Cos’è lo smishing?

La parola “phishing” è ormai entrata nel nostro vocabolario ed è nota ai più. Almeno a coloro che usano molto Internet, navigano sul Web e fanno un uso massiccio della posta elettronica, che è proprio il mezzo più usato per fare phishing. Per chi invece ancora non lo sapesse, il phishing è uno delle tante truffe online in cui è possibile incappare: la parola significa, letteralmente, “andare a pesca” perché in effetti chi fa phishing getta un amo sperando che qualcuno abbocchi.

Nel caso del phishing via email, ad esempio, la procedura classica prevede l’invio massiccio di messaggi di posta elettronica in cui si invita l’utente a visitare una pagina Web attraverso la quale gli vengono rubati il maggior numero possibile di dati personali. Di solito si tratta di una pagina contraffatta, che riporta i loghi e la grafica di un social network o di una banca online, e il messaggio inviato all’utente lo invita a visitare la pagina perché “è necessario confermare i propri dati“. Le varianti di messaggio, comunque, sono migliaia.

Le tattiche e tecniche di truffe telematiche, però, sono in continua evoluzione. E, visto che gli utenti web sono diventati sempre più accorti, i cyber truffatori ora preferiscono optare per un altro mezzo di comunicazione: gli SMS. La tecnica utilizzata è, a grandi linee, la stessa, ma per alcuni versi, sembra essere più efficacie delle truffe via email. Scopriamo perché.

Come funziona lo smishing

Poiché ormai gli utenti abboccano sempre meno spesso alle email di phishing e poiché i filtri antispam delle caselle di posta elettronica sono sempre più efficaci nel bloccarle, è nato lo smishing. Consiste nell’inviare un SMS a migliaia di numeri telefonici, ancora una volta sperando che qualcuno abbocchi.

Il messaggio SMS ha toni simili alle email già descritte e ci invita a visitare una pagina per confermare (tradotto: regalare agli hacker) i nostri dati personali o persino quelli bancari. Uno dei casi più clamorosi di smishing visti in Italia, ad esempio, è quello ai danni degli utenti di Poste Italiane e Banco Posta. Il messaggio SMS è camuffato e sembra provenire realmente da Poste Italiane, ma in realtà è falso. Come è falso il sito sul quale veniamo spediti seguendo il link incluso nell’SMS.

Questa truffa è molto ben congeniata, perché una variante dell’SMS invece del link ci mostra un fantomatico numero dell’assistenza clienti di Poste Italiane da chiamare per confermare i nostri dati. In realtà dall’altra parte c’è un call center all’estero e un operatore (che non è affatto di Poste Italiane) che ci chiederà i dati del nostro conto corrente postale. Altre varianti di smishing, sia in Italia che all’estero, si basano tutte su questo schema o su sue sottili varianti.

Come difendersi dallo smishing

Se ci arriva un messaggio di smishing sul nostro numero di cellulare, vuol dire che lo avremo comunicato da qualche parte sul Web. La prima regola per difendersi dallo smishing, quindi, è prevenirlo evitando di compilare form in cui ci viene chiesto il numero di telefono senza un reale motivo. Se però l’SMS truffaldino lo riceviamo, ci sono modi per tutelarsi: innanzitutto dobbiamo evitare di fare ciò che ci viene richiesto, ad esempio non dobbiamo mai aprire un link inserito in un SMS se non siamo più che certi che il mittente sia reale. Chiari segni di inattendibilità del mittente sono gli errori di grammatica, l’uso di espressioni colloquiale come “Ciao amico” e simili, l’impossibilità di leggere il numero di telefono perché è mascherato.

Se proprio non riusciamo ad essere sicuri del mittente, almeno possiamo contattare chi afferma di essere: se il messaggio arriva da Poste Italiane, quindi, chiamiamo il servizio assistenza di Posta Italiane cercando il numero ufficiale sul sito ufficiale. Solo così potremo parlare con un operatore che è certamente di Poste Italiane e ci saprà dire se il messaggio che abbiamo ricevuto è legittimo o truffaldino.

I messaggi certificati di Google

In futuro lo smishing potrebbe essere mitigato parecchio, se non del tutto stroncato, da una recente novità di Google: gli SMS verificati. Si tratta di un sistema di registrazione delle aziende in un database di Google, con l’assegnazione di un codice di autenticità che accompagnerà poi ogni messaggio proveniente da quella azienda. In questo modo Google potrà garantire l’autenticità del mittente.

Questo sistema non è ancora stato messo del tutto a punto ed è in fase di test. In più usa il protocollo Rich Communication Services (RCS), che non è ancora lo standard adottato dagli operatori telefonici. Ci vorrà quindi del tempo prima di poter avere la certezza dell’autenticità del mittente degli SMS e, nel frattempo, dovremo tutti continuare a prestare la massima attenzione ai tentativi di smishing.

Aldo Russo

Pubblicato da Aldo Russo

Esperto/Consulente informatico