Il cybercrimine mirato ai cellulari si evolve come l’uso dei cellulari stessi.
Non di rado, si possono ricevere SMS che affermano di provenire dalla propria banca e che chiedono di comunicare informazioni personali o bancarie, come il numero di conto o della carta di credito. Ma come è possibile?
L’imitazione (o spoofing) è una tecnica attraverso cui i criminali sostituiscono il numero di telefono reale del mittente, usato nelle comunicazioni voce o via sms, con un numero falso, il più delle volte esattamente con un numero conosciuto e con il quale comunichiamo, ad esempio, con la nostra banca.
Come avviene un attacco via SMS
I truffatori vogliono sempre ottenere con l’inganno i dati personali delle vittime per poterli usare per rubare denaro. Spesso si fermano ai conti bancari o alle carte dei singoli, ma, a volte, sono in grado di arrivare anche alle società di cui le vittime fanno parte.
Una truffa via SMS si manifesta generalmente in tre fasi:
FASE 1: LA RACCOLTA DEI NOSTRI DATI
I cybercriminali hanno bisogno per prima cosa di riuscire ad entrare in contatto con noi tramite 2 elementi chiave:
- il nostro nome
- il numero di telefono
Questi dati vengono recuperati dai frodatori tramite i più svariati canali, molto spesso tramite i social.
FASE 2: L’INVIO DELL’SMS FALSO
Viene inviato un SMS, del tutto simile a quelli solitamente ricevuti dalla banca: stessa sintassi, stesso numero di telefono e invito a cliccare necessariamente un link per risolvere un problema urgente.
Il frodatore in questa fase non sa ancora che tu sei cliente di quella particolare Banca, ricaverà questa informazione dalla tua risposta.
Una volta che il link proposto dall’SMS viene cliccato, la navigazione porta ad un sito falso, in cui verranno richieste e raccolte le credenziali di accesso alla banca e, a volte, un numero di cellulare per un successivo contatto: si arriva così alla terza fase dell’attacco.
FASE 3: LA CHIAMATA DA UN FALSO OPERATORE
Un falso operatore della banca, ci contatta direttamente e ci chiederà di confermare e leggere i codici SMS in arrivo. In questo momento la truffa si è concretizzata: abbiamo dato al criminale accesso al nostro conto corrente online che verrà riconfigurato su un nuovo numero di cellulare appartenente al truffatore e svuotato tramite bonifici, ricariche o altro.
Se pensi di aver risposto a un SMS di smishing fornendo i tuoi dati bancari, contatta immediatamente il numero verde dell’assistenza della tua banca.
Come proteggersi
Come il phishing, ossia le frodi tramite email, lo smishing è un reato di frode: si basa sull’ingannare la vittima facendo cliccare un link per fornire informazioni e il modo più semplice per proteggersi da questi attacchi è non fare nulla.
Finché non si risponde o non si esegue il comando del messaggio, un SMS dannoso non può innescare la frode. Basta ignorarlo ed eliminarlo e resterà innocuo.
In generale, una banca non ti chiederà mai con un SMS di aggiornare le informazioni del conto o di confermare il codice della tua carta di pagamento.
Ecco alcuni suggerimenti utili per tenere sempre alta la guardia:
- avvisi urgenti di blocco del conto o delle carte, di pagamenti urgenti o di vincite immeritate sono campanelli d’allarme per un tentativo di frode;
- se un messaggio sembra provenire dalla propria banca (o da un negozio o azienda nota) e viene chiesto di cliccare un link, è senza dubbio una truffa;
- mai cliccare un link o un numero di telefono presenti in un messaggio di cui non si è sicuri;
- se si hanno dei dubbi sul messaggio ricevuto, contattare il vero mittente cercando il numero ufficiale e verificare il contenuto;
- prestare attenzione ai numeri sospetti che non sembrano numeri di telefono reali: potrebbero essere collegati a servizi che inviano SMS direttamente dalle caselle email, spesso usati dai truffatori per evitare di fornire il loro reale numero di telefono;
- non conservare mai i dati bancari o della carta di credito sullo smartphone;
- denunciare sempre tutti i tentativi di frode subiti.