/ Privati - Attualità

Come difendersi dallo smishing: 08 buone regole da seguire

CiviBank di CiviBank

Lo smishing è una forma di phishing, la truffa online: la parola viene infatti da "phishing" e "sms". Si tratta di un tentativo creato ad arte di indurti a cliccare su un link dannoso.
Hai mai ricevuto un sms o messaggio sui social (twitter, whatsapp, telegram …) che ti invita con urgenza a verificare o aggiornare le tue credenziali di accesso all'internet banking o di un servizio simile?
Potresti aver ricevuto un sms o messaggio truffa.

 

I truffatori online non dormono mai, e purtroppo cercano sempre nuovi modi per ingannare le persone. Ne è un esempio proprio lo smishing, particolarmente pericoloso quando arriva da numeri sconosciuti ma anche da numeri che sembrano affidabili. La parola chiave è proprio sembrano: sono sempre di più i casi di sms truffa che sembrano arrivare da una banca o dalle Poste, ma sono in realtà inviati da truffatori.

Si tratta del cosiddetto “spoofing”, una tecnica con cui i truffatori riescono a mascherare il numero di invio e fare in modo che sembri affidabile. L’aspetto più preoccupante di questa tecnica è che l’sms risulterà l’ultimo ricevuto dal numero reale, insieme ai messaggi “veri”.

Un esempio: molte persone ricevono SMS (veri) dalle Poste per vari servizi, come la prenotazione online o la modifica delle credenziali per siti o app. Un SMS truffa con numero mascherato può “fingere” di arrivare, per esempio, dalle Poste e venire così accodato nel tuo telefono sotto ai messaggi genuini. In questo modo è ancora più facile ingannare il ricevente, che vede un nuovo SMS in coda a SMS veri e verificati. La stessa cosa può accadere con moltissime altre aziende: servizi assicurativi, corrieri, negozi online ecc.


Nel caso di CiviBank, un recente attacco di smishing ha visto molte persone ricevere SMS a nome della banca. Le vittime erano sia clienti che non, a dimostrazione del fatto che i truffatori si procurano numeri di cellulare in parte casuali, per inviare lo stesso SMS truffa a tappeto. Purtroppo, in certi casi fanno centro: alcuni clienti CiviBank si sono visti questo SMS finire in coda agli SMS già ricevuti dalla banca, con il pericolo quindi di fidarsi e seguire le istruzioni dei truffatori.

Purtroppo le aziende non possono impedire che il loro nome venga usato per questi sms-truffa, poiché il messaggio non arriva da loro.

Se hai già ricevuto altri sms sicuri da CiviBank o da aziende come queste, è molto più probabile abbassare inconsapevolmente la guardia e cliccare su eventuali link ricevuti. E’ importantissimo quindi informarsi al meglio su come riconoscere lo smishing, per evitare di comunicare per errore i propri dati di accesso all’internet banking a malintenzionati.

 

1. Come riconoscere e difendersi dallo smishing: 8 buone regole da seguire

 

1. Mantieni alta l’attenzione quando leggi gli sms
Molti ormai sono consapevoli delle truffe via mail, e aprono mail sospette (o le mail in generale!) più raramente. Gli sms invece vengono aperti e letti nel 98% dei casi, e molte persone non si rendono conto che anche gli sms possono essere tentativi di truffa.


2. Non fidarti di un sms solo perché riconosci il mittente
Con lo spoofing, il truffatore può “infilare” il suo sms-truffa tra quelli arrivati davvero dalla tua banca. E’ l’equivalente di un truffatore che si presenta alla tua porta e sostiene di lavorare per un’azienda del settore gas e luce.


3. Fai attenzione a messaggi urgenti o allarmanti
I truffatori cercano di indurti alla fretta e ad agire senza pensare. Il testo dell’sms potrebbe fare riferimento ad accessi anomali al tuo conto, oppure ad utenze sospese o compromesse per motivi di sicurezza.


4. Fai attenzione agli errori di grammatica
A volte queste truffe presentano errori di sintassi, per cui fai attenzione a come sono scritti.

5. Prima di fare qualunque cosa, pensaci due volte
La prudenza non è mai troppa: se ricevi un messaggio allarmante, non agire d’impulso. Verifica, piuttosto, la veridicità del messaggio e contatta la tua filiale per chiedere maggiori informazioni.

6. Fai login dalla pagina che usi di solito
Se vuoi verificare che sia tutto a posto, puoi fare il login dalla pagina che usi di solito, senza cliccare sul link fornito nell’sms. Le pagine sicure sono precedute da un lucchetto e sono sempre precedute dalla sigla https:// (criptata e sicura, invece di http://).

7. Hai cliccato per errore sul link? Niente panico!
I link in questi sms di solito ti rimandano a una pagina di login, dove ti viene chiesto di inserire le tue credenziali. La pagina, ovviamente, è falsa, e le credenziali inserite vengono prontamente rubate dal truffatore.

8. Installa e mantieni aggiornato un antivirus anche sul tuo smartphone
Un antivirus ti può segnalare pericoli e pagine sospette se per errore o distrazione apri un link sospetto.

 

2. Un esempio pratico e una checklist anti-smishing

Questo esempio arriva da una campagna di smishing degli ultimi giorni. Analizziamolo:

esempio tentativo smishing

Checklist anti-smishing:
tono urgente/allarmante ✔️
“minaccia” alla sicurezza ✔️
invito ad aprire un link ✔️
invito a fornire dati personali (come password, codici di accesso e numero di telefono) ✔️
messaggio vago, che non fa riferimento a servizi/prodotti specifici* ✔️

*Perché il messaggio è vago?

Perché queste truffe sono su larga scala e “riciclate” usando molti alias di invio diversi. Uno stesso messaggio può finire a clienti di moltissime aziende diverse, quindi non può essere troppo specifico.

Ricevere un sms del genere produce un certo allarme, è perfettamente normale. E’ importante però non agire d’impulso e non cliccare su un link presi dalla fretta. I link potrebbero condurti a pagine che sembrano quelle ufficiali, ma sono in realtà opera dei truffatori, e potrebbero infettare con malware o virus il tuo dispositivo.

Se ricevi un sms del genere e pensi che arrivi dalla tua banca, puoi:

  • catturare una schermata ed inviarcela all’indirizzo info@civibank.it per aiutarci a valutare la situazione
  • cancellarlo subito senza inoltrarlo
  • accedere al tuo internet banking come faresti normalmente (quindi NON dal link fornito) e in caso di dubbio modificare la password

oppure

  • chiamare in filiale per verificare lo stato della tua utenza internet banking.

3. Approfondimento: che cos'è lo spoofing e come funziona

Lo spoofing è una tecnica con cui il malintenzionato “impersona” un utente affidabile. Nel caso specifico dello smishing, questo avviene attraverso piattaforme che permettono di modificare il nome del mittente dell’sms. Le piattaforme che inviano sms commerciali per conto di terzi, infatti, permettono di mascherare il numero di invio con un alias. Il telefono che riceve questi messaggi viene “ingannato” dall’alias, e raggruppa insieme tutti i messaggi dallo stesso alias.

Come fanno i frodatori a creare questi messaggi ?

Per un frodatore è purtroppo facile reperire numeri di telefono, indirizzi e nominativi. Il mercato nero offre gli elementi per correlare un numero di telefono ad una zona geografica.

Non si tratta di una situazione dovuta alle aziende coinvolte, poiché i truffatori usano il loro nome senza permesso, e non è possibile tracciarli né impedire loro di farlo.

L’unica difesa al momento è fare attenzione alle caratteristiche che ci segnalano che un sms è un tentativo di smishing.

 

Se pensi di aver ricevuto un messaggio, un file o una mail sospetta da qualcuno che si finge CiviBank, puoi segnalarlo alla nostra assistenza clienti.

 

CiviBank
CiviBank La banca per il NordEst dal 1886. Nel corso della nostra storia siamo diventati un punto di riferimento per il nostro territorio, portando avanti un modo di fare banca che contribuisce allo sviluppo economico, sociale e culturale della nostra comunità. Da oggi Società Benefit.
go to top