Cos’è lo smishing: come difendersi dal phishing su smartphone

Scritto da Andrea Puchetti il

Lo smishing rappresenta l’evoluzione del phishing, uno dei problemi principali di Internet. Considerato l’ampio utilizzo degli smartphone nella società odierna, era solo questione di tempo prima che il phishing sbarcasse anche sui dispostivi mobile. Dopotutto, praticamente chiunque possiede uno smartphone: per la precisione, in Italia ci sono più smartphone (80 milioni) che cittadini (60 milioni).

E moltissimi di questi smartphone non sono al sicuro dagli attacchi di smishing. Avere un antivirus installato può aiutare (ma bisogna evitare di avere troppi antivirus sul telefono), ma di certo non è la soluzione in grado di bloccare ogni tentativo di smishing. Ma cos’è lo smishing esattamente e come possiamo riconoscerlo per imparare a difenderci da questa nuova tipologia di truffa?

Come funziona lo smishing: ecco degli esempi per riconoscerlo

Iniziamo dalle basi: in pratica, lo smishing è il phishing che avviene via SMS. Se infatti da computer i tentativi di phishing avvengono principalmente via email, quando si parla di smartphone i tentativi avvengono via messaggio. Il motivo è semplice: secondo alcune ricerche, leggiamo il 98% degli SMS che riceviamo (e rispondiamo al 45% di questi SMS ricevuti).

Percentuali molto alte, che garantiscono ai malintenzionati che i loro attacchi di smishing verranno quasi sicuramente letti dagli utenti. Molto probabilmente, se possedete uno smartphone avrete già visto qualche messaggio di smishing. Giusto per fare qualche esempio:

  • Arriva una SMS dalla banca che ti informa che il vostro account è stato bloccato oppure è avvenuta una transazione sospetta che richiede la vostra attenzione
  • Arriva una SMS per il tracciamento di un pacco da un corriere o un sito e-commerce
  • Arriva un SMS che annuncia la vittoria di una lotteria a premi
  • Arriva un SMS che ti informa di un’attività sospetta su un vostro account oppure di una richiesta per il cambio password appena avvenuta
  • Arriva un SMS di un’offerta a tempo limitato per un acquisto online oppure per una nuova offerta telefonica per risparmiare

Tutti questi SMS possono apparire più o meno plausibili. Molto spesso arrivano da servizi e business molto famosi e utilizzati, così aumentano le possibilità che gli utenti leggano il messaggio, credano sia una comunicazione veritiera e finiscono così con il cliccare sul link sospetto. Già, perché negli SMS di smishing viene sempre incluso un link da cliccare per un motivo o per l’altro.

I danni dello smishing e come prevenire queste truffe

Ma cosa accade se diventiamo vittima si smishing? Cosa succede esattamente se clicchiamo su uno di questi link sospetti? Lo smishing viene usato dai cyber criminali principalmente per due scopi: sottrarre dati sensibili agli utenti o rubare del denaro (o addirittura l’identità). Per fare ciò, cliccando su un link potresti attivare il download di un malware sul tuo telefono, scaricare un’app malevola o finire su un sito creato ad hoc per rubarvi dati personali.

Insomma, tutti scenari poco piacevoli. Anche perché sui nostri smartphone ormai portiamo in giro una quantità spropositata di dati sensibili: email personali e di lavoro, app per l’home banking e wallet online, accesso ai social e chat. Se un malintenzionato mettesse mano su tutto ciò, ci ritroveremmo sicuramente in grandi problemi.

Visto che questi messaggi di smishing che ci arrivano non sono facili da distinguere da quelli affidabili, come possiamo prevenire lo smishing? Di base, tutte le truffe di phishing e smishing si basano su tecniche di ingegneria sociale. Ovvero, i malintenzionati creano dei messaggi pensati in tal modo da attirare l’attenzione dell’utente, facendo leva sui seguenti punti deboli e portandoci ad avere così una risposta emotiva (e non una razionale):

  • Voglia di guadagno
  • Urgenza
  • Curiosità
  • Empatia
  • Paura

Un messaggio che ci promette metodi rapidi e semplici per guadagnare, così come un qualche premio da ritirare, attirerà sicuramente la nostra attenzione. In casi del genere, dovremmo affidarci al buon senso e ricordarci di non dare retta a messaggi inviati da sconosciuti: come hanno fatto ad avere il nostro numero di telefono?

Un’altra leva molto sfruttata dai malintenzionati è l’urgenza: ecco perché arrivano spesso messaggi che avvertono di transazioni non autorizzate oppure di account bancari bloccati. I malintenzionati vogliono spingerci ad agire subito senza farci ragionare. Inoltre, vogliono instillare in noi anche un senso di paura (quello di perdere potenzialmente del denaro).

Non solo, perché la paura viene usata anche in altri contesti: potrebbero arrivare messaggi che vi informano che siete sotto indagine per un qualche motivo oppure che Equitalia sta controllando alcuni vostri movimenti finanziari sospetti.

In casi particolari, un messaggio di smishing potrebbe dirvi che siete stati ripresi dalla fotocamera anteriore del telefono mentre visitavate siti per adulti, e se non volete che la registrazione sia condivisa con i vostri contatti, dovrete pagare subito una somma. Le altre due leve spesso sfruttate sono la curiosità e l’empatia.

Quando vi arriva un messaggio che vi informa che il vostro pacco è in fase di consegna, ma non avete mai fatto un ordine, viene spontaneo chiedersi di che cosa si tratta (e di cliccare così sul link nel messaggio). Parlando di empatia invece, molte volte un SMS smishing chiede una donazione per sostenere una campagna benefica oppure una onlus (quando in realtà non è così: i soldi vanno dritti nelle tasche dei truffatori).

Metodi per proteggersi dallo smishing

Per proteggersi dallo smishing, il modo migliore è prevenire il problema in questione. Spesso un antivirus non basta, mentre una rete VPN può tornare utile. Una VPN è una rete privata virtuale per internet: si tratta di un’app scaricabile sullo smartphone, attivabile quando si vuole. Usando questo servizio, la connessione sarà protetta dalla crittografia AES a 256 bit e sarà possibile anche cambiare posizione geografica e indirizzo IP.

Il modo migliore per difendersi dallo smishing però rimane il buonsenso. Quando ci arriva un messaggio sospetto bisogna sempre chiedersi:

  • Il messaggio arriva da un contatto conosciuto o da uno sconosciuto?
  • È presente un link all’interno del messaggio e mi viene chiesto di cliccarci?
  • Si tratta di un messaggio urgente, che in qualche modo mi spinge a fare ciò che c’è scritto nel testo?
  • E infine, il messaggio causa una risposta emotiva in me?

Se a una o più di queste domande si risponde di sì, allora molto probabilmente ci si trova davanti a un messaggio di smishing. Ovviamente non rispondete al messaggio, né cliccate sul link presente nel testo. Se poi avete ancora dei dubbi sull’autenticità del messaggio, perché magari viene scritto che il vostro conto corrente è stato bloccato o viene segnalata una transazione sospetta, fate così.

Contattate il servizio in questione: si tratta di una banca? Delle Poste Italiane? Dell’INPS? Se avete un dubbio sull’autenticità, contattate l’assistenza del servizio clienti in questione e chiedete se sono stati realmente loro a inviarvi quel messaggio. A volte basta una semplice telefonata per evitare di diventare vittima di smishing e cadere così in una truffa.

Tweet
Share
WhatsApp
More

Rimani aggiornato seguendoci su Google News!

Segui
Postato in News

Andrea Puchetti

Appassionato di tecnologia fin dalla nascita. Sempre in giro con mille gadget in tasca e pronto a non farsi sfuggire le novità del momento per poterle raccontare sui canali di Cellulare Magazine.