Che cos'è la truffa dello smishing e come difendersi
Lo smishing è una particolare tipologia di attacco phishing che prende di mira gli utenti della Posta e della Banca. Ecco come difendersi
Ogni mezzo è buono per un attacco phishing e rubare le credenziali d’accesso ai conti online degli utenti. Persino il buon vecchio messaggio SMS può essere usato per la cosiddetta “truffa dello smishing“. Dove “smishing” altro non è che l’unione tra SMS e phishing.
Questo tipo di truffa, infatti, è molto semplice ed usa metodi apparentemente banali: si tratta di inviare un SMS all’utente e convincerlo a cliccare su un link, per spedirlo ad un sito Web dove avverrà la truffa vera e propria. Il problema è che, come per un po’ tutti i casi di phishing, l’utente medio non si sofferma più di tanto sul messaggio e istintivamente fa click sul link. Il nostro numero di telefono, come al solito, agli hacker lo abbiamo dato noi: molto probabilmente lo hanno preso da uno dei nostri profili social. Oppure, ma è un caso più raro, lo hanno trovato in un pacchetto di dati comprato sul mercato nero del Deep Web.
Lo smishing di Poste Italiane e Banco Posta
Uno dei casi di smishing più frequenti è quello tramite il quale gli hacker tentano di rubarci le nostre credenziali di Poste Italiane o del Banco Posta. Ovviamente per prosciugarci il conto. Il meccanismo è semplicissimo: l’SMS sembra avere come mittente Poste Italiane e ci avverte che ci sono problemi al nostro account e dobbiamo far click sul link per cambiare i dati d’accesso e l’OTP, la One Time Password di protezione del conto.
Naturalmente è tutto falso: il mittente non è Poste Italiane, non c’è alcun problema al nostro account e, se facciamo click sul link, veniamo spediti ad un sito che non è di Poste Italiane. Se inseriamo i nostri dati in questo sito, quindi, li stiamo regalando agli hacker e possiamo dire addio ai nostri risparmi. Una variante dell’SMS riporta in calce l’opzione per chiamare un numero di telefono per avere “assistenza“. In realtà è un’utenza estera alla quale risponde un call center: un operatore ci chiederà i dati di accesso promettendoci di risolvere lui il fantomatico problema all’account. Il risultato sarà lo stesso: conto prosciugato. Di truffe del genere ne girano a decine: non solo Poste, ma tra le vittime ci sono anche i clienti delle banche.
Come difendersi dallo smishing
Il primo metodo per difendersi da un SMS di smishing è fare in modo che non ci arrivi il messaggio: non dobbiamo mai comunicare il nostro numero di telefono su social, forum e altri siti Web. Se l’SMS truffa ci arriva lo stesso, dobbiamo ignorarlo e cancellarlo: né Poste Italiane né alcun istituto bancario o società di carte di credito usa gli SMS per comunicazioni importanti.
Solitamente utilizzano l’app proprietaria che instaura una comunicazione criptata con i server della banca/posta/carta al fine di evitare che qualcuno rubi i nostri dati sensibili.
