Che cos’è lo smishing e come fare per proteggersi

Hai vinto un iPhone e dovresti visitare quel sito che ti hanno mandato via SMS senza che tu abbia mai partecipato a un concorso? Mh, forse no. È SMShing!

Apriamo il 2021 con alcune informazioni di vitale importanza per la sicurezza del tuo sito web, delle informazioni dei tuoi dispositivi e, prima ancora, del tuo smartphone. Da questo piccolo strumento passano ogni giorno centinaia, se non migliaia, di informazioni sensibili che possono essere a rischio d’attacco o intromissione di certi malintenzionati digitali.

Quante volte hai ricevuto un SMS di dubbia provenienza, o con un mittente che ha l’aria di essere attendibile, che ti chiede di fare qualcosa come:

  • Cliccare su un link;
  • Inserire una password di punto in bianco;
  • Fornire informazioni personali o finanziarie;
  • Altre comunicazioni fuori dalla norma che, di solito, non riceveresti mai via SMS;
  • Approvazioni di pagamenti che non hai mai effettuato;

Si tratta di circostanze che, purtroppo, avvengono sempre più di frequente, e ci fanno domandare quanto della decantata sicurezza degli smartphone sia davvero reale. Nel momento in cui rispondi a uno di questi SMS, praticamente, stai dando le tue chiavi di casa con targhetta comprensiva di indirizzo a un perfetto sconosciuto. Praticamente, puoi solo aspettare che vengano a svaligiarti.

Questo fenomeno subdolo e sempre più diffuso è lo smishing (se lo riesci a pronunciare vinci un premio), ovvero l’unione di SMS e phishing. La classica truffa telematica. Il criminale digitale che fa phishing invia e-mail truffaldine dove cerca di indirizzarti a un allegato pieno così di malware o a siti non ufficiali che sono pronti ad aspirare tutti i dati che avrai intenzione di fornire loro, credendo di starli dando a un sito in buona fede. La base del phishing è l’inganno: le persone credono di avere a che fare con un progetto reale, o magari con un servizio di cui usufruiscono abitualmente (la loro Banca, la Posta, altro) – ma invece hanno davanti una copia malintenzionata dell’originale che sa benissimo di avere cattive intenzioni.

L’smshing non è tanto diverso: invece della mail, ricevi un SMS. Penserai che sia uno strumento ormai quasi preistorico, lo short message service. E invece capita spesso che l’autenticazione o l’accesso al proprio Home Banking passi proprio di lì, con un codice da inserire al momento in cui compare a terminale la richiesta.

Che cosa succede se l’SMS ti arriva lo stesso, ma tu non stai assolutamente accedendo al tuo servizio di home banking? Ecco, probabilmente sei vittima di phising da SMS.

La mente criminale dietro lo smshing

Mandare e ricevere SMS è un’attività piuttosto in disuso, e forse per questo presa un po’ sottogamba dagli utenti regolari e tradizionali. Molte persone hanno un’infarinatura generale di come maneggiare la posta elettronica, strumento assai più “pericoloso”, e si sono fatti indottrinare dai loro figli nativi digitali (o magari, semplicemente, si sono informati da soli) per ottenere un grado di sicurezza accettabile nel momento in cui manipolano le loro email. Sanno che se “Poste Italiane” non è scritto in un certo modo nella barra dell’indirizzo, probabilmente è una email di SCAM. Ancora più sospette sono le mail che contengono cose tipo “EHI, guarda questo link fantastico, non crederai mai ai tuoi occhi!” Quello che però spaventa a morte – perché fa parte di un antico retaggio ormai semidimenticato – è l’SMS.

L’uso dello smartphone ci rende ingiustamente meno diffidenti. Si vive nella pia convinzione che gli smartphone siano più sicuri dei laptop, ma la sicurezza dei primi presenta alcune limitazioni che vanno tenute in considerazione quando si sceglie di effettuare un uso consapevole dei propri strumenti. Stiamo parlando, naturalmente, dello smshing.

Secondo alcune ricerche inglesi e americane, sempre più criminali digitali si dedicano alle truffe via smartphone, dove l’utente medio è assai più vulnerabile.

Cosa vuole una persona che fa smshing? Per farla breve, chi esegue questa pratica galeotta vuole ottenere i dati personali delle persone per rivederli, o appropriarsi dei suoi soldi sulle carte. Da una parte, lo smshing ti convince a scaricare malware, ovvero software cattivi, che si installano poi automaticamente sul telefono e diventano difficilissimi da togliere Questi programmini, di solito ben nascosti dietro a nomi innocenti e apparentemente innocui, ti inducono a digitare con serenità le tue solite password. Solo che stavolta qualcuno ti sta guardando mentre lo fai.

A volte, gli smshing ti arrivano sul telefono e ti invitano a visitare un link. Si tratta di siti fasulli, magari ricostruzioni credibili di siti che conosci bene, in cui ti viene chiesto di inserire informazioni personali importanti che poi ti verranno sottratte.

Come ci si protegge dallo smshing?

La conoscenza è la prima arma per proteggersi da questo strumento di truffa. E, pensa un po’, la cosa più saggia da fare quando stai ricevendo un SMS che non ti piace per niente… è non fare proprio niente. Queste truffe funzionano solo se l’utente è abbastanza ingenuo da cascarci e interagire con i link o gli strumenti forniti per “ottenere benefici”.

Hai vinto un iPhone e dovresti visitare quel sito che ti hanno mandato via SMS senza che tu abbia neanche mai partecipato a un concorso? Mh, forse no. Forse vogliono comprarselo loro l’iPhone, e con i tuoi soldi.

Ricordati che nessun istituto finanziario o commerciante ti invierà mai un SMS in cui ti viene richiesto di aggiornare le informazioni sul conto. Se ricevi un messaggio che sembra provenire da una fonte affidabile, non usare mai il link che hai davanti. Se sei in dubbio, telefona allo sportello non appena sarà aperto. Non toccare niente, non fare click sui numeri di telefono e non inviare messaggi a numeri sospetti che non sembrano veri.

Evita di conservare i dati del tuo conto bancario o della carta di credito sullo smartphone. In questo modo anche se dovessi contrarre un malware di quelli brutti, i tuoi dati saranno al sicuro.