Cos’è lo smishing e come difendersi

Se il significato di smishing è quello di “phishing tramite SMS”, è fondamentale prima di tutto avere ben chiaro cos’è il phishing. Il phishing è uno dei vari tipi di attacchi informatici utilizzati dagli hacker per impossessarsi di informazioni personali ed è anche quello che probabilmente richiede meno risorse per essere effettuato. Sostanzialmente, consiste nell’inviare alla vittima un messaggio, solitamente un’e-mail, in cui è contenuto un link a un sito che ne imita perfettamente uno istituzionale o di un’azienda specifica, e in cui è richiesto di inserire alcuni dati sensibili.

Cosa si intende per smishing?

Un SMS, infatti, per forza di cose è molto più sintetico rispetto a un’e-mail e non contiene immagini o loghi: per questo è più facile ingannare la vittima citando il nome dell’azienda o del servizio che il truffatore finge di rappresentare. Inoltre, i link negli SMS sono spesso abbreviati, quindi è più difficile riconoscere quelli fasulli da quelli reali.

Un esempio molto in voga negli ultimi tempi è quello dello smishing delle Poste, che permette di avere un’idea concreta di cosa succede durante un’azione di smishing: il truffatore invia un SMS in cui comunica alla vittima che gli è stato inviato un pacco e che può tracciarne la spedizione cliccando sul link contenuto nell’SMS stesso. Ovviamente non esiste alcun pacco, ma la vittima potrebbe essere incuriosita o potrebbe voler verificare che si tratti di un errore, finendo così per rivelare informazioni personali al truffatore.

Spesso gli attacchi di smishing, così come quelli di phishing, per essere eseguiti devono essere prima preparati tramite social engineering. Questo metodo consiste nell’osservare i social della vittima per alcuni giorni o settimane in modo da apprenderne le abitudini e scoprire di quali servizi fa uso. È così che il truffatore è in grado di fingersi dipendente di un’azienda o di un servizio familiare alla sua vittima.

Bisogna poi accennare anche al vishing, un tipo particolare di smishing che avviene tramite telefonate anziché tramite SMS. Al posto di ricevere un messaggio, si riceve una telefonata, durante la quale può essere richiesto di rivelare informazioni personali come numeri di carta di credito o credenziali di accesso ad account bancari.

Negli ultimi tempi si sono moltiplicati gli attacchi informatici tramite app di messaggistica. App come WhatsApp o Telegram, ma anche i social network, vengono usate da milioni di utenti ogni giorno, e nonostante siano tra le app di messaggistica più sicure, le potenziali vittime sono numerosissime. Questi attacchi sono sostanzialmente identici agli attacchi di smishing, ma non possono essere definiti con questo nome. Hanno però lo stesso identico scopo, e i metodi per difendersi sono molto simili.

1. Messaggio urgente. Molto spesso i messaggi di smishing sono scritti in modo da far preoccupare la vittima: si fa riferimento a problemi urgenti di sicurezza, a offerte speciali e limitate, ecc. Bisogna sempre diffidare da comunicazioni di questo tipo: è improbabile che un reale problema di sicurezza possa essere risolto solo tramite SMS, e se ci fosse davvero un’urgenza, si riceverebbe una telefonata.
2. Richieste di informazioni dettagliate. Gran parte delle aziende, soprattutto quelle che trattano dati sensibili, al momento dell’iscrizione precisano che non invieranno mai richieste di informazioni personali. Se si riceve una richiesta di questo tipo tramite SMS, quindi, si può ipotizzare che si tratti di un tentativo di truffa.
3. Numeri di telefono strani. Quando si riceve un SMS sospetto, è sempre meglio verificare il numero di telefono del mittente. Se si tratta di un mittente anonimo, è probabile che sia una truffa. Idem se il numero non è italiano o ha una struttura “strana”. Se il numero sembra legittimo, è una buona idea fare una ricerca veloce su Internet per capire se si tratta effettivamente di un numero utilizzato da qualche azienda.
4. Presenza di link. Aziende e agenzie possono inviare SMS ai propri utenti: raramente, però, questi contengono dei link. Pertanto, bisogna sempre diffidare dai messaggi che contengono link, indipendentemente dalla provenienza.

Se ci si rende conto di essere stati vittima di un attacco di smishing è importante cercare di arginare immediatamente i danni. Se, ad esempio, si scopre di aver rivelato i dati della propria carta di credito, bisogna immediatamente chiamare la propria banca e bloccare la carta prima che possa essere utilizzata per fare acquisti. Se invece si teme di aver rivelato nomi utente e password, bisogna cambiare le credenziali di accesso dei propri account, partendo da quelli più importanti.

È fondamentale difendersi dallo smishing per proteggere i propri dati personali.

1. Non aprire il messaggio e non cliccare sul link. Molti smartphone permettono di visualizzare gli SMS in anteprima senza aprirli: in caso di messaggi sospetti, meglio quindi eliminarli direttamente. Se anche si dovesse aprire l’SMS, è fondamentale non cliccare sul link.
2. Aggiornare lo smartphone e installare sistemi di sicurezza. Gli smartphone moderni sono solitamente dotati di sistemi di sicurezza integrati nel sistema operativo che proteggono da alcuni tipi di attacchi informatici.
3. Non salvare i dati della carta di credito. Molti smartphone permettono di salvare i dati della propria carta di credito direttamente nel sistema, in modo da rendere gli acquisti più veloci. Se però non si salvano questi dati, anche in caso di attacco malware gli hacker non potranno impossessarsi delle informazioni.
4. Diffidare dei messaggi sospetti. Le vincite a concorsi o lotterie non vengono annunciate tramite SMS, quindi è molto importante ignorare ed eliminare questo tipo di messaggi perché quasi sicuramente si tratta di tentativi di truffa.
5. Installare una VPN. Una VPN garantisce un livello di sicurezza ancora più elevato, soprattutto se si sceglie un servizio in grado di offrire funzionalità aggiuntive apposite. Con NordVPN, ad esempio, si può sfruttare la funzionalità di Threat Protection, che permette di bloccare i cookie di tracciamento, rilevare il malware prima che venga scaricato, e bloccare i siti potenzialmente pericolosi.