Cos'è lo smishing e come difendersi

Non bastavano le e-mail truffa. Gli hacker guardano ai messaggi di testo per trovare nuove vittime. Vi spieghiamo cos'è lo smishing e come difendersi
Cos'è lo smishing e come difendersi
SmartWorld team
SmartWorld team

È fondamentalmente una variante del phishing via e-mail, ma più pericolosa. E il motivo è racchiuso nella sua stessa definizione. Lo smishing è un fenomeno in continua crescita e sarà certamente capitato a tutti di ricevere un insolito SMS che ci esorta a effettuare un bonifico per una bolletta insoluta o, al contrario, a ripristinare le credenziali del nostro account bancario perché compromesso irrimediabilmente. Si tratta quindi di una tecnica che sfrutta i messaggi ricevuti sullo smartphone, uno strumento a dir poco imprescindibile per le nostre attività quotidiane come pure per gli attacchi dei cybercriminali, tenuto conto della quantità spropositata di dati sensibili racchiusi dentro al nostro device personale.

Che cos'è lo smishing

Il termine "smishing" nasce innanzitutto dalla combinazione delle parole SMS e phishing: eredita tutte le principali caratteristiche del secondo (in particolare le tecniche del raggiro e dell'ingegneria sociale), ma si differenzia dalle altrettanto diffuse truffe via e-mail per l'utilizzo esclusivo dei messaggi di testo. L'attaccante sfrutta dunque i cellulari come piattaforma per adescare nuove vittime, prendendo di mira i dati sensibili dell'utente. Gli stratagemmi congegnati dai truffatori sono piuttosto variegati, ma nella maggior parte dei casi possono ricondursi ad unità in base agli scopi che essi stessi sottendono: sottrarre denaro alla vittima o addirittura rubarne l'identità.

Alla base dello smishing vi è l'utilizzo della tecnica della cosiddetta "ingegneria sociale": possiamo definirla come una manipolazione psicologica che induce il soggetto preso di mira a comportarsi in un certo modo o a rivelare inconsapevolmente le informazioni personali, sfruttando alcuni sentimenti come la paura e l'avidità. Nel caso delle truffe via SMS, le sofisticate tecniche di social engineering rappresentano la chiave principale per convincere la vittima a cliccare sul link riportato in calce al messaggio o ad interagire con lo stesso. E per farlo si cerca di mettere fretta al soggetto attaccato, che agirà perciò d'istinto sotto la spinta del timore e della necessità di allontanarsi una situazione di pericolo.

In questo senso, i messaggi che informano l'utente che il suo account bancario è stato violato, oppure quelli che lo esortano a pagare una bolletta non saldata, rappresentano bene l'idea della manipolazione psicologica: in tutt'e due i casi, la vittima viene spinta ad agire di getto, sfruttando la preoccupazione. Come può essere, rispettivamente, quella di perdere il proprio denaro in banca o di subire conseguenze per il mancato pagamento della fattura.

Smishing e le app di messaggistica

Nelle versioni più moderne, non è infrequente assistere a truffe informatiche attuate attraverso l'uso di WhatsApp e di altre popolari applicazioni di messaggistica istantanea, come è il caso di Signal e Telegram: pur non trattandosi tecnicamente di smishing, ci troviamo di fronte ad un fenomeno in qualche modo collegato, anche perché identici sono gli obiettivi dell'attaccante: trarre in inganno l'attaccato al fine di carpire le informazioni personali o i dati bancari. Potremmo addirittura definirlo in qualche modo come una sorta di "smishing 2.0", tenuto conto della diffusione della messaggistica istantanea, che soprattutto con l'avvento degli smartphone ha soppiantato quasi definitivamente i classici "messaggini" SMS.

Come difendersi dallo smishing

Per rendere la truffa più credibile, l'attaccante utilizza indebitamente il nome di un'organizzazione o di un'azienda conosciuta: banche, società di recupero crediti, compagnie assicurative, negozi di moda o di elettronica, ma si potrebbe continuare all'infinito. Il messaggio si presenta quindi come proveniente da una di queste entità e il motivo è anche piuttosto scontato: rafforza la credibilità della comunicazione ricevuta. Anche perché le persone tendono a fidarsi di un SMS spedito da un nome noto e credibile anziché da un contatto sconosciuto e mai sentito prima.

Pressione psicologica, raggiro. E poi? Le campagne smishing sono molto diverse, ma possono essere raggruppate in base agli scopi che generalmente tendono a raggiungere. Potrà quindi variare il mittente o l'oggetto del messaggio, non invece la finalità perseguita. Riportiamo perciò di seguito le principali tecniche utilizzate dai malintenzionati per adescare nuove vittime:

  • Cliccare su un link: in questo caso, il messaggio invita l'utente a premere su un link che dovrebbe indirizzare verso una pagina fasulla in cui digitare alcuni dati sensibili dell'utente. Tra gli esempi più recenti figura soprattutto la falsa schermata di Poste Italiane che ci impone di inserire le credenziali per l'accesso all'account BancoPosta. Ma ci sono anche casi associati ad Amazon, e-commerce, banche, compagnie assicurative e molto altro;
  • Rispondere al messaggio: l'SMS invita in questo caso l'utente a replicare alla comunicazione ricevuta, chiedendo l'inserimento di alcuni dati personali (ad esempio, il PIN e le credenziali per l'accesso bancario);
  • Scaricare un'app: il messaggio esorta a scaricare un'app esterna – falsamente associata all'organizzazione riportata nell'SMS – contenente, nella maggior parte dei casi, un malware;
  • Telefonare al numero indicato: il classico esempio è la chiamata ad un numero che si spaccia come il servizio clienti della società indicata nel messaggio. Anziché risolvere i problemi, il falso operatore chiederà all'utente di condividere le informazioni del suo account;
  • Scaricare un allegato: qui vale lo stesso discorso dell'app, visto che l'allegato al messaggio è un portatore di malware;
  • Inviare denaro: il truffatore finge in questo caso di essere una compagnia assicurativa o una società di recupero crediti e invita l'utente ad effettuare il bonifico alle coordinate bancarie indicate nello stesso SMS, millantando presunte fatture insolute;

Ci troviamo insomma di fronte a casi molto diversi tra loro, seppure accomunati da tre caratteristiche: pressione psicologica, raggiro e richiesta di condivisione di informazioni sensibili. Difendersi da queste truffe è sempre possibile: basta non farsi prendere dal panico e utilizzare soprattutto un po' di buon senso. E in caso di dubbi sull'autenticità del messaggio, una semplice chiamata al servizio clienti dell'organizzazione coinvolta (quella vera, stavolta) potrà chiarire ogni dubbio. Anche perché, come vanno riportando Poste Italiane e tanti altri istituti di credito, in nessun caso viene chiesto al cliente di inserire dati personali di accesso, né tramite SMS e né tantomeno via e-mail o telefono.

Commenta