Smishing: i migliori consigli per combattere i messaggi di phishing

Il termine smishing è composto dalle due parole “SMS” e “phishing”. Come nel phishing, i cybercriminali si spacciano per rappresentanti di una società o organizzazione degna di fiducia. Al posto delle mail, gli aggressori nel phishing via SMS utilizzano SMS (Short Message Service), ossia dei messaggi brevi di testo, per fare in modo che le loro vittime rivelino delle informazioni relative ai propri account o che inconsapevolmente installino malware e trojan.

Anche se questa definizione dello smishing potrebbe lasciare un’impressione contrastante, non è sempre facile riconoscere un SMS di phishing. I cybercriminali giocano consapevolmente con le emozioni delle vittime per portarle a delle decisioni irrazionali. In questo articolo vi spieghiamo il modo di procedere degli smisher, l’aspetto che hanno gli SMS di phishing e come poter verificare l’autenticità dei messaggi di testo.

Gli smisher hanno sviluppato vari modi di procedere per riuscire a ottenere i dati degli utenti di smartphone. Il pattern però è sempre lo stesso: il truffatore si spaccia per il rappresentante di una società o per un conoscente e racconta una storia che induca la vittima a rivelare i propri dati personali o a scaricare software dannosi. Questo elemento è fondamentale per lo smishing e viene denominato ingegneria sociale. L’aggressore cerca di creare un particolare rapporto di fiducia e di coinvolgere il bersaglio dal punto di vista emotivo. Deve scattare la sensazione che sia proprio il momento giusto per seguire le indicazioni del truffatore senza attenersi alle solite misure di sicurezza.

Nei seguenti paragrafi vi mostreremo le componenti e i contenuti principali di un SMS di phishing, così potrete toccare con mano come funzionano questi messaggi fraudolenti e saprete a cosa prestare attenzione per verificare la veridicità di un messaggio di testo.

Il classico SMS di phishing è un breve messaggio di testo scritto come se fosse ricevuto da un amico. Deve risvegliare curiosità ed esortare il destinatario a cliccare sul link contenuto nell’SMS. Quando cliccate sul link viene scaricato automaticamente un software che consente al pirata informatico di aver accesso allo smartphone. Se lo smisher è un professionista, non vi accorgerete nemmeno del download e del pericolo per i vostri dati sensibili.

Nelle affini mail di phishing si indirizzano le persone, tramite una falsa mail, su un sito web con un finto formulario. Lo stesso sistema viene traslato anche allo smishing: i criminali inseriscono nel messaggio di testo inviato un link che rimanda a un formulario. Quando immettete i vostri dati personali nel formulario, questi vengono inviati direttamente al pirata informatico. La tecnica dello smishing viene utilizzata soprattutto quando i criminali vogliono avere accesso ai dati sui conti bancari o sulle carte di credito. Nell’SMS lo smisher di solito fa riferimento a un problema di sicurezza che sembra richiedere un’immediata trasmissione dei vostri dati personali.

Nello spear smishing gli attacchi sono indirizzati a una determinata persona. A tal fine i cybercriminali valutano ad esempio i profili delle vittime sui social network e creano su questa base un SMS di phishing pensato ad hoc per la vittima, che contiene già dei dati personali. In questo modo con lo spear phishing, ossia il furto di dati tramite mail personalizzate, il livello di credibilità è molto elevato.

Il phishing via SMS viene anche utilizzato per inoltrare l’utente ad un fantomatico servizio di assistenza di un’azienda. Un messaggio SMS suggerisce al destinatario di rivolgersi tramite un numero indicato a una hotline di assistenza clienti. Non appena il truffatore sarà in linea tenterà di appropriarsi di informazioni relative alla persona che sta chiamando. Il vantaggio del criminale è l’elevata credibilità. Molte persone sono, a ragione, reticenti quando si tratta di inserire dati personali in un formulario online. L’hotline di assistenza clienti è un sistema che promette serietà. Il cosiddetto vishing (Voice-Phishing) è un sistema molto simile tramite il quale i criminali cercano di far propri i dati sensibili tramite chiamate VoIP.

In genere negli SMS fraudolenti il mittente si riferisce a un problema urgente o un evento che rende necessario un intervento immediato. Proprio per questo non dovete agire d’impulso, ma piuttosto esaminare attentamente l’SMS. Abbiamo raccolto per voi i principali criteri per distinguere tra un SMS vero e un SMS di phishing. La questione fondamentale è sempre la seguente: quanto sono autentici il mittente e il contenuto dell’SMS?

Consiglio 1: verificate che l’SMS non presenti errori ortografici e grammaticali. I cybercriminali spesso sono attivi a livello internazionale e usano programmi di traduzione. Questo è chiaro in molti dei messaggi che ricevute.

Consiglio 2: verificate il numero di telefono del mittente, per assicurarsi che appartenga alla presunta società. Attenzione però, anche se il numero sembra essere vero non è detto che il messaggio sia autentico. Gli smisher possono simulare un altro numero tramite un cosiddetto spoofing.

Consiglio 3: chiedetevi in che contesti un SMS può essere un mezzo di comunicazione adeguato. In caso di problemi una banca non vi contatterebbe di certo tramite SMS, anche la probabilità che vi contattino tramite SMS per una vincita in un gioco a premi è pressoché nulla.

Consiglio 4: non inserite mai informazioni finanziarie o relative a pagamenti in una pagina web o formulario a cui siete giunti tramite un link su un messaggio. Non cliccate mai su link di mittenti sconosciuti e di cui non vi fidate. Diffidate dai messaggi di testo che sembrano molto urgenti.

Consiglio 5: installate un programma antivirus sullo smartphone ed effettuate sempre gli aggiornamenti necessari. Un tale software di sicurezza non rappresenta una garanzia assoluta contro software dannosi che possono infettare lo smartphone, aggiunge però un livello di sicurezza a cui è meglio non rinunciare.