smishing

Sai cos’è lo smishing, quali rischi comporta e come evitarlo? I criminali informatici scommettono su questa tecnica quando si tratta di truffare gli utenti tramite messaggi di testo (SMS). L’obiettivo è lo stesso di altri tipi di truffe, come il phishing: raccogliere dati riservati e ottenere denaro illegalmente.

Lo screenshot che vedete nell’immagine è (solo) l’ultimo ricevuto da chi vi scrive. Dopo una prima reazione di stupore e ricalcolo di tutti gli ordini effettuati, ho ricordato poi che avevo ricevuto ogni pacco in circolazione. Dopo un controllo DIRETTAMENTE SUL SITO D’ACQUISTO, ho CANCELLATO il messaggio. Ed ho scritto per spiegarvi consa NON fare.

 

Cos’è lo smishing e alcuni consigli per evitare di esserne vittima

Smishing è una parola composta da “SMS” (messaggi di testo) e “phishing” (truffa che consiste nel fingere di essere un sito Web ufficiale o un mittente di posta elettronica autentico in modo che la vittima possa fidarsi e condividere dati o fare clic in un dannoso collegamento o file).

Lo smishing è una truffa che prevede l’invio di messaggi SMS al cellulare per convincere l’utente a inserire le proprie informazioni personali. I criminali informatici di solito cercano di convincere l’utente a rivelare le informazioni bancarie – un nome di accesso, una password o i dati della carta di credito – al fine di falsificare la propria identità e accedere ai propri soldi.

I criminali informatici possono anche chiedere alla vittima di rispondere a determinate domande tramite SMS o di chiamare un determinato numero di telefono (di solito a tariffa maggiorata) o intraprendere qualsiasi altra azione che comporti un costo aggiuntivo. In breve, l’obiettivo finale dello smishing è ottenere le nostre password utente o informazioni personali, nonché vendere prodotti o servizi falsi/inesistenti, infettare il nostro dispositivo mobile, ecc.

 

Smishing modus operandi

Ciò può anche essere dannoso non solo per la singola vittima, ma anche per l’organizzazione o il brand utilizzato. Sempre più persone utilizzano i propri dispositivi mobili per lavorare. Per questo motivo, lo smishing sta diventando sia una minaccia per le aziende che per i consumatori. Quindi non sorprende che lo smishing sia diventato la forma prediletta di messaggi di testo dannosi.

Esistono due metodi diversi per ottenere informazioni riservate di un utente tramite smishing:

1. Scaricare un malware: i criminali informatici possono indurre l’utente tramite SMS a scaricare il malware, che viene installato automaticamente sul dispositivo mobile. Questo malware può avere l’aspetto di un’applicazione legittima e, quindi, induce la vittima a inserire le informazioni riservate e a inviarle ai criminali informatici.

2. Web fraudolento: il collegamento incluso nel messaggio smishing può reindirizzare la vittima a un sito web fraudolento, con un’apparenza legittima, in cui è richiesta l’introduzione di informazioni personali. Una volta forniti, i criminali informatici possono utilizzare quei dati per rubare il nome utente e la password.

 

Obiettivi, rischi ed esempi reali

Ecco gli obiettivi e gli esempi di smishing più utilizzati quando si tratta di ingannare gli utenti:

1 – ISCRIVERE L’UTENTE A UN SERVIZIO SMS PREMIUM 

“COMPLIMENTI, sei stato selezionato da [X] milioni di utenti e hai vinto [PREMIO]. Per ottenere il tuo premio devi inviare la parola AUTO al numero [XXX XXX XXX].”

Per continuare con un: “Abbiamo solo bisogno dei tuoi dati personali, invia un SMS dal tuo cellulare con la parola OFFERTA al numero [XXX XXX XXX]. Entro [X] giorni invieremo il [barbecue] all’indirizzo che ci hai fornito in precedenza”

2 – CHIEDERE ALL’UTENTE DI CHIAMARE UN NUMERO A TARIFFA SPECIALE

Hai un avviso molto urgente. Chiama il numero [XXX XXX XXX]. [Nome] ti cerca disperatamente, dice che ha parlato con te in questi giorni e ti chiede il tuo numero di telefono perché l’ha perso. Dimmi se posso darlo a lui. Risposta.

3 – FURTO DI COORDINATE BANCARIE

Inviaci la seguente documentazione: copia della tua carta di coordinate e della tua carta di credito [banca] e scrivi anche il pin sulla posta: [posta].

Gentile cliente, la tua carta di credito è stata bloccata per la tua sicurezza. Per sbloccare la tua carta devi visitare urgentemente [web]  e completare i passaggi che ti chiedono di fare. Hai 24 ore.

La buona notizia è che è facile prevenire ed evitare di diventare vittima di smishing e attacchi simili. La truffa può provocare danni solo se si abbocca.

Per questo motivo, è bene considerare che:

  • Nessun istituto finanziario o società ci invierà un SMS chiedendoci di aggiornare le informazioni del tuo account o di confermare il codice della nostra carta bancomat. Se riceviamo un messaggio come questo, chiamiamo la nostra banca o l’azienda, componendo il telefono direttamente sul tuo terminale.
  • Non fare mai clic su un collegamento o un numero di telefono in un messaggio di cui non si è sicuri o di cui non si conosce la provenienza.
  • Non salvare le informazioni bancarie sul dispositivo mobile.
  • In caso di dubbio, non rispondere all’SMS.
  • Diffidare degli SMS che parlano di lavori (che non esistono), premi (senza aver giocato) o pacchetti ricevuti (senza averli richiesti).
  • Monitorare regolarmente i consumi e, in caso di notevoli aumenti negli abbonamenti telefonici, contattare la compagnia telefonica.