Anche se nell’era delle app di messaggistica gli SMS sono sempre meno utilizzati, ciò non significa che non siano comunque uno strumento a cui prestare attenzione. In particolare, è necessario conoscere i pericoli che potrebbero presentarsi sotto forma di SMS. Uno di questi è lo smishing, parola che deriva da SMS phishing e che indica una truffa effettuata tramite SMS.
Se il significato di smishing è quello di “phishing tramite SMS”, è fondamentale prima di tutto avere ben chiaro cos’è il phishing. Il phishing è uno dei vari tipi di attacchi informatici utilizzati dagli hacker per impossessarsi di informazioni personali ed è anche quello che probabilmente richiede meno risorse per essere effettuato. Sostanzialmente, consiste nell’inviare alla vittima un messaggio, solitamente un’e-mail, in cui è contenuto un link a un sito che ne imita perfettamente uno istituzionale o di un’azienda specifica, e in cui è richiesto di inserire alcuni dati sensibili.
Ad esempio, un hacker potrebbe inviare un’e-mail alla sua vittima comunicando che c’è stato un problema di sicurezza con l’account di posta elettronica e che è quindi necessario reimpostare la password tramite un link. Cliccando su questo link, l’utente viene inviato su una pagina apparentemente legittima ma che in realtà è controllata dall’hacker. I dati inseriti finiscono quindi nelle mani del malintenzionato e possono essere utilizzati per eseguire altre truffe o per ricattare la vittima.
Lo smishing è molto simile al classico phishing ma è eseguito tramite SMS. Invece di un’e-mail, quindi, la vittima riceve un SMS truffa con un link che invia a una pagina Web ingannevole. Gli attacchi di smishing eseguiti in questo modo sono meno sofisticati ma per certi aspetti più efficaci di quelli eseguiti tramite e-mail.
Un SMS, infatti, per forza di cose è molto più sintetico rispetto a un’e-mail e non contiene immagini o loghi: per questo è più facile ingannare la vittima citando il nome dell’azienda o del servizio che il truffatore finge di rappresentare. Inoltre, i link negli SMS sono spesso abbreviati, quindi è più difficile riconoscere quelli fasulli da quelli reali.
Un esempio molto in voga negli ultimi tempi è quello dello smishing delle Poste: il truffatore invia un SMS in cui comunica alla vittima che gli è stato inviato un pacco e che può tracciarne la spedizione cliccando sul link contenuto nell’SMS stesso. Ovviamente non esiste alcun pacco, ma la vittima potrebbe essere incuriosita o potrebbe voler verificare che si tratti di un errore, finendo così per rivelare informazioni personali al truffatore.
Spesso gli attacchi di smishing, così come quelli di phishing, per essere eseguiti devono essere prima preparati tramite social engineering. Questo metodo consiste nell’osservare i social della vittima per alcuni giorni o settimane in modo da apprenderne le abitudini e scoprire di quali servizi fa uso. È così che il truffatore è in grado di fingersi dipendente di un’azienda o di un servizio familiare alla sua vittima.
È fondamentale difendersi dallo smishing per proteggere i propri dati personali.