Smishing: Guida per difendersi dalle truffe via SMS sui Servizi Postali
Francesca Columbu
In questi ultimi due anni, parallelamente al dilagare della pandemia, è aumentato il numero di frodi online e, in particolare, il numero di attacchi phishing via SMS (il cosiddetto Smishing). Un'indagine condotta dal provider di sicurezza aziendale Proofpoint mostra come nel 2021 i casi siano aumentati del 700% durante i primi sei mesi del 2021, rispetto alla seconda metà del 2020 (Fonte Skynews, 14/09/2021).
Uno dei settori più colpiti da questo fenomeno è quello dei servizi postali. L'aumento di acquisti online e di pacchi in consegna durante i vari lockdown ha fatto sì che anche i cyber criminali intensificassero le loro attività fraudolente, con l'invio di messaggi il cui obiettivo è quello di estorcere dati personali sensibili dell'utente (come numeri di carte di credito e conti correnti).
Ma come funzionano le truffe postali via SMS e ci sono dei modi per riconoscerle e difendersi? La risposta è sì e ne parleremo in questa Guida.
Come funzionano le truffe via SMS
Come anticipavamo sopra, i criminal hacker responsabili degli attacchi smishing (termine che deriva dall'unione delle parole SMS e "phishing", ovvero truffa) vogliono ottenere i dati personali delle vittime, con lo scopo di rubare loro dei soldi. Oltre ai conti bancari della singola persona, spesso mirano anche a quelli delle aziende che stanno dietro le vittime. Per l'estorsione dei dati personali utilizzano in genere questi metodi:
- installano sullo smartphone dell'utente un malware (o sotware malevolo) attraverso delle app apparentemente legittime, che la vittima ignara scarica sul proprio telefono
- invitano a cliccare a dei link inviati via messaggio, che portano a siti falsi in cui si chiede di inserire informazioni personali sensibili (utilizzabili poi per rubare l’ID dei singoli)
- richiedono direttamente i dati bancari per il completamento di pagamenti ingannevoli
Questi ultimi due casi sono molto frequenti per i servizi postali, infatti negli ultimi tempi molte persone hanno segnalato di ricevere SMS che fanno riferimento ad una finta consegna di pacchi da parte di un'azienda nota (come Poste Italiane), i cui testi recitano "il tuo pacco sta arrivando", "il tuo pacco è in attesa", "il tuo pacco è stato trattenuto presso..." etc. Gli stessi messaggi contengono dei link che portano verso siti apparentemente uguali a quelli del corriere in questione ma che in realtà sono pagine web create ad hoc per ingannare l'utente.
Spesso il destinatario non riconosce che si tratta di SMS-truffa perché il mittente che compare nell'anteprima del messaggio è realmente “Posteinfo” o “Postepay” e alcune volte viene anche visualizzato nella stessa lista dei messaggi inviati da Poste Italiane o PostePay.
Ma non tutto è perduto! Osservando gli SMS con un po' di attenzione, si possono infatti riconoscere i casi di smishing e, di conseguenza, si possono mettere in atto alcuni accorgimenti per aggirare le truffe.
Come riconoscere le truffe via SMS
Partiamo dalla premessa che la sola ricezione del messaggio non crea di per sè nessun danno, ma è la reazione a questo SMS che può generare dei problemi.
La prima cosa da tenere in considerazione è che in generale un'azienda che offre servizi postali, ma anche servizi bancari (prendiamo sempre il caso di Poste Italiane), se contatta un cliente via SMS lo fa solo per uno di questi tre scopi:
- Informarlo sui prodotti/servizi e aggiornarlo su novità
- Confermare la presa in carico di una richiesta o il fatto che un pacco è stato spedito
- Avvisarlo del fatto che è stato effettuato un pagamento, per accertarsi che questo sia stato autorizzato dall’utente stesso
In tutti e tre i casi non viene MAI richiesto l’inserimento di dati personali (es. nome, indirizzo, password), nè tantomeno il rilascio delle credenziali della carta di credito.
Di conseguenza, il fatto che in un messaggio il destinatario venga invitato ad effettuare un pagamento o confermare dei dati personali, è indice del fatto che si tratta di una truffa.
Attenzione anche alla presenza di un link a una pagina esterna: se nell'SMS vieni invitato "con urgenza" a cliccare su un link che ti sembra sospetto ma su cui ormai hai cliccato, sappi che prima di compiere qualsiasi altra azione puoi verificare l’attendibilità del sito. Come? In primis, assicurati che sia segnalata la dicitura “https” accanto al simbolo del lucchetto nella URL. Se questa c'è e dunque la pagina apparentemente sembra protetta, clicca sul lucchetto presente nella URL per verificare gli estremi del certificato digitale. Nel caso in cui questo sia stato rilasciato da poco (magari per una durata limitata ed è assegnato a soggetto diverso dalla Società/Ente di riferimento), sei davanti a un tentativo di frode.
Osserva anche come è scritto il messaggio. La presenza di errori grammaticali (ad esempio la "è" verbo senza accento) e di battitura ti deve mettere in allarme perché spesso questi SMS contengono errori di questo tipo.
Altro punto: il numero del mittente. Se ti trovi davanti a un numero che non sembra formattato correttamente o che ha caratteri insoliti, molto probabilmente è spam.
Sempre in relazione al mittente, segnaliamo che gli hacker che fingono di contattarvi a nome di Poste Italiane, alcune volte iniziano l'SMS con il nome dell'ipotetico mittente "Posteinfo" ma in realtà il numero è sconosciuto, come nell'immagine che segue:
Come vedi, in questo caso anche dal contenuto si può facilmente intuire che si tratta di una truffa perché nessuna banca ti contatta MAI via SMS per evitare il blocco della carta; in più il link "loposkji-online" non ha chiaramente nessuna connessione con Poste Italiane.
In generale, se ricevi un SMS da un'azienda X di cui non hai mai utilizzato i servizi o vieni invitato a controllare lo stato di consegna di un pacco ma non stai aspettando nessun pacco, non dar retta a quel messaggio.
Come difendersi dalle truffe via SMS
Abbiamo visto i segnali di allarme da non sottovalutare, vediamo ora come difendersi dalle truffe.
Partiamo dai link: ti ricordiamo che quando i messaggi ti sembrano sospetti, per i motivi che abbiamo elencato sopra, NON devi cliccare sui link al loro interno. Se per errore dovessi cliccarci e quindi venissi reindirizzato a una pagina in cui viene richiesto l’inserimento di codici personali (es. Password, Pin, credenziali di accesso all’Home Banking), NON segnalare questi dati e chiudi subito la pagina.
Altro caso: se dovessi ricevere un SMS da un mittente sconosciuto con la richiesta di installare un'App oppure scaricare un file sul telefono attraverso un link, non farlo. Se hai dei dubbi, puoi anche effettuare delle verifiche: ricerca innanzitutto il nome del prodotto, dello sviluppatore dell’applicazione, delle statistiche di download e recensioni, e poi osserva se ci sono errori grammaticali e di battitura nella descrizione.
Se si tratta di un brand noto/realmente esistente, puoi anche contattare l'azienda attraverso i suoi canali ufficiali e chiedere se l'SMS sia stato effettivamente inviato da loro.
Per tutelarti preventivamente da queste frodi, ti consigliamo anche di installare un Software di sicurezza per smartphone (es. antivirus), verificando quello più adatto tra quelli disponibili (e certificati) online.
Nel caso di Poste Italiane, l'azienda esorta chi ha ricevuto comunicazioni sospette a segnalare gli SMS all’indirizzo e-mail [email protected].
Infine, se ricevi un messaggio dalla provenienza incerta, ti ricordiamo che puoi segnalarlo alla Polizia Postale, seguendo le indicazioni sul sito.
