Lo smishing deriva dalla fusione delle parole inglesi SMS – Short Message Service – e Phishing e indica un tipo di truffa che sfrutta i sistemi di messaggistica per appropriarsi dei dati personali.
Che cos’è lo smishing?
Un malintenzionato cerca di ingannare la vittima convincendola a fornire con urgenza informazioni personali, dati finanziari o codici di accesso, fingendosi un ente affidabile in una comunicazione digitale. L’obiettivo dei truffatori (smisher) è la raccolta di informazioni personali per fini illeciti (tra cui estorsione di denaro).
Come funziona lo smishing?
La maggior parte degli utenti è abituato al phishing tramite e-mail e, generalmente, riescono ad evitarlo. Questo è possibile anche grazie ai filtri antispam che sono integrati al servizio di posta elettronica. Questi filtri, tuttavia, non sono del tutto efficaci sui differenti operatori di telefonia mobile. Gli SMS risultano, difatti, risultano canali meno atipici per le truffe, pertanto i pericoli risultano meno evidenti. Gli smisher sfruttano questa forma di truffa in quanto riescono a camuffare le informazioni del mittente in modo realistico, rendendo il messaggio meno sospettoso. In particolare, i messaggi di smishing utilizzano le tecniche dell’ingegneria sociale, sfruttando i sentimenti come paura, senso di colpa o avidità per convincere il destinatario a interagire con un messaggio.
Esempi di smishing:
Le tipologie di messaggi includono:
- richiesta di dati personali (per esempio codice fiscale, pin del Bancomat e/o Internet Banking, dati e codici della carta di credito e/o conto bancario, password);
- richiesta di chiamata di un numero di telefono sconosciuto, di cui un sistema automatizzato richiede informazioni personali;
- click di un link che riporta ad un form in cui inserire dati personali o, in altri casi, che permette l’installazione di programmi malevoli sul proprio smartphone per eseguire operazioni illecite;
- scaricamento di un allegato contenente programmi in grado di accedere ai dati in esso presenti;
Come difendersi
È necessario adottare alcuni comportamenti per evitare di cadere della trappola dello smishing:
- Non comunicare mai informazioni personali (come codici di accesso, pin, password, dati bancari). È consigliabile, inoltre, non conservare i dati personali sul proprio smartphone, in quanto in caso di malware e/o intrusioni informatiche;
- Non rispondere a nessun messaggio proveniente da un numero sconosciuto. Se sembra sospetto, è meglio cancellarlo subito;
- Non cliccare sopra ad un link o un numero telefonico all’interno di un sms, piuttosto ricercare separatamente quest’ultimi in un motore di ricerca, in modo da verificare se siano legati ad un’attività legittima. In alternativa, un altro segnale di possibile smishing è esaminare se il testo presenta anomalie, tra cui errori linguistici, grammaticali e lessicali;
- Proteggere il proprio numero di telefono, evitando di condividerlo sui social media o su siti web pubblici.
In generale, se si ha il dubbio di essere vittime dello smishing riguardo ai propri dati bancari e/o carta di credito, è opportuno contattare il gestore della carta di credito attraverso canali di comunicazione affidabili per segnalare l’accaduto, richiedendo il blocco delle transazioni. Oltre a ciò, si può fare la segnalazione della truffa subito alle autorità di polizia.
