Fai attenzione ai messaggi SMS e WhatsApp truffa

Tra i tantissimi strumenti che i truffatori possono usare per tentare di danneggiarci o rubarci del denaro ce n’è uno che non tramonta mai: il caro, vecchio SMS. Sembrerà strano, ma è così: nell’epoca dei social network, delle app di messaggistica istantanea e delle e-mail c’è ancora un sacco di traffico spam e phishing che viaggia attraverso “Short Message Service“.

E il motivo è molto semplice: ancora qualcuno ci casca. Ma non solo: per quanto sia antiquato il protocollo SMS permette a chi riceve il messaggio di compiere due azioni entrambe potenzialmente utili per un truffatore: rispondere al messaggio e fare click su un link.

Mittente SMS: attenzione al CLI Spoofing

Il numero identificativo del chiamante viene definito in inglese con l’acronimo CLI: caller ID. Tutti i moderni smartphone usano il caller ID per mostrare, una volta letto il numero di telefono della chiamata o dell’SMS in entrata, il relativo contatto della nostra rubrica telefonica o di un elenco telefonico pubblico, nel caso delle aziende.

La prima cosa che hanno imparato a fare i truffatori è proprio modificare il CLI, attraverso la pratica del “CLI Spoofing” che altro non è se non la manipolazione del caller ID. E’ possibile farlo, anche abbastanza facilmente, tramite numerosi servizi online. Se andiamo a controllare il numero di telefono che sta dietro l’ID del chiamante mostrato dal nostro smartphone, tra l’altro, non vedremo quello reale ma un numero simulato. Esistono app per smartphone per fare CLI Spoofing sia per Android che per iOS, anche se periodicamente Apple e Google procedono a fare pulizia di queste app togliendole dai propri store.

Ma l’importante, per proteggersi dai messaggi truffa, è capire questa cosa fondamentale: anche se il mittente risulta essere la nostra banca, un ente pubblico o una azienda nota ed affidabile, non è affatto sicuro che lo sia veramente.

Difendersi dai messaggi truffa: non toccare quel link

Una volta capito che chiunque potrebbe sembrare chiunque altro quando ci manda un SMS, allora è facile capire la prima regola per non cascare nelle truffe via SMS: non seguire i link inseriti negli SMS, potrebbero portare ad una pagina Web zeppa di virus o usata dai truffatori per carpire alcune informazioni personali degli utenti.

Lo schema classico è quello che prevede un SMS apparentemente inviato dalla nostra banca, nel quale ci avvertono che è necessario cambiare le credenziali di accesso al conto online per problemi tecnici. Segue un link, che porta ad una falsa pagina della banca (che riproduce fedelmente l’interfaccia del sito Web vero della banca) nella quale dovremo inserire le “vecchie” credenziali di accesso (che sono proprio quelle che vogliono i truffatori) e poi inserirne di nuove. Il risultato è facile da prevedere: abbiamo regalato a degli sconosciuti le chiavi del nostro (ex) conto corrente e possiamo dare tanti saluti ai nostri soldi.

Difendersi dai messaggi truffa: non rispondere in alcun modo

Un secondo metodo per truffare gli ignari utenti delle compagnie telefoniche tramite SMS è consiste nell’invitarli a rispondere al messaggio o a telefonare ad un numero indicato.

L’esempio classico è quello del messaggio pubblicitario che si conclude con “Se non vuoi più ricevere messaggi di questo tipo rispondi con STOP“. Molto spesso questi messaggi sono mandati a numeri random, solitamente comprati a decine di migliaia sul Dark Web. I truffatori non sanno quanti dei numeri che hanno comprato sono reali e ancora attivi e, per saperlo, ci mandano un messaggio come quello appena descritto.

Se rispondiamo, quindi, non facciamo altro che dirgli che possono selezionare il nostro numero come attivo e funzionante per ulteriori truffe. Pochi giorni dopo, probabilmente, ci arriverà un SMS con un link. Se invece rispondiamo al messaggio con una telefonata rischiamo ancor di più: ci potrebbero attivare un servizio a pagamento non desiderato.

Come bloccare un numero truffaldino

È possibile bloccare un singolo numero telefonico su tutti gli smartphone, sia Android che iOS. Su Android dobbiamo selezionare il contatto da bloccare, fare tap sul menu con i tre puntini in alto a destra e scegliere “Blocca numeri” per poi confermare che vogliamo bloccare quel numero e segnalarlo come numero spam. Su iOS, invece, nell’app Telefono, in Recenti, dobbiamo toccare la “i” accanto al numero da bloccare e poi scorrere la schermata fino in fondo dove troveremo “Blocca contatto“.

Questo metodo, però, ha una efficacia molto ridotta perché i truffatori grazie al CLI Spoofing cambiano numero in continuazione. E noi possiamo bloccare solo un numero alla volta. L’alternativa, sia su Android che su iOS, è quella di bloccare tutti i numeri che non sono tra i nostri contatti. Ma è una scelta limitante, perché impedisce a chiunque non sia nella nostra rubrica telefonica di chiamarci. Meglio usare app specifiche [la più famosa è TrueCaller (Android ~ iOS), ma ce ne sono decine] che si basano su un database costantemente aggiornato di numeri usati dai truffatori: se il numero che ci ha inviato l’SMS truffa è tra quelli, allora non ci arriverà alcun messaggio.

Truffe via messaggio: attenzione a WhatsApp

Infine, occorre precisare anche che tutto quello che è stato descritto fino ad ora per i messaggi SMS vale anche per WhatsApp: anche su questa piattaforma di messaggistica istantanea è possibile mettere a segno truffe del tutto analoghe a quelle fatte via SMS. Per questo tutte le regole di cautela già descritte per gli SMS andrebbero prese in considerazione anche per i messaggi che riceviamo su WhatsApp e su ogni altra piattaforma simile.

Buona lettura!

Aldo Russo

Pubblicato da Aldo Russo

Esperto/Consulente informatico