In qualsiasi momento sul nostro cellulare potrebbe arrivare un messaggio, apparentemente innocuo, ma in realtà molto insidioso.

Si tratta di una comunicazione che spesso afferma di provenire dal nostro gestore telefonico o dalla banca, e che richiede di compiere azioni specifiche, come ad esempio cliccare su un link.

Il tutto per accedere indebitamente alle nostre informazioni personali. 

Quando ciò accade, non c’è alcun dubbio: siamo di fronte al fenomeno dello smishing.

Smishing: le truffe ai tempi di internet 

Il termine smishing deriva dalla fusione delle parole SMS (Short Message Service) e phishing, cioè quella forma di truffa che viene ricondotta al termine inglese di “andare a pesca”, e che ricorda l’attività del pescatore che getta l’amo e attende che il pesce abbocchi.

Mentre con phishing si intende una truffa realizzata attraverso l’uso delle email, lo smishing avviene tramite l’invio di SMS.

Si deve tuttavia segnalare anche il fatto che recentemente, oltre agli SMS, hanno iniziato a essere utilizzate anche altre applicazioni per smartphone che permettono l’invio di messaggi, come WhatsApp, Signal e Telegram.

In questo caso alcuni parlano di smishing 2.0, ma di fatto il meccanismo su cui si basano è identico a quello utilizzato con gli SMS.

Riconoscere lo smishing

I truffatori che operano attraverso la tecnica dello smishing cercano di ottenere dati personali, al fine di poterli poi utilizzare a danno economico della vittima.

Nella pagina su cui si è dirottati dopo aver cliccato sul link, spesso viene chiesto di inserire le informazioni bancarie per poter accedere al conto corrente e/o utilizzare la carta di credito.

In questo modo, è la vittima stessa a fornire al truffatore i dati per farsi raggirare.

Senza l’intervento della persona coinvolta, infatti, il malintenzionato non potrebbe in alcun modo operare e sottrarre denaro o fare acquisti attraverso le carte di credito.

Sempre per indurre la vittima a cadere in errore può essere anche utilizzato lo stratagemma della consegna di pacchi da parte di corrieri, oppure della richiesta di informazioni relative ad acquisti online.

In questi casi, nel contenuto del messaggio si fa riferimento a consegne che devono essere effettuate, e che non possono andare a buon fine se non si clicca su quello specifico link e non si forniscono informazioni.

Ebbene, ciò che in realtà viene richiesto sono i dati, al fine di poterli utilizzare indebitamente a scapito del destinatario.

Differenze tra smishing, phishing e vishing

Lo smishing, il phishing e il vishing (truffa che avviene tramite telefonate registrate o messaggi vocali), sono tutte forme di ingegneria sociale che prevedono l’utilizzo di tecniche che hanno lo scopo di ottenere informazioni personali tramite l’inganno.

Di fatto, la differenza tra tutte queste forme di truffa si basa sullo strumento utilizzato dal malintenzionato, a seconda che si tratti di email (phishing), di telefonata vocale (vishing), oppure di SMS (smishing).

Perchè lo smishing è il più pericoloso

Essendo praticato da più tempo, la maggior parte degli utenti è oramai abituata al phishing via email, perciò sa come riconoscerlo ed evitarlo efficacemente.

I messaggi di testo sono invece un canale più atipico per le truffe, e quindi le persone sono meno propense a pensare che un breve messaggio possa essere una trappola.

Inoltre, dal momento che al cellulare accedono più facilmente anche i minori, è più probabile che – magari maneggiando quello dei propri genitori – compiano azioni “alla leggera”, diventando facili prede di truffe online.

Oltre al fatto che ci si fida di più dei messaggi di testo, gli SMS tendono ad essere meno sicuri delle email.

Al giorno d’oggi ogni servizio di posta elettronica che si rispetti dispone infatti di un filtro antispam integrato.

Questi filtri non sono perfetti, ma i truffatori devono continuare a inventare nuovi stratagemmi per superarli.

Purtroppo, quando si tratta di flessibilità e precisione, i filtri antispam degli operatori di telefonia mobile non sono altrettanto affidabili.

In genere, poi, si leggono i messaggi di testo mentre si è in movimento o impegnati a compiere altre attività.

Questo dettaglio, combinato con una bassa aspettativa di pericolo nei confronti degli SMS, porta ad analizzare con minore attenzione i contenuti, facendo sì che attacchi di questo tipo abbiano successo.

In altre parole, quando si riceve un messaggio, è probabile che venga ignorata la checklist mentale dei segnali di pericolo, per cliccare semplicemente su quanto viene richiesto.

Non da ultimo, negli SMS ci sono meno segnali evidenti che ci aiutano a riconoscere una truffa.

Quando si riceve un’email, ad esempio, si può guardare l’indirizzo del mittente, valutare il design e il layout della comunicazione, e considerare quanto sia plausibile il messaggio nel suo complesso.

In breve, si può andare alla ricerca di campanelli d’allarme standard.

I messaggi invece si assomigliano molto tra loro: sono brevi, spesso impiegano un linguaggio non standard, e non c’è un layout da analizzare.

Il Garante della privacy suggerisce come difendersi dallo smishing

Il Garante della privacy, sul proprio sito istituzionale, fornisce chiare indicazioni su come le persone possono difendersi dallo smishing.

L’Autorità segnala innanzitutto che sia le PA che gli istituti bancari e assicurativi non chiedono mai ai cittadini o ai propri clienti informazioni riservate a mezzo email, SMS o telefonata.

Ricevere una richiesta di questo tipo da parte di un soggetto sconosciuto che si autoqualifica come appartenente a una Pubblica Amministrazione o una società deve di per sé insospettire chi l’ha ricevuta.

Fatta questa premessa, in sintesi i suggerimenti del Garante per difendersi dallo smishing sono questi:

  • Non comunicare mai informazioni personali o dati come codici di accesso, PIN, password, dati bancari e della carta di credito a sconosciuti
  • Non conservare le credenziali (password, PIN, codici) di dati bancari o della carta di credito sullo smartphone
  • Controllare spesso le movimentazioni, ed eventualmente attivare sistemi di alert automatici che avvisano l’utente di ogni operazione effettuata
  • Non cliccare sui link contenuti nei messaggi recapitati, e non aprire eventuali allegati
  • Verificare se il testo delle comunicazioni presenta anomalie, come errori linguistici, grammaticali o lessicali, che spesso sono indizi di smishing
  • Chiedersi se davvero un nostro conoscente o un soggetto con cui abbiamo rapporti (una PA, una banca) farebbe certe richieste

Questi consigli sono ovviamente rivolti a persone adulte, titolari di conti correnti e carte di credito utilizzate per fare acquisti online.

Ma non dobbiamo dimenticare che, come detto in precedenza, gli smartphone dei genitori possono essere utilizzati impropriamente dai figli.

Perciò, compito delle famiglie, ma anche degli insegnanti in qualità di educatori e formatori, è quello di mettere in guardia i ragazzi sui pericoli che possono correre cliccando impropriamente sui link contenuti negli SMS.