« Torna indietro

Truffa del pacco bloccato: come difendersi dagli sms che vogliono rubarci i dati

Pubblicato il 10 Novembre 2021

Centinaia di segnalazioni arrivano alla polizia postale: occhio a questi pacchi truffa

“Attenzione alla #truffa del pacco “bloccato”. È un tentativo di #smishing”.  Già qualche giorno fa la Polizia di Stato, con un post sui social, aveva avvertito del pericolo di essere truffati a causa di una nuova tecnica utilizzata online da criminali senza scrupoli.

“Con un link all’interno di un Sms – spiega la Polizia di Stato – o di una email i truffatori cercano di rubare dati personali e bancari con la richiesta di una modica cifra di denaro e l’inserimento dei propri dati per “sbloccare” un pacco in spedizione. Ricordiamo sempre di non cliccare mai sui link che arrivano via mail o via sms senza aver prima accertato che siano veri attraverso i siti web ufficiali dei marchi in questione. In caso di sospetti segnalate al portale della nostra #Poliziapostale”.

Cos’è lo smishing e come difendersi?

Si tratta di un messaggio, via sms o mail, che spesso afferma di provenire dalla propria banca e che chiede informazioni finanziarie o personali come il numero di conto o di carta di credito. Fornire queste informazioni è tanto corretto quanto consegnare le chiavi di casa propria ai ladri.

La parola smishing deriva dall’unione di “SMS”, ovvero i messaggi di testo che si inviano tramite cellulare, e “phishing”, cioè truffa. Quando i cybercriminali fanno phishing, inviano e-mail fraudolente che cercano di ingannare il destinatario inducendolo a far aprire un allegato pieno di malware o ad aprire un link dannoso. Lo steso avviene per lo smishing, che semplicemente usa gli SMS al posto delle e-mail.

truffa smishing
Un classico esempio di sms truffa

Quale esca usa chi fa smishing

Mandare e ricevere SMS costituisce l’uso più comune che si fa degli smartphone. Experian ha riscontrato che gli utenti di cellulari dai 18 ai 24 anni inviano più di 2.022 SMS al mese, che in media sono 67 al giorno, e ne ricevono 1.831.

Un paio di altri fattori rappresentano una minaccia insidiosa alla sicurezza. La maggior parte delle persone sa qualcosa sui rischi di frode che si possono nascondere nelle e-mail. Per esempio, molto probabilmente si sarà imparato a essere sospettosi delle mail del tipo “Ciao! Dai un’occhiata a questo link fantastico” che in realtà non contengono un reale messaggio personale dal presunto mittente.

Quando le persone usano il cellulare, però, sono meno diffidenti. Molti pensano che i propri cellulari siano più sicuri dei computer, però la sicurezza degli smartphone ha alcune limitazioni e non può proteggere direttamente dai tentativi di smishing. Come sostiene WillisWire, il cybercrimine mirato ai cellulari si sta evolvendo a velocità impressionanti, proprio come l’uso dei cellulari stessi. Tuttavia, mentre i dispositivi Android restano il bersaglio principale dei malware, semplicemente perché ce ne sono moltissimi in circolazione e la piattaforma lascia molta flessibilità agli utenti (ma anche ai truffatori), lo smishing, proprio come gli SMS stessi, non ha limiti di piattaforme.

Ciò espone gli utenti di iPhone e iPad a particolari rischi poiché spesso si sentono immuni agli attacchi. Sebbene la tecnologia mobile iOS della Apple abbia una buona reputazione sulla sicurezza, non esiste un sistema operativo mobile che possa proteggere da solo dagli attacchi come il phishing. Un altro fattore di rischio è che spesso si usa il telefono in movimento, mentre si è distratti o di fretta. Questo implica che si abbassi la guardia e che si risponda senza pensarci quando si riceve un messaggio in cui si chiede di fornire dati bancari o di riscattare un buono.

Cosa vuole chi fa smishing

In breve, come la maggior parte dei cybercriminali, chi fa smishing vuole ottenere i dati personali delle vittime per poterli usare per rubare denaro. Spesso si fermano ai conti bancari dei singoli ma a volte posso arrivare a rubare i soldi persino delle società di cui le vittime fanno parte. I cybercriminali adottano due metodi per rubare questi dati. Da una parte possono ingannare le vittime inducendole a scaricare dei malware che si installano automaticamente sul telefono.

Questi malware potrebbero mascherarsi da app legittime, inducendo le persone a digitare informazioni confidenziali che vengono inviate ai cybercriminali. D’altra parte, i link contenuti nei messaggi di smishing possono aprire siti truffa in cui viene chiesto di inserire informazioni personali sensibili che i cybercriminali possono usare per rubare l’ID delle vittime.

Con l’aumentare delle persone che usano il proprio smartphone personale per lavorare (una tendenza chiamata BYOD – “bring your own device”, porta il tuo dispositivo), lo smishing sta diventando una minaccia tanto per le agenzie quanto per i clienti. Perciò non dovrebbe sorprendere se, secondo Cloudmark, lo smishing è diventato la forma principale di messaggi di testo dannosi.

Proteggersi dagli attacchi

La buona notizia è che è facile proteggersi dalle potenziali ramificazioni di questi attacchi. In realtà ci si può tenere al sicuro non facendo proprio nulla. Gli attacchi possono creare danni solo se si abbocca all’esca. Ci sono alcune cose da tenere a mente per proteggersi da questi attacchi.

È necessario considerare gli avvisi urgenti sulla sicurezza e i messaggi urgenti di riscatto di coupon, offerte e affari come campanelli d’allarme per un tentativo di hacking.
Nessun istituto finanziario o commerciante invierà un SMS in cui chiede di aggiornare le informazioni del conto o di confermare il codice del bancomat.

Se si riceve un messaggio che sembra provenire dalla propria banca o da un commerciante con cui si fanno affari e viene chiesto di cliccare qualcosa nel messaggio, è senza dubbio una truffa. Se si hanno dubbi è meglio chiamare direttamente la propria banca o il commerciante in questione.

Non bisogna mai cliccare un link o un numero di telefono presenti in un messaggio di cui non si è sicuri.
Prestare attenzione ai numeri sospetti che non sembrano numeri di telefono reali, come ad esempio “5000”. Come sostiene Network World , questi numeri sono collegati ai servizi che inviano SMS direttamente dalle caselle di e-mail, che spesso sono usati dai truffatori per evitare di fornire il loro reale numero di telefono.
Non conservare i propri dati bancari o della carta di credito sullo smartphone. Se non vi sono queste informazioni, i truffatori non le possono rubare neppure se immettono un malware nello smartphone.

Evitare di abboccare alla truffa: basta semplicemente non rispondere

Denunciare tutti gli attacchi di smishing subiti alla FCC, Commissione federale americana per le comunicazioni, per cercare di proteggere gli altri utenti.
Si ricordi che, come il phishing tramite e-mail, lo smishing è un reato di frode: si basa sull’ingannare la vittima facendo cliccare un link o fornire informazioni. Infatti, il modo più semplice per proteggersi da questi attacchi è di non fare proprio nulla. Finché non si risponde o non si esegue il comando del messaggio, un SMS dannoso non può fare nulla. Basta ignorarlo e resterà innocuo.