Smishing: cos’è
Lo Smishing (o phishing tramite SMS) è una forma di truffa che utilizza messaggi di testo e sistemi di messaggistica (compresi quelli delle piattaforme social media) per appropriarsi di dati personali a fini illeciti (ad esempio, per poi sottrarre denaro da conti e carte di credito). Il Garante privacy ha dedicato una scheda informativa per proteggersi da questa forma di phishing.
Come funziona
In genere i messaggi di smishing invitano i destinatari a compiere azioni (cliccare link, ecc.) o fornire informazioni con urgenza, per non rischiare danni (es: blocco di utenze, blocco della carta di credito o del conto) o sanzioni.
I truffatori (“smisher”), spiega il Garante, “inviano messaggi per chiedere ad esempio alle vittime di:
- cliccare un link che conduce ad un form online in cui inserire dati personali, dati bancari o della carta di credito, ecc.. Il link da cliccare può anche essere utilizzato per installare sullo smartphone della vittima programmi malevoli capaci di carpire dati personali conservati sul dispositivo o addirittura in grado di accedere alle app e ai programmi con cui si gestiscono Internet banking, carte di credito, ecc.;
- scaricare un allegato che può contenere programmi malevoli capaci di prendere il controllo dello smartphone o accedere ai dati in esso contenuti;
- rispondere ai messaggi ricevuti inviando dati personali (il codice fiscale, il PIN del Bancomat o quello utilizzato per l’Internet banking, il numero della carta, il codice di sicurezza della carta, i dati dell’OTP cioè della password temporanea per eseguire operazioni sul conto bancario e sulla carta di credito, ecc.);
- chiamare un numero di telefono, dove poi un finto operatore o un sistema automatizzato chiedono di fornire informazioni di vario tipo, compresi dati bancari e/o della carta di credito”.
Perchè lo smishing è pericoloso
Gli smisher fanno leva sul timore legato ad un rischio incombente per convincere le vittime ad abbassare il livello di prudenza e a reagire d’impulso. Per questo, invita l’authority, è bene “diffidare dei messaggi che hanno toni ultimativi e intimidatori o che spingono ad agire con fretta e urgenza. Ad es. il messaggio di una banca che segnala un account compromesso da verificare con urgenza; offerte di sconti straordinari da usufruire subito; amministrazioni pubbliche che segnalano la richiesta di dati, sanzioni da pagare, o anomalie da verificare, ecc.
Come difendersi dallo smishing
Il Garante invita a “non comunicare mai dati e informazioni personali o dati come codici di accesso, PIN, password, dati bancari e della carta di credito a sconosciuti” ricordando, in ogni caso, “che istituzioni e banche non richiedono di fornire dati personali tramite SMS o messaggistica istantanea, specie se si tratta di informazioni come PIN, password, codici di autorizzazione, ecc., che, di solito, loro stessi ci invitano a mantenere strettamente riservate”.
In generale, meglio non conservare le credenziali (password, PIN, codici) di dati bancari o della carta di credito sullo smartphone. In caso di intrusioni informatiche sul dispositivo (tramite malware, ad esempio), questi dati potrebbero infatti essere facilmente sottratti.
Per proteggere i conti bancari e carte di credito, inoltre, “è bene controllare spesso le movimentazioni ed eventualmente attivare sistemi di alert automatico che avvisano l’utente di ogni operazione effettuata”.
Se si ricevono messaggi da sconosciuti, “non cliccare sui link in essi contenuti e non aprire eventuali allegati: potrebbero contenere virus o programmi capaci di prendere il controllo di computer e smartphone. Stessa accortezza con i messaggi che provengono da numerazioni anomale o particolari (ad esempio: numeri con poche cifre), oppure da utenze identificate da un nome con il numero nascosto. In questi casi è sempre bene fermarsi a riflettere, prestando la massima attenzione al contenuto e al mittente del messaggio”. Infine, “se si ricevono messaggi che invitano a richiamare determinati numeri di aziende o istituzioni, controllare SEMPRE prima se tali numeri corrispondono a quelli ufficiali (ad esempio consultando i siti web istituzionali). Per estrema sicurezza, invece di contattare i numeri ricevuti, ci si può rivolgere al centralino o all’URP dell’azienda o dell’istituzione chiendendo di farsi mettere in contatto con l’ufficio che dovrebbe aver inviato il messaggio”.
Cosa fare
Ad ogni modo, chi ha il dubbio di essere vittima di smishing è consigliabile che contatti “immediatamente la banca o il gestore della carta di credito attraverso canali di comunicazione conosciuti e affidabili per segnalare l’accaduto e, in caso di sottrazione di denaro, richiedere il blocco delle transazioni. In questa seconda ipotesi, si può anche segnalare la truffa subita alle autorità di polizia“.