Lo smishing, acronimo di SMS phishing è la variante di un attacco phishing che utilizza dei messaggi SMS per attirare in trappola le persone. Così come le “campagne” di phishing prevedono l’invio massiccio di e-mail “esca”, con lo smishing vengono solitamente inviati migliaia di messaggi SMS, con la richiesta urgente di confermare (tramite l’accesso web da un link inviato) i dati riservati dell’utente. Questi truffatori invitano la vittima, con messaggi ansiogeni che prefigurano forti rischi, a collegarsi ad un sito Web per intraprendere un’azione urgente, che consentirebbe di evitare, ad esempio evitare il blocco della carta di credito, del conto corrente oppure del telefono. Spesso questi messaggi ( vedi immagini allegate) non riportano un numero di telefono del mittente ma soltanto una dicitura che evoca un soggetto realmente esistente . Questa forma di phishing fa leva sulla convinzione della gente che un messaggio SMS sia sicuro in quanto spesso banche o istituti o compagnie telefoniche lo utilizzano per informarci, mentre le e-mail o altre forme vengono oramai “sgamate” dalla maggioranza delle persone. Questo ci rende maggiormente vulnerabili e fa sì che siano numerose le persone che cadono in questa truffa, fornendo dati sensibili che possono portare a vedersi svuotare un conto corrente. Esistono portali dove è possibile fare campagne massive di invio SMS senza fare comparire il numero, ma soltanto una dicitura. Hanno sede quasi sempre all’estero, non ostacolano in nessun modo i truffatori, ed a nostro parere dovrebbero essere inibiti a questa attività.
Ma dove reperiscono i numeri di cellulare questi truffatori? Purtroppo in molti portali dove ci registriamo (acquisti online, servizi online, ecc..) ci viene richiesto di inserire il nostro numero di cellulare, spesso come condizione indispensabile per ottenere uno sconto nell’acquisto. Il nostro numero viene memorizzato in un database; se i dati non sono protetti a dovere vengono attaccati dagli hacker e sono rubate tutte le informazioni presenti. In alcuni casi probabilmente i nostri dati sono stati venduti illegalmente, senza il nostro consenso, ad altri soggetti.
Le numerose segnalazioni pervenute in queste settimane hanno spinto il Controllo di Vicinato Gruppo Insieme e Federconsumatori, nell’ambito del progetto “Non mi freghi”, ad iniziare una campagna informativa, a partire dalla vasta rete coperta dal CdV.
I truffatori sono purtroppo sempre aggiornati: nelle ultime varianti di smishing gli hacker hanno scoperto un modo per usare versioni modificate di normali applicazioni (scaricabili dai vari app store) per poi installare sullo Smartphone della vittima un software malevolo, in grado di simulare la ricezione di un messaggio SMS truffaldino. Ecco due semplici indicazioni:
– quando arriva un SMS, bisogna cliccare soltanto su link che provengono da una fonte attendibile e verificata. Se non si è in grado di riconoscere il mittente o se il contenuto degli SMS non sembra familiare, va evitato qualsiasi tipo di interazione con il messaggio. Nell’incertezza contattare la fonte per chiedere direttamente informazioni, oppure chiedere aiuto a parenti ed amici.
– E’ possibile attivare sul proprio telefono la funzione che blocca i testi provenienti da Internet. Molti hacker inviano testi da un servizio Internet nel tentativo di nascondere la propria identità. L’attivazione di questa funzione permette di bloccare i testi inviati da Internet.
I fatti sono stati prontamente segnalati dal Controllo di vicinato alla Polizia Postale, a Google ed a Microsoft Bing. Questi ultimi due soggetti hanno, con un proprio Alert, indicato come fraudolenti i siti in questione.
Progetto “Non mi freghi” promosso da Controllo di Vicinato Gruppo Insieme – Federconsumatori Modena APS
Federconsumatori Federconsumatori ER Emilia Romagna