Cari lettori di Tecnogalaxy, oggi parleremo della campagna fake che sta colpendo gli utenti in questi giorni, come in passato Poste Italiane è sempre stata presa di mira, anche questa tutto parte da un finto SMS di Poste Italiane che in questo specifico caso chiede di convalidare i dati tramite un modulo linkato.

Ovviamente l’obiettivo della truffa è quello di ottenere i dati di accesso del malcapitato per sottrarre denaro dal conto.

Come fare quindi a difendersi?

Analizziamo il testo del messaggio che contiene:

“Gentile cliente, Poste Italiane per motivi di sicurezza la invita a convalidare i suoi dati al seguente link”.

Come possiamo vedere il messaggio è molto generico e proprio per questo è probabile che tragga più in inganno rispetto ad altri messaggi.

Se la vittima clicca sul link malevolo, viene reindirizzata su un sito web fake (ma identico a quello di Poste Italiane), dove verrà richiesto il numero di telefono e della carta di credito.

Lo step successivo sarà quello che verrà richiesto il codice OTP (One Time Password) ricevuto sul telefono. A quel punto il gioco è fatto e il malintenzionato può operare sul conto della vittima.

Poste Italiane come ad esempio la banca, rende noto che non chiederà mai telefonicamente o attraverso email o SMS o ad esempio social network di fornire:

  • Password.
  • Dati delle carte di credito.
  • Codici OTP.
  • PIN.
  • Credenziali, chiavi d’accesso o altri codici strettamente personali.

Ma come funziona il finto SMS di Poste Italiane?

Come nelle truffe precedenti, cliccando sul link si viene rimandati a una pagina web fake di Poste Italiane, dove se si fa l’accesso con i propri dati, se ne subisce il furto.

Nel dicembre del 2020 il contenuto dell’SMS fake era di aggiornare i dati al nuovo sistema PSD2 per evitare il blocco delle utenze.

Come facciamo difendersi dalla truffa di smishing?

Gli enti come Poste Italiane diffondono alcune raccomandazioni importanti da seguire, che valgono contro ogni tipo di phishing.

  1. Non rispondere mai ai messaggi di testo, alle mail di persone che non si conoscono, e non cliccare sui link.
  2. Entrare sul sito di Poste Italiane digitandone direttamente l’indirizzo sul browser.
  3. Non consegnare il proprio numeri di telefono sui social o altri canali per ridurre il rischio che sia usato per questo tipo di truffe.
  4. In generale tutte le banche, Poste Italiane (e anche Inps) non chiederanno mai i dati di accesso, né ti  contattano via email o SMS chiedendoti di compiere azioni di questo tipo.
  5. Né i corrieri, né i negozi online possono mandare link via SMS dove scrivere le proprie credenziali, mandano solo SMS con il traccino del pacco.
  6. Non installare app da SMS o ricevute via mail, tutte le app devono provenire dall’app store ufficiale.
  7. Aggiornare sempre il sistema operativo del telefono.
  8. Bisogna avere un po’ di buon senso e cautela e in questo modo si possono evitare molte frodi e truffe.

Il codice breve degli SMS truffa

Nella maggior parte dei casi quando si ricevono questi SMS il numero del mittente non è sempre visualizzato in modo completo,(da 4 o 6 cifre), questo numero è chiamato codice breve,  questa cosa può aiutare l’utente a individuare l’ufficialità del messaggio.

Molte aziende utilizzano codici brevi (anche Poste Italiane), per essere più facili da leggere e ricordare, ATTENZIONE però anche i criminali informatici utilizzano questi codici brevi per gli SMS per distribuire malware.

Quando viene progettato un attacco di phishing o smishing le vittime ricevono un messaggio che utilizza un codice funzione, imitando i messaggi reali che potrebbero riportare un messaggio simile al seguente:

“Avviso di frode bancaria: conferma la tua transazione bancaria.”

Questo tipo di SMS contiene un link abbreviato che dirotta la vittima ad un’app dannosa richiedendo l’installazione subito sullo smartphone.

L’installazione dell’app malevola potrebbe tenere traccia della sequenza dei tasti rubando l’identità o crittografando i file e chiedere un riscatto esattamente come fanno i ransomware.

Gli SMS danno più sicurezza agli utenti e per questo lo smishing sta prendendo più piede del phishing via email. Proprio per questo motivo siamo condizionati a rispondere di più a un SMS e questo è utilizzato a vantaggio dei phisher.

Come sempre fatene buon uso facendo dei test su vostri device / computer , farli su device/computer non vostri è illegale.

Al prossimo articolo 😊

N.B.: Non mi assumo nessuna responsabilità dell’uso che farete della guida, in quanto stilata per uso didattico e formativo.

Giorgio Perego

IT Manager

Leggi anche:

Ti è stato di aiuto questo articolo? Aiuta questo sito a mantenere le varie spese con una donazione a piacere cliccando su questo link. Grazie!

Seguici anche su Telegram cliccando su questo link per rimanere sempre aggiornato sugli ultimi articoli e le novità riguardanti il sito.

Se vuoi fare domande o parlare di tecnologia puoi entrare nel nostro gruppo Telegram cliccando su questo link.

© Tecnogalaxy.it - Vietato riprodurre il contenuto di questo articolo.