rio. Lo stesso sistema viene traslato anche allo smishing: i criminali in­se­ri­sco­no nel messaggio di testo inviato un link che rimanda a un for­mu­la­rio. Quando immettete i vostri dati personali nel for­mu­la­rio, questi vengono inviati di­ret­ta­men­te al pirata in­for­ma­ti­co. La tecnica dello smishing viene uti­liz­za­ta so­prat­tut­to quando i criminali vogliono avere accesso ai dati sui conti bancari o sulle carte di credito. Nell’SMS lo smisher di solito fa ri­fe­ri­men­to a un problema di sicurezza che sembra ri­chie­de­re un’immediata tra­smis­sio­ne dei vostri dati personali.

Nello spear smishing gli attacchi sono in­di­riz­za­ti a una de­ter­mi­na­ta persona. A tal fine i cy­ber­cri­mi­na­li valutano ad esempio i profili delle vittime sui social network e creano su questa base un SMS di phishing pensato ad hoc per la vittima, che contiene già dei dati personali. In questo modo con lo spear phishing, ossia il furto di dati tramite mail per­so­na­liz­za­te, il livello di cre­di­bi­li­tà è molto elevato.

Il phishing via SMS viene anche uti­liz­za­to per inoltrare l’utente ad un fan­to­ma­ti­co servizio di as­si­sten­za di un’azienda. Un messaggio SMS sug­ge­ri­sce al de­sti­na­ta­rio di ri­vol­ger­si tramite un numero indicato a una hotline di as­si­sten­za clienti. Non appena il truf­fa­to­re sarà in linea tenterà di ap­pro­priar­si di in­for­ma­zio­ni relative alla persona che sta chiamando. Il vantaggio del criminale è l’elevata cre­di­bi­li­tà. Molte persone sono, a ragione, reticenti quando si tratta di inserire dati personali in un for­mu­la­rio online. L’hotline di as­si­sten­za clienti è un sistema che promette serietà. Il co­sid­det­to vishing (Voice-Phishing) è un sistema molto simile tramite il quale i criminali cercano di far propri i dati sensibili tramite chiamate VoIP.

In genere negli SMS frau­do­len­ti il mittente si riferisce a un problema urgente o un evento che rende ne­ces­sa­rio un in­ter­ven­to immediato. Proprio per questo non dovete agire d’impulso, ma piuttosto esaminare at­ten­ta­men­te l’SMS. Abbiamo raccolto per voi i prin­ci­pa­li criteri per di­stin­gue­re tra un SMS vero e un SMS di phishing. La questione fon­da­men­ta­le è sempre la seguente: quanto sono autentici il mittente e il contenuto dell’SMS?

Consiglio 1: ve­ri­fi­ca­te che l’SMS non presenti errori or­to­gra­fi­ci e gram­ma­ti­ca­li. I cy­ber­cri­mi­na­li spesso sono attivi a livello in­ter­na­zio­na­le e usano programmi di tra­du­zio­ne. Questo è chiaro in molti dei messaggi che ricevute.

Consiglio 2: ve­ri­fi­ca­te il numero di telefono del mittente, per as­si­cu­rar­si che ap­par­ten­ga alla presunta società. At­ten­zio­ne però, anche se il numero sembra essere vero non è detto che il messaggio sia autentico. Gli smisher possono simulare un altro numero tramite un co­sid­det­to spoofing.

Consiglio 3: chie­de­te­vi in che contesti un SMS può essere un mezzo di co­mu­ni­ca­zio­ne adeguato. In caso di problemi una banca non vi con­tat­te­reb­be di certo tramite SMS, anche la pro­ba­bi­li­tà che vi con­tat­ti­no tramite SMS per una vincita in un gioco a premi è pressoché nulla.

Consiglio 4: non inserite mai in­for­ma­zio­ni fi­nan­zia­rie o relative a pagamenti in una pagina web o for­mu­la­rio a cui siete giunti tramite un link su un messaggio. Non cliccate mai su link di mittenti sco­no­sciu­ti e di cui non vi fidate. Diffidate dai messaggi di testo che sembrano molto urgenti.

Consiglio 5: in­stal­la­te un programma antivirus sullo smart­pho­ne ed ef­fet­tua­te sempre gli ag­gior­na­men­ti necessari. Un tale software di sicurezza non rap­pre­sen­ta una garanzia assoluta contro software dannosi che possono infettare lo smart­pho­ne, aggiunge però un livello di sicurezza a cui è meglio non ri­nun­cia­re.