Smishing: cos'è e come tutelarsi dalle truffe SMS

Un po' come avviene per le newsletter promozionali, anche gli SMS sono sempre più utilizzati dalle aziende per comunicare con i propri clienti e aggiornarli su novità e offerte speciali.

Si tratta di una pratica comune e senza dubbio comoda, sia per l'attività che per l'utente interessato a ricevere questo tipo di comunicazioni. A volte, però, tra le diverse tipologie di truffe attuate dagli hacker, anche i sistemi di messaggistica possono essere usati per rubare dati personali a fini illeciti (come, ad esempio, sottrarre denaro da conti e carte di credito).

Con il termine "smishing" si fa riferimento proprio alle truffe che sfruttano SMS e messaggi di testo. Vediamo, nello specifico, cosa significa e come difendersi.

Smishing: cos’è e come funziona

Lo smishing è una tipologia di truffa che utilizza SMS e sistemi di messaggistica in generale, compresi quelli dei social media, per appropriarsi di informazioni personali, numeri di carte di credito o altri dati riservati.

Il nome deriva dalla combinazione tra "SMS" (o "Short Message Service") e "phishing", ovvero la pratica - utilizzata soprattutto con le e-mail - di inviare messaggi "esca" per estorcere quanto sopra menzionato.

I messaggi di smishing possono richiedere all’utente diverse azioni, come ad esempio:

• scaricare un allegato, che può contenere malware o programmi in grado di accedere ai dati dello smartphone;
• cliccare su un link, che rimanda a un form ove inserire dati personali;
• rispondere al messaggio stesso, comunicando particolari informazioni personali;
• chiamare un numero di telefono, dove poi un finto operatore o un sistema automatizzato chiederanno di fornire dati personali di vario tipo.

Solitamente questi messaggi puntano molto su fattori emotivi, che possono quindi spingere la persona ad agire d'impulso. Alcune "leve" possono essere, ad esempio, la paura (di false anomalie da risolvere su account social, conti correnti, ecc), l'avidità (come ricariche telefoniche a costi incredibilmente vantaggiosi, offerte straordinarie, ecc) o l'urgenza (pagamenti di beni, servizi o bollette da saldare subito, fantomatici pacchi bloccati alla dogana, ecc).

Sono proprio questi toni intimidatori e ultimativi che possono spingere le persone ad abbassare il proprio livello di prudenza e fornire dati personali che, a mente fredda, non avrebbero mai dato. Messaggi di tal genere possono rappresentare già un primo campanello d'allarme. Vediamo alcuni altri consigli per tutelarsi e difendersi dallo smishing.

Smishing: come difendersi dalle truffe via SMS e messaggi

Se da un lato tutti sanno che non vanno mai comunicati a sconosciuti dati e informazioni personali (come password, codici di accesso, PIN, dati bancari, eccetera), dall'altro è vero che ci sono delle truffe, come appunto lo smishing, che rischiano di far cadere in errore le persone. Dunque, come difendersi?

Innanzitutto, è bene ricordare che banche e istituzioni non chiedono mai di fornire dati personali tramite SMS o messaggistica istantanea, soprattutto se si tratta di informazioni come quelle elencate prima. Se si ha il dubbio, è consigliabile piuttosto contattare direttamente tali realtà - attraverso i canali di comunicazione conosciuti e affidabili - per chiedere se siano state loro o meno a inviare il messaggio.

In generale, poi, è importante non conservare le credenziali di dati bancari e carte di credito sullo smartphone, per evitare che intrusioni informatiche possano sottrarre tali informazioni. Inoltre, per proteggere conti e carte, è utile controllare spesso le movimentazioni e attivare sistemi di alert che avvisino l'utente quando vengono effettuate determinate operazioni.

Altri consigli per difendersi dallo smishing, forniti anche dal Garante per la privacy, sono:

• in caso di messaggi da sconosciuti, non cliccare sui link contenuti e non aprire eventuali allegati. Lo stesso vale per messaggi che provengono da numerazioni anomale o particolari (es. quelli con poche cifre) o da utenze con numero nascosto;
• in caso di messaggi che invitano a richiamare il numero di un'azienda o istituzione, verificare prima che tale numero corrisponda a quello ufficiale (ad esempio, verificandolo sul sito web istituzionale);
• in caso di "spoofing" (truffatore che ha preso il controllo del dispositivo di un conoscente e finge di scrivere per conto di esso), verificare se il testo presenta anomalie, errori linguistici, grammaticali, ecc, e considerare se davvero egli sia solito avanzare certe richieste (come chiedere soldi via SMS) o se non sia il caso di contattarlo direttamente per averne conferma.

Se si ha il dubbio di essere stati vittima di smishing riguardo dati bancari o della carta di credito, è importante chiamare subito la banca o il gestore della carta attraverso i canali ufficiali per segnalare l'accaduto e, in caso vi siano state sottrazioni di denaro, richiedere il blocco delle transazioni. In tale circostanza si può anche segnalare la truffa alle autorità di polizia.

Smishing, vishing e phishing: cosa cambia

Se lo smishing può essere definito come il phishing via SMS, il vishing rappresenta invece il phishing vocale, ovvero la truffa attuata per telefono da finti operatori.

In generale, il phishing identifica quindi la tecnica illecita utilizzata per appropriarsi di informazioni riservate che riguardano una persona o un'azienda. Gli hacker possono attuarla anche sfruttando e-mail e newsletter, oppure imitazioni realistiche di pagine web di imprese ed enti realmente esistenti e ritenute affidabili.

Oltre a quanto visto nel precedente paragrafo, dei consigli per difendersi dagli attacchi phishing possono essere:

• controllare il mittente dell'e-mail, in quanto potrebbe avere un nome strano o eccentrico;
• fare attenzione all'indirizzo di posta elettronica, perché potrebbe trattarsi di un'imitazione di un brand reale;
• verificare le impostazioni dei filtri della propria posta elettronica, così che la maggior parte dei messaggi di phishing vengano riconosciuti in automatico come spam;
• non memorizzare dati personali e codici di accesso nei browser usati per la navigazione online;
• impostare password complesse, cambiandole spesso e facendo in modo che siano diverse per ogni servizio utilizzato;
• installare e aggiornare programmi antivirus che proteggano anche dal phishing (su pc e smartphone).

Vuoi organizzare un piano di gestione della sicurezza dei dati efficace nella tua azienda, tutelando le informazioni personali di dipendenti, fornitori e clienti? Contattaci senza impegno per avere il supporto di un nostro esperto e capire come rispettare quanto previsto dal GDPR.

 

Scritto da: Elena Bonomi Consulente laureata in Scienze dei servizi giuridici e specializzata in sicurezza sul lavoro, appassionata di sport e chitarra.