Cos’è lo smishing?

Cos'è il phishing

Se il significato di smishing è quello di “phishing tramite SMS”, è fondamentale prima di tutto avere ben chiaro cos'è il phishing. Il phishing è uno dei vari tipi di attacchi informatici utilizzati dagli hacker per impossessarsi di informazioni personali ed è anche quello che probabilmente richiede meno risorse per essere effettuato. Sostanzialmente, consiste nell’inviare alla vittima un messaggio, solitamente un’e-mail, in cui è contenuto un link a un sito che ne imita perfettamente uno istituzionale o di un'azienda specifica, e in cui è richiesto di inserire alcuni dati sensibili.

Ad esempio, un hacker potrebbe inviare un’e-mail alla sua vittima comunicando che c'è stato un problema di sicurezza con l'account di posta elettronica e che è quindi necessario reimpostare la password tramite un link. Cliccando su questo link, l’utente viene inviato su una pagina apparentemente legittima ma che in realtà è controllata dall'hacker. I dati inseriti finiscono quindi nelle mani del malintenzionato e possono essere utilizzati per eseguire altre truffe o per ricattare la vittima.

Cos'è lo smishing

Lo smishing è molto simile al classico phishing ma è eseguito tramite SMS. Invece di un'e-mail, quindi, la vittima riceve un SMS truffa con un link che invia a una pagina Web ingannevole. Gli attacchi di smishing eseguiti in questo modo sono meno sofisticati ma per certi aspetti più efficaci di quelli eseguiti tramite e-mail.

Un SMS, infatti, per forza di cose è molto più sintetico rispetto a un’e-mail e non contiene immagini o loghi: per questo è più facile ingannare la vittima citando il nome dell'azienda o del servizio che il truffatore finge di rappresentare. Inoltre, i link negli SMS sono spesso abbreviati, quindi è più difficile riconoscere quelli fasulli da quelli reali.

Un esempio molto in voga negli ultimi tempi è quello dello smishing delle Poste: il truffatore invia un SMS in cui comunica alla vittima che gli è stato inviato un pacco e che può tracciarne la spedizione cliccando sul link contenuto nell'SMS stesso. Ovviamente non esiste alcun pacco, ma la vittima potrebbe essere incuriosita o potrebbe voler verificare che si tratti di un errore, finendo così per rivelare informazioni personali al truffatore.

Spesso gli attacchi di smishing, così come quelli di phishing, per essere eseguiti devono essere prima preparati tramite social engineering. Questo metodo consiste nell'osservare i social della vittima per alcuni giorni o settimane in modo da apprenderne le abitudini e scoprire di quali servizi fa uso. È così che il truffatore è in grado di fingersi dipendente di un'azienda o di un servizio familiare alla sua vittima.

Come riconoscere un messaggio di smishing

1. Messaggio urgente. Molto spesso i messaggi di smishing sono scritti in modo da far preoccupare la vittima: si fa riferimento a problemi urgenti di sicurezza, a offerte speciali e limitate, ecc. Bisogna sempre diffidare da comunicazioni di questo tipo: è improbabile che un reale problema di sicurezza possa essere risolto solo tramite SMS, e se ci fosse davvero un'urgenza, si riceverebbe una telefonata.
2. Richieste di informazioni dettagliate. Gran parte delle aziende, soprattutto quelle che trattano dati sensibili, al momento dell’iscrizione precisano che non invieranno mai richieste di informazioni personali. Se si riceve una richiesta di questo tipo tramite SMS, quindi, si può ipotizzare che si tratti di un tentativo di truffa.
3. Numeri di telefono strani. Quando si riceve un SMS sospetto, è sempre meglio verificare il numero di telefono del mittente. Se si tratta di un mittente anonimo, è probabile che sia una truffa. Idem se il numero non è italiano o ha una struttura “strana”. Se il numero sembra legittimo, è una buona idea fare una ricerca veloce su Internet per capire se si tratta effettivamente di un numero utilizzato da qualche azienda.
4. Presenza di link. Aziende e agenzie possono inviare SMS ai propri utenti: raramente, però, questi contengono dei link. Pertanto, bisogna sempre diffidare dai messaggi che contengono link, indipendentemente dalla provenienza.

Articoli correlati

In Depth Truffe sentimentali online: come riconoscerle e come difendersi

Apr 03, 2022

·

4 min di lettura

In Depth Cybercrime: che cos’è

Nov 21, 2021

·

4 min di lettura

Come proteggersi dallo smishing

È fondamentale difendersi dallo smishing per proteggere i propri dati personali.

1. Non aprire il messaggio e non cliccare sul link. Molti smartphone permettono di visualizzare gli SMS in anteprima senza aprirli: in caso di messaggi sospetti, meglio quindi eliminarli direttamente. Se anche si dovesse aprire l'SMS, è fondamentale non cliccare sul link.
2. Aggiornare lo smartphone e installare sistemi di sicurezza. Gli smartphone moderni sono solitamente dotati di sistemi di sicurezza integrati nel sistema operativo che proteggono da alcuni tipi di attacchi informatici. Inoltre, può essere una buona idea installare ulteriori soluzioni di sicurezza come una VPN, che garantisce un livello di sicurezza ancora più elevato.