Le parole del consumatore: smishing (fonte foto Pixabay)

Le truffe digitali non finiscono mai. Spesso hanno un nome in inglese, si parla di phishing o smishing o quant’altro, ma per il consumatore il rischio è sempre quello: rilasciare credenziali e dati personali che finiranno per alleggerire il suo conto in banca. Una delle truffe che spesso viene veicolata è lo smishing, parola nata dall’unione di sms e phishing: è una pratica che vuole rubare informazioni personali attraverso l’invio di messaggi ingannevoli che invitano l’utente a cliccare su falsi link. Il sito al quale l’sms indirizza è un sito clone dell’originale. E qui sta il pericolo, perché l’utente viene ingannato dal fatto che il mittente sembra sia quello di un istituto noto e il link sembra reale. Sembra, ma non lo è.

Smishing, di cosa si tratta

I link infatti simulano le fattezze dei siti originali (di banche, poste, Inps, consegna pacchi e quant’altro). Cliccando sul link viene scaricato un malware che permette ai truffatori di accedere al dispositivo, ottenendone il controllo.  Quasi sempre i truffatori ricorrono a meccanismi psicologici, come l’urgenza o la possibilità di ottenere un vantaggio personale, in modo che si sia indotti a cliccare velocemente sul link senza pensarci troppo.

I testi degli sms fraudolenti spesso affermano che c’è un problema con le utenze, oppure invitano a cliccare su un link per procedere a un presunto blocco della a carta o a un adeguamento della sicurezza. Vi sono anche sms fraudolenti riferiti alla presunta consegna di pacchi da parte di corrieri, quali ad esempio: “il tuo pacco sta arrivando”, “il tuo pacco è in attesa”, e simili.

Lo smishing è insomma un caso particolare di phishing, quella tipologia di truffa che “va a pesca” di informazioni riservate, spesso il numero della carta di credito o le credenziali di accesso alla banca, cercando di raccogliere tutto quello che rimane impigliato. Nel caso dello smishing, il link malevolo viene inviato attraverso messaggi sms che sembrano provenire da mittenti ufficiali. Anche in questa circostanza vengono chiesti dati riservati quali il nome utente, la password di accesso all’Internet Banking, gli estremi della carta o i codici OTP (One Time Password) ricevuti via sms (Poste.it).

L’obiettivo è sempre quello di tentare di acquisire dati personali, codici e credenziali di accesso a un conto corrente o a una carta di pagamento, ma anche quello di far diffondere l’sms ad altri contatti presenti sul proprio cellulare.

 

 

Come difendersi dallo smishing

Come difendersi? Ecco qualche consiglio dalla Polizia Postale

Ricorda che:

  • spesso in questo tipo di truffe la veste grafica del sito fraudolento è assolutamente identica a quella del sito originale e per questo si può cadere in errore;
  • la presenza di una pagina criptata, ovvero la dicitura “https” accanto al simbolo di un lucchetto nella URL rende un sito attendibile;
  • nessun Ente istituzionale invita gli utenti attraverso mail, SMS, telefono, o messaggi sui Social, a fornire password, dati delle carte, codici OTP, PIN, credenziali, chiavi di accesso all’home banking o altri codici personali;
  • bisogna accedere ai siti digitando direttamente l’indirizzo dalla barra degli strumenti, evitando di cliccare sui link che vengono ricevuti con qualunque mezzo.

Cosa fare? Mai collegarsi al sito indicato nel testo dell’sms fraudolento. Nel caso ci si sia collegati per errore, non fornire alcun tipo di credenziali e/o dati personali e non autenticarsi; non scaricare eventuali documenti o allegati; diffidare sempre di richieste di cui non sia certa la provenienza; conservare sempre con la massima cura il nome utente, la password e il codice dispositivo e non renderli noti a terzi.

Ci sono ancora una serie di accorgimenti che si possono prendere. Intanto, confrontare il sito internet con quello autentico dal quale solitamente si accede. Se la pagina presenta l’apparente sicurezza della connessione protetta (https), cliccando sul lucchetto presente nella URL si possono verificare gli estremi del certificato digitale. Se è stato rilasciato da poco, magari per una durata limitata ed è assegnato a soggetto diverso dall’Ente interessato, siamo quasi sicuramente vittime di un tentativo di frode. Per visitare il sito internet dell’ente pubblico che si sta cercando, bisogna digitare direttamente quello ufficiale nella barra degli indirizzi, evitando di cliccare quelli inseriti nella cronologia del tuo browser per rendere più veloce l’operazione. In qualsiasi frode informatica l’utente è sempre l’anello più debole: non avere mai fretta nell’eseguire operazioni in Rete, perché è proprio la fretta a far commettere errori.


Vuoi ricevere altri aggiornamenti su questi temi?
Iscriviti alla newsletter!



Dopo aver inviato il modulo, controlla la tua casella per confermare l'iscrizione
Privacy Policy

Parliamone ;-)