Smishing vs phishing: come difendersi

I truffatori sfruttano gli SMS per ottenere informazioni sulle carte di credito e le password per l’home banking.

Lo smishing è un fenomeno sempre più di moda e i media negli Stati Uniti, in Brasile e nel nostro paese hanno diffuso storie allarmanti su nuove truffe. La polizia tedesca ha persino emesso un avvertimento ufficiale in merito a una di queste campagne.

Un fenomeno in forte crescita, come evidenziato dalla sua popolarità tra le ricerche. Quindi, cos’è lo smishing?

Aumento della popolarità della ricerca della parola "smishing" su Google negli ultimi anni

Aumento della popolarità della ricerca della parola “smishing” su Google negli ultimi anni.

Cos’è lo smishing e come funziona?

Lo smishing è il phishing diffuso attraverso messaggi di testo (SMS) e non tramite e-mail. Il termine smishing  è il risultato delle parole SMS + phishing. Alcune classificazioni considerano il phishing attraverso le app di messaggistica come parte dello smishing, ma per quanto ci riguarda fa parte di una categoria separata e non ne parleremo ora.

L’obiettivo, come per qualsiasi altro tentativo di phishing, è quello di indurre i destinatari a divulgare informazioni sensibili, tipicamente la password di home banking o i dati della carta di credito. Per farlo, i truffatori inviano messaggi di testo, che di solito riguardano un problema inventato (un inconveniente con una consegna, una bolletta non pagata o un conto bloccato, per esempio) che il destinatario deve risolvere cliccando su un link. Dopodiché, le cose possono andare in due modi:

  • Nel primo scenario la vittima viene infettata da un malware che si spaccia per un’applicazione legittima ma il cui scopo effettivo è quello di ottenere informazioni importanti;
  • Nel secondo scenario la vittima viene reindirizzata su una pagina web che si spaccia per un sito legittimo ma il cui scopo effettivo è quello di ottenere informazioni importanti.

La scelta dello scenario dipende più che altro dal tipologia con cui si sente più a suo agio il truffatore, se con un malware o un sito falso. Il risultato per la vittima è lo stesso in entrambi i casi. Truffe simili hanno portato al furto di migliaia di dollari, euro e sterline. Perché il phishing tramite SMS è diventato così popolare di recente e cosa lo rende più pericoloso del phishing tradizionale?

Cosa rende lo smishing più pericoloso del normale phishing

La maggior parte di noi è più o meno abituato al phishing via e-mail e  in generale gli utenti sanno come riconoscerlo ed evitarlo. I messaggi di testo sono un canale più atipico per le truffe, quindi le persone sono meno propense a pensare che un breve messaggio possa essere una trappola.

Oltre al fatto che ci  si fida di più dei messaggi di testo, gli SMS tendono ad essere meno sicuri delle e-mail. Al giorno d’oggi, ogni servizio di posta elettronica che si rispetti dispone di un filtro antispam integrato. I filtri non sono perfetti ma i truffatori devono continuare a inventare nuovi stratagemmi per superarli. Purtroppo, quando si tratta di flessibilità e precisione, i filtri antispam degli operatori di telefonia mobile lasciano un po’ a desiderare.

In genere, leggiamo i messaggi di testo mentre siamo in movimento o impegnati in altre attività. Questo dettaglio, combinato con una minore aspettativa di pericolo nei messaggi di testo, porta da parte nostra ad analizzare con minore attenzione i messaggi di testo, facendo sì che attacchi di questo tipo possano avere maggiore successo. In altre parole, quando riceviamo un messaggio, è probabile che ignoriamo la nostra checklist mentale dei segnali di pericolo, per cliccare semplicemente su quanto ci viene richiesto.

Infine, negli SMS ci sono meno segnali evidenti che ci aiutano a riconoscere una truffa. Quando riceviamo un’e-mail, possiamo guardare l’indirizzo del mittente, valutare il design e il layout e considerare quanto sia plausibile il messaggio nel suo complesso; in breve, possiamo andare alla ricerca de i campanelli d’allarme standard.

I messaggi legittimi si assomigliano molto tra loro, sono messaggi brevi che spesso impiegano un linguaggio non standard e non c’è un layout da analizzare; i truffatori con le abilità tecniche necessarie possono camuffare le informazioni del mittente in modo realistico, sostituendo il vero numero del mittente con uno falso.

Come proteggervi dallo smishing

Come con il phishing tradizionale, avete a disposizione delle forti armi contro lo smishing.

  • Non cliccate sui link e non condividete alcuna informazione in una catena di messaggi di testo. Come regola generale, meno attività ci sono, meglio è;
  • Usate l’autenticazione a due fattori ogni volta che ne avete la possibilità. In questo modo, anche se riescono  rubarvi una password, i criminali informatici non potranno entrare nel vostro conto;
  • Contattate immediatamente la vostra banca se sospettate che dei cybercriminali abbiano avuto accesso al vostro conto. La banca può bloccare la vostra carta, cambiare le vostre password e consigliarvi altre azioni da intraprendere.

Chiudiamo con alcune domande frequenti per chiarire qualsiasi altro dubbio.

Bisogna rispondere ai messaggi fraudolenti per farsi rimuovere dalla loro mailing list?

Assolutamente no. La risposta confermerà che il vostro numero di telefono è attivo. Annullare l’iscrizione può essere difficile anche con aziende legittime; non aspettatevi un accordo equo da persone che infrangono la legge.

E se non è smishing ma un messaggio importante inviatomi dalla banca?

Se avete dei dubbi, contattate direttamente la vostra banca. È improbabile che abbiano inviato quel messaggio, ma se volete mettervi in contatto con l’ente bancario, assicuratevi di prendere il numero di telefono da una fonte ufficiale, come il suo sito web. Qualunque cosa facciate, non affidatevi a nessun dato di contatto presente nel messaggio sospetto.

C’è un modo per filtrare automaticamente il phishing via SMS?

Certo che c’è! Molte soluzioni di sicurezza utilizzano da tempo filtri integrati per identificare link sospetti nei messaggi di testo e nelle app di messaggistica. In questo modo, non perderete il vostro denaro solo perché avete abbassato la guardia per un momento. Per esempio, potete servirvi di questi filtri su Kaspersky Internet Security for Android.

Consigli