Lo smishing, il phishing tramite SMS, è uno dei tipi di truffa più insidiosi. Perché il messaggio ti arriva nel “thread” degli SMS inviati in precedenza dalla tua banca. L’SMS truffa si visualizza in coda ai messaggi ricevuti dal tuo istituto bancario (per esempio, tra quelli del tipo “autorizzata operazione su internet di euro…; conferma prelievo di euro…). Così tra i messaggi della tua banca, con lo stesso nome mittente dell’istituto bancario, i tuffatori, “smisher”, inviano l’SMS truffa.

Ecco un esempio:

Come vedete, i messaggi di smishing invitano i destinatari a compiere azioni (cliccare link, ecc.) o fornire informazioni con urgenza. E molti correntisti abboccano a questa truffa, perché presi dal panico e perché pensano sia davvero un messaggio inviato dalla propria banca.

Il tentativo di frode funziona così

I truffatori attraverso alcuni servizi online di invio in modo massimo di messaggi riescono a digitare, nel campo mittente del messaggio truffa, il nome della banca, per esempio UniCredit, MPS, Intesa Sanpaolo, ecc… e i nostri smartphone, vedendo quel nome mittente, vanno a inserire l’SMS truffa in coda ai messaggi inviateci realmente dalla banca. Ecco il “bug”.

Oppure, i truffatori usano i numeri di telefono delle banche da cui far partire le truffe.

Ci risulta che le banche stiano cercando un accordo, non facile da raggiungere, perché richiede un importante impegno economico, per avere dei nuovi numeri di telefono non replicabili attraverso i servizi Voip, che consentono l’acquisto collettivo di numeri di telefono.

Così l’utente riceve un messaggio sms, apparentemente inviato dalla propria Banca, contenente avvisi di movimentazioni sospette o problemi di accesso al servizio dell’home banking e viene invitato a cliccare su un link che rinvia, in realtà, ad un sito clone dell’istituto bancario, tramite il quale viene indotto a inserire le proprie credenziali (username, password, numero di telefono cellulare, nonché codice fiscale e indirizzo di posta elettronica).

A tal fine, i criminali contattano telefonicamente le vittime, spacciandosi per operatori della banca.

Vengono, quindi, impartite disposizione ai clienti finalizzate a far rimuovere l’applicazione home banking che viene subito dopo reinstallata dai truffatori che prendono così il completo controllo dei conti correnti. Recentemente, si è verificata un’ulteriore evoluzione del fenomeno criminale che consiste nel movimentare le somme presenti nei conti correnti colpiti attraverso l’esecuzione di bollettini postali online. Questa modalità, spiega in una nota la Polizia, a differenza dei bonifici bancari, presenta il vantaggio per i criminali di poter movimentare somme di denaro anche ingenti con operazioni non revocabili dall’utente.

Perché lo smishing è così pericoloso?

Gli smisher fanno leva sul timore legato ad un rischio incombente per convincere le vittime ad abbassare il livello di prudenza e a reagire d’impulso.

Meglio quindi diffidare dei messaggi che hanno toni ultimativi e intimidatori o che spingono ad agire con fretta e urgenza.

Alcuni consigli

È bene ricordare che le banche non inviano mai email, sms o chiamano al telefono per chiedere di fornire le credenziali di accesso all’home banking o all’app, i dati delle carte di credito o la variazione dei dati personali.

Se ricevi email, sms o telefonate che ti chiedono di fornire dati bancari, chiama immediatamente la tua Banca e/o rivolgiti alla Polizia Postale:

– non aprire gli allegati o i link contenuti nelle e-mail o sms;

– tieni sempre aggiornato l’antivirus e il sistema Operativo: dispositivi aggiornati sono più sicuri.

Ma non solo banche. Le campagne di smishing possono riguardare anche SMS di falsi operatori di Polizia o apparentemente inviati da Poste italiane, Inps o in merito alla consegna di un pacco. Siamo nel mese di Natale, si attendono molti più pacchi del solito: se dovessimo ricevere un sms come il seguente, NO PANIC.

