La parola "phishing" è ormai entrata nel nostro vocabolario ed è nota ai più. Almeno a coloro che usano molto Internet, navigano sul Web e fanno un uso massiccio della posta elettronica, che è proprio il mezzo più usato per fare phishing. Per chi invece ancora non lo sapesse, il phishing è uno delle tante truffe online in cui è possibile incappare: la parola significa, letteralmente, "andare a pesca" perché in effetti chi fa phishing getta un amo sperando che qualcuno abbocchi.
Nel caso del phishing via email, ad esempio, la procedura classica prevede l'invio massiccio di messaggi di posta elettronica in cui si invita l'utente a visitare una pagina Web attraverso la quale gli vengono rubati il maggior numero possibile di dati personali. Di solito si tratta di una pagina contraffatta, che riporta i loghi e la grafica di un social network o di una banca online, e il messaggio inviato all'utente lo invita a visitare la pagina perché "è necessario confermare i propri dati". Le varianti di messaggio, comunque, sono migliaia.
Le tattiche e tecniche di truffe telematiche, però, sono in continua evoluzione. E, visto che gli utenti web sono diventati sempre più accorti, i cyber truffatori ora preferiscono optare per un altro mezzo di comunicazione: gli SMS. La tecnica utilizzata è, a grandi linee, la stessa, ma per alcuni versi, sembra essere più efficacie delle truffe via email. Scopriamo perché.
Come funziona lo smishing
Poiché ormai gli utenti abboccano sempre meno spesso alle email di phishing e poiché i filtri antispam delle caselle di posta elettronica sono sempre più efficaci nel bloccarle, è nato lo smishing. Consiste nell'inviare un SMS a migliaia di numeri telefonici, ancora una volta sperando che qualcuno abbocchi.
Il messaggio SMS ha toni simili alle email già descritte e ci invita a visitare una pagina per confermare (tradotto: regalare agli hacker) i nostri dati personali o persino quelli bancari. Uno dei casi più clamorosi di smishing visti in Italia, ad esempio, è quello ai danni degli utenti di Poste Italiane e Banco Posta. Il messaggio SMS è camuffato e sembra provenire realmente da Poste Italiane, ma in realtà è falso. Come è falso il sito sul quale veniamo spediti seguendo il link incluso nell'SMS.
Questa truffa è molto ben congeniata, perché una variante dell'SMS invece del link ci mostra un fantomatico numero dell'assistenza clienti di Poste Italiane da chiamare per confermare i nostri dati. In realtà dall'altra parte c'è un call center all'estero e un operatore (che non è affatto di Poste Italiane) che ci chiederà i dati del nostro conto corrente postale. Altre varianti di smishing, sia in Italia che all'estero, si basano tutte su questo schema o su sue sottili varianti.
Un altro caso entrato nella storia dello smishing è quello dei test gratuiti e dei contributi per il nuovo Coronavirus. Durante la pandemia di Covid-19 la Federal Communications Commission americana ha lanciato l'allarme invitando i cittadini a non rispondere ai messaggi SMS in cui si offrivano test kit gratuiti. Altri messaggi offrivano invece contributi inesistenti da parte del Governo, addirittura con importi fino a 30 mila dollari.
Come difendersi dallo smishing
Se ci arriva un messaggio di smishing sul nostro numero di cellulare, vuol dire che lo avremo comunicato da qualche parte sul Web. La prima regola per difendersi dallo smishing, quindi, è prevenirlo evitando di compilare form in cui ci viene chiesto il numero di telefono senza un reale motivo.
Se però l'SMS truffaldino lo riceviamo, ci sono modi per tutelarsi: innanzitutto dobbiamo evitare di fare ciò che ci viene richiesto, ad esempio non dobbiamo mai aprire un link inserito in un SMS se non siamo più che certi che il mittente sia reale. Chiari segni di inattendibilità del mittente sono gli errori di grammatica, l'uso di espressioni colloquiale come "Ciao amico" e simili, l'impossibilità di leggere il numero di telefono perché è mascherato.
Se proprio non riusciamo ad essere sicuri del mittente, almeno possiamo contattare chi afferma di essere: se il messaggio arriva da Poste Italiane, quindi, chiamiamo il servizio assistenza di Posta Italiane cercando il numero ufficiale sul sito ufficiale. Solo così potremo parlare con un operatore che è certamente di Poste Italiane e ci saprà dire se il messaggio che abbiamo ricevuto è legittimo o truffaldino.
Come bloccare i messaggi truffa su Android e iOS
Una volta che abbiamo individuato un numero di telefono dal quale vengono inviati messaggi di smishing truffaldini possiamo bloccare il singolo numero di telefono agendo su alcune impostazioni del sistema operativo. Purtroppo, senza ricorrere ad app di terze parti, non è possibile bloccare preventivamente tutti i messaggi SMS da tutti i numeri sospetti.
Per bloccare il singolo numero di telefono su Android dobbiamo andare sul messaggio, toccare i tre puntini accanto al numero di telefono da cui proviene e scegliere "Blocca e segnala spam". Poi dobbiamo scegliere se bloccare e basta o anche segnalare a Google il numero di telefono e confermare la nostra scelta.
Per bloccare il singolo numero di telefono su iOS, invece, dobbiamo entrare nell'app Messaggi e nella conversazione con l'SMS truffaldino. Qui dobbiamo toccare il numero o il nome del mittente e fare tap sulla "i" in altro a destra. Poi dobbiamo visualizzare la scheda del contatto, scorrere verso il basso e scegliere "Blocca contatto".
Se invece vogliamo usare app di terze parti, abbiamo a disposizione strumenti più potenti. Queste app si basano di solito su liste costantemente aggiornate di numeri di telefono e contatti dai quali partono chiamate spam, messaggi di smishing e altre possibili minacce. La più famosa è Truecaller, ma altre buone alternative sono Whoscall, Showcaller, Hiya, CallApp. Il consiglio, trattandosi di app internazionali, è quello di provarne più di una perché per ogni Paese ci sono liste diverse su ognuna delle app menzionate. E poiché queste liste sono in costante aggiornamento, l'app migliore dell'anno scorso potrebbe non esserlo più l'anno prossimo.
I messaggi certificati di Google
In futuro lo smishing potrebbe essere mitigato parecchio, se non del tutto stroncato, da una recente novità di Google: gli SMS verificati. Si tratta di un sistema di registrazione delle aziende in un database di Google, con l'assegnazione di un codice di autenticità che accompagnerà poi ogni messaggio proveniente da quella azienda. In questo modo Google potrà garantire l'autenticità del mittente.
Questo sistema non è ancora stato messo del tutto a punto ed è in fase di test. In più usa il protocollo Rich Communication Services (RCS), che non è ancora lo standard adottato dagli operatori telefonici. Ci vorrà quindi del tempo prima di poter avere la certezza dell'autenticità del mittente degli SMS e, nel frattempo, dovremo tutti continuare a prestare la massima attenzione ai tentativi di smishing.
Per approfondire l'argomento smishing e le tematiche relative a come proteggersi dalle minacce alla sicurezza in rete scarica gratis il nostro ebook!