Cos’è lo smishing e come difendersi?
Si tratta di un messaggio che spesso afferma di provenire dalla propria banca e che chiede informazioni finanziarie o personali come il numero di conto o di carta di credito. Fornire queste informazioni è tanto corretto quanto consegnare le chiavi di casa propria ai ladri.
Come la maggior parte dei cybercriminali, chi fa smishing vuole ottenere i dati personali delle vittime per poterli usare per rubare denaro. Spesso si fermano ai conti bancari dei singoli ma a volte posso arrivare a rubare i soldi persino delle società di cui le vittime fanno parte.
Le più diffuse tecniche di smishing
Un attacco di smishing si presenta in genere come un messaggio da parte di una società o di un ente di cui ti fidi, come una banca, un ente pubblico o un’agenzia fiscale, la polizia o una compagnia assicurativa. I truffatori fingono di appartenere a queste organizzazioni perché sanno che, di norma, la gente tende a fidarsene.
Ecco tre tipiche tattiche di smishing da cui guardarsi:
1. Lo smishing bancario — Questa truffa cerca di spingerti all’azione dicendoti che il tuo conto corrente è stato violato anche se, in verità, il tentativo di violazione è rappresentato dal messaggio stesso. Di solito la truffa inizia con un SMS che sembra provenire dalla tua banca. Il messaggio cerca di metterti in allarme dicendoti, ad esempio, che si è verificata una violazione della sicurezza, che è stato effettuato un bonifico sostanzioso o che alla tua rubrica dei beneficiari è stato aggiunto un nuovo nominativo. Poi ti si esorta a cliccare su un link, chiamare un numero telefonico o rispondere al messaggio fornendo il tuo PIN o le tue credenziali d’accesso. Non seguire mai, per nessun motivo, istruzioni questo tipo. Piuttosto, ignora il messaggio e contatta la tua banca per verificare l’integrità del tuo conto.
2. Lo smishing con malware — Pur non essendo frequente come lo smishing bancario, lo smishing che fa uso di malware può essere altrettanto pericoloso. In questo caso, ricevi un SMS che ti invita a scaricare qualcosa sul tuo telefono, ad esempio un’app. Potrebbe sembrare che questa app provenga da una fonte fidata, ma in verità sarà utilizzata per impossessarsi dei dati sensibili conservati nel tuo telefono, come i dati delle carte di credito memorizzati in altre app. Queste truffe sono all’ordine del giorno via email, ma ora sono state adattate per colpire anche tramite telefono. Non scaricare mai niente, a meno che tu non abbia la certezza che il mittente sia una fonte fidata.
3. Lo smishing per ottenere soldi — In questo caso i truffatori cercano di convincerti a inviare denaro a qualcuno. Il messaggio si presenta come una richiesta di aiuto da parte di una persona che conosci: un amico, collega o parente. Oppure potrebbe sembrare che il messaggio provenga da una fonte ufficiale, come una società di recupero crediti, una compagnia assicurativa, la Chiesa o la polizia. In questa categoria di truffe l’ingegneria sociale riveste un ruolo davvero importante. I criminali cercano infatti di farti cadere nel panico o sentire in colpa per convincerti a inviare denaro rapidamente, senza darti il tempo di capire che si tratta di un tentativo di frode. Quando poi ti rendi conto di come stanno davvero le cose, il truffatore potrebbe essere già riuscito ad accedere al tuo conto. Diffida dei messaggi che mirano a scatenare il panico, anzi, considerali dei veri e propri campanelli d’allarme.
Come Proteggersi
Individuare un tentativo di smishing
Lo smishing va preso sul serio, senza però farsi cogliere dal panico. Esistono diversi modi di difendersi e ridurre al minimo i rischi. Il primo segnale utile per individuare un attacco di smishing è un SMS che proviene da un numero sconosciuto. In genere, il messaggio ti chiederà di:
- Inviare denaro a qualcuno
- Cliccare su un link
- Scaricare un’app o un software
- Rispondere fornendo i tuoi dati personali, come PIN, password o indirizzo email
- Chiamare un altro numero sconosciuto
Poiché lo smishing utilizza la tecniche di ingegneria sociale, se il messaggio ricevuto ti provoca paure o ansie, stai all’erta. Se ricevi un messaggio che ti propone un’offerta troppo vantaggiosa per essere vera, ricorda che non è tutto oro quel che luccica. Se, ad esempio, il messaggio ti annuncia che hai vinto un premio o un concorso a cui non ricordi di aver partecipato, non fornire MAI alcuna informazione al mittente.
Come difenderti dallo smishing
Ogni giorno riceviamo talmente tanti messaggi che evitare lo smishing può sembrare complicato, ma esistono diversi modi per farlo. Tieni a mente i seguenti comportamenti per evitare di cadere vittima degli SMS truffa:
- Non rispondere e non reagire a un messaggio proveniente da un numero che non riconosci. Se ti sembra sospetto, cancellalo subito. Non rispondere nemmeno digitando ‘STOP’ o altre frasi.
- Se un SMS riporta un link o un numero telefonico, non cliccarci sopra per nessun motivo. Piuttosto, effettua una ricerca separata inserendo il numero o il link in un motore di ricerca, per capire se fa riferimento a un’attività legittima.
- Non condividere mai il tuo PIN, le tue password o il tuo indirizzo email per SMS. La tua banca non ti chiederebbe mai di fornire i tuoi dati in questo modo, né lo farebbe qualsiasi altra società o istituzione seria.
- Proteggi il tuo numero di telefono online. Non condividere il tuo numero sui social media o su siti web pubblici, così eviterai che finisca in cattive mani.
Ricorda che non ti chiederemo mai e per nessun motivo i tuoi dati personali e/o finanziari o le tue credenziali di accesso ai servizi online/mobile banking.
