Il web è ormai diventato un campo minato. Ovunque tu vada c’è sempre il rischio di cadere vittima di una pericolosa truffa. Esiste una tecnica, in particolare, che risulta essere molto pericolosa e particolarmente infingarda, fingendosi ciò che non è. In gergo tecnico viene chiamata smishing. Questa parola unisce due termini: SM, ovvero Short Message, e Phishing, un attacco che sfrutta una serie di metodi volti ad adescare gli utenti per convincerli a intraprendere azioni dannose. Siccome queste truffe si stanno diffondendo sempre di più, mietendo molte vittime, è indispensabile capire di cosa si tratta e sapere come proteggersi.
Smishing: di cosa si tratta
Una modalità di attacco realizzata da cybercriminali esperti che utilizza come mezzo di diffusione gli SMS viene definita smishing. In pratica, si concretizza quando un utente riceve un SMS che sembra essere stato inviato da enti o società importanti e conosciute. Ad esempio la propria banca, oppure un ente pubblico come l’INPS o l’Agenzia delle Entrate. Si possono fingere anche un corriere conosciuto o un marchio della grande distribuzione italiana.
Al suo interno il testo spinge la potenziale vittima a cliccare su un link che rimanda sempre a una pagina truffaldina. Ecco come viene descritto un attacco smishing da Qualys, azienda leader nel settore della sicurezza informatica:
I siti a cui questi link reindirizzano sono spesso cloni degli originali realizzati in modo estremamente accurato, persino nella capacità di effettuare autenticazione forte a più fattori. L’attaccante infatti conosce il numero del vostro cellulare perché è l’informazione che gli ha permesso di inviarvi il primo messaggio di smishing. Quindi, immesse le vostre credenziali vi farà credere che il processo di autenticazione richieda un ulteriore passaggio di immissione codice che riceverete proprio sul cellulare. Nel frattempo avrete fornito diligentemente ai criminali nome utente e password validi per Amazon, Paypal, Poste e altri servizi.
Consigli utili per proteggersi da questa truffa
Visto che questi messaggi hanno l’obiettivo di spingere all’azione immediata il destinatario è necessario non lasciarsi convincere dal testo in essi contenuti. Qualys sostiene che, per salvarsi da un attacco smishing, è necessario “elevare la consapevolezza del rischio e l’allerta di ognuno di noi“.
Noi aggiungiamo di non cliccare mai su link di dubbia provenienza, soprattutto se contenuti nel testo di un SMS. Il dubbio dovrebbe nascere subito alla vista di siti internet strutturati per consumare pochi caratteri come “bit.ly” o “cutt.ly” seguiti da una breve sequenza di lettere e numeri. In questi casi il principio vincente si traduce in una sola frase: nel dubbio non cliccare, ma elimina.