Truffa SMS con tecnica di smishing

Cari lettori di Tecnogalaxy, oggi parleremo di una truffa tramite SMS che sta circolando in questi giorni, dopo che numerosi utenti hanno segnalato sui social di aver ricevuto un SMS che fa riferimento alla consegna di un pacco fasullo (la tecnica è sempre la stessa), arriva anche la conferma ufficiale dalla Polizia Postale che si tratta di una truffa.

Abbiamo già parlato di attacchi di phishing, ma conoscete lo smishing? Se dovessimo fare una paragone, lo smishing sta agli SMS come il phishing sta agli account email. Ovviamente l’obiettivo finale per entrambi le tecniche è lo stesso, che si tratti di phishing o smishing il malintenzionato è alla ricerca delle vostre informazioni personali e riservate.

Phishing

Come già scritto in articoli precedenti, la tecnica di Phishing è ormai di attualità negli ultimi anni, nell’era 2.0, quella di internet, le truffe avvengono online. Non solo navigando sui siti web, ma anche via posta elettronica: nonostante gli enormi progressi nel settore della sicurezza informatica, con la creazione di efficientissimi filtri antivirus e antispam per l’e-mail, i messaggi di posta elettronica fraudolenti possono sfuggire a questi controlli, creando anche danni non indifferenti ai malcapitati truffati.

È ad esempio il caso delle e-mail di phishing, che spesso possono provenire anche da una fonte fidata e inviate da indirizzi considerati “affidabili” e dunque non bloccati dai filtri appositi. Incappare in una truffa tramite SMS è semplicissimo, cascarci decisamente meno, ma è comunque necessario prestare molta attenzione e sapere come riconoscere le e-mail di phishing. (Vedere l’articolo Esempi di attacchi Phishing e come scovarli).

Tipologie di Phishing

Le tipologie di phishing utilizzate possiamo dividerle in 4 modalità:

• Avidità;
• Gentilezza;
• Obbedienza;
• Paura;

Gli attacchi di smishing  invece sono in aumento esponenziale, stando ad una statistica il 20% delle email viene aperto e il restante scartato, mentre per gli SMS parliamo del 98% , messaggi che vengono letti.

Con tutte le guide, gli articoli pubblicati, gli utenti del web sono diventati malfidenti nei confronti delle email di spam, mentre per quanto riguarda gli SMS spesso abbassano la guardia, infatti i pirati informatici stanno sfruttando questa debolezza.

Da quando è iniziata la pandemia, gli esperti di sicurezza informatica hanno avvertito più volte che i tentativi di truffe sul web sono aumentati esponenzialmente, i truffatori conoscono molto bene le abitudini delle potenziali vittime e ovviamente sanno come sfruttare a proprio vantaggio eventi reali come ad esempio il lockdown.

Se ci pensate in periodi come questi spesso si fanno acquisti online e il rischio di cadere nella trappola dell’SMS relativo alla consegna di un presunto pacco è dietro l’angolo.

Il messaggio contiene la fatidica frase “Il tuo pacco sta per arrivare”  ennesimo tentativo di truffa tramite SMS da parte di pirati informatici.

Come tutte le truffe di questa tipologia, il messaggio malizioso non è altro che il classico tentativo da parte dei malintenzionati di impossessarsi di dati sensibili come pin, iban o altre informazioni custodite nello smartphone.

Come funziona lo smishing

Lo smishing è un semplice messaggio di testo con scopi illegali, questi messaggi vengono manipolati con la tecnica dell’ingegneria sociale, l’obiettivo finale del malintenzionato è quello di indurre le vittime ignare a fornire informazioni riservate. (Abbiamo già parlato di ingegneria sociale in molti articoli precedenti).

Se ci pensate è quasi impossibile che richiedere la tua password dei servizi bancari per SMS funzioni no? Quando si tratta di smishing, i criminali informatici si affidano proprio alle tattiche di ingegneria sociale, guadagnare la fiducia di una vittima aumenta la probabilità che questa riveli le proprie informazioni, piuttosto che indovinare la sua password.

Di seguito una lista di contenuti che potreste ricevere nei messaggi di smishing:

1. Link inaspettato
2. Un file inatteso da scaricare
3. Una richiesta urgente di aiuto, di solito sotto forma di denaro
4. Congratulazioni per aver vinto un concorso a cui non avete partecipato
5. Il nome di una banca che utilizzate o di un marchio che conoscete
6. Una richiesta urgente di verificare le informazioni personali tramite un link o un numero di telefono

Come funziona la truffa tramite SMS legato alla consegna di un pacco?

L’inizio della truffa tramite SMS è con la ricezione di un messaggio che invita il malcapitato a cliccare su un link per completare l’operazione. Il contenuto del messaggio più o meno è sempre lo stesso e fa riferimento a un pacco in arrivo o in giacenza. Facendo una statistica il messaggio contenuto è quasi sempre questo:

“Il tuo pacco sta arrivando, seguilo qui” è seguito da un link composto da parole strane e numeri casuali, il collegamento non ha la certificazione SSL (se controlliamo l’url non inizia con https, ma con http).

Nel messaggio cercheranno di fare pressing nell’aprire il link , di solito si trova un avviso come questo “Caro cliente si prega di seguire le informazioni entro 48 ore” altrimenti il pacco in questione verrà restituito al mittente.

Se ci pensiamo è una truffa ben congegnata , una persona che sta attendendo la consegna di qualcosa acquistato online può davvero cascarci.

Il link indirizzerà il malcapitato ad un sito fake di quello originale, realizzato ovviamente per somigliare a tutti gli effetti a quello di una normale azienda di spedizioni in questo caso.

Come possiamo proteggerci e cosa fare se si è caduti nella trappola?

La cyber truffa si sta diffondendo con molta velocità, questo mette a serio rischio dati e privacy, di seguito una serie di consigli:

• Se non siete sicuri al 100% della provenienza del messaggio, non cliccate assolutamente sul link contenuto nel SMS che riporta il testo del tipo “Il tuo pacco sta arrivando”.
• ll messaggio sembra essere inviato da un numero italiano che può variare. Se si vuole essere ancora più tranquilli, il mittente può essere bloccato, ma non è detto che lo stesso messaggio non possa arrivarne da un numero di telefono differente.
• Se invece è stato effettuato il click sul link ricevuto nell’SMS, se la pagina proposta era quella di effettuare la login o quella di compilare un modulo con le vostre informazioni personali, o automaticamente è stato scaricato un file e il vostro device si sta comportando in modo strano, il consiglio è quello di formattare il dispositivo e di informare i propri contatti presenti in rubrica di cancellare eventuali messaggi provenienti da quel numero di telefono. Lo step successivo è quello di modificare anche tutte le password salvate sullo smartphone (per ad esempio i social network, email, applicazioni varie ma soprattutto quelle di home banking).
• Controllate la fonte
• Può davvero essere troppo bello per essere vero
• Non rispondete
• Proteggete il vostro smartphone
• Nessun corriere chiede soldi per tracciare la spedizione o soldi aggiuntivi a spedizione in corso. Se avete dei dubbi che si tratti di una vera consegna, accedete direttamente al sito ufficiale per verificare a che punto sia la spedizione o contattate il customer service dello spedizioniere.
• Tenete sempre aggiornati i vostri device , a livello di sistema operativo e installate un antivirus di ultima generazione e fate attenzione a cosa aprite e a cosa cliccate.

Come sempre fatene buon uso facendo dei test su vostri device / computer , farli su device/computer non vostri è illegale.

Al prossimo articolo.

N.B.: Non mi assumo nessuna responsabilità dell’uso che farete della guida, in quanto stilata per uso didattico e formativo.

Giorgio Perego

IT Manager

Leggi anche:

• Cos’è il SubReddit r\Place
• L’IA sta cambiando il nostro mondo
• Il Phishing Wireless
• Consigli per far crescere l’eCommerce attraverso le strategie digitali
• Meta ha creato uno strumento che permette di analizzare le foto