Smishing, l’evoluzione del phishing. Quali sono i trucchi e le fasi dell’attacco. Come riconoscerlo e come difendersi
Torniamo ad approfondire la tematica delle truffe online, per informare e formare utenti, fans e clienti: acquistare in internet è sicuro e semplice, ma – come in uno store fisico – bisogna sempre utilizzare buon senso e prudenza. E la prudenza vuole che si faccia attenzione alla nuova frontiera del phishing, ovvero lo smishing.
Si tratta di un semplicissimo e pericolossisimo furto di dati personali fatta attraverso l’uso degli sms o di applicazioni cosiddette “malevole” sugli smartphone. Nel caso del software, spesso si tratta di un’applicazione che “simula” la ricezione di un sms. Infatti, il nome smishing deriva dall’unione delle parole sms e phishing, dove l’ultimo termine indica la “pesca” dei dati.
Peraltro, negli ultimi anni è stata riscontrata una falla “write-sms“, quasi invisibile, su Android: il malware non ha bisogno di ricevere alcuna autorizzazione da parte del proprietario di uno smartphone. Tuttavia, e per fortuna, Google ha tamponato questa falla: prevede di rilasciare un aggiornamento per chiudere la breccia nella sicurezza.
Come si sviluppa un attacco di smishing? L’attacco inizia con l’arrivo di un sms oppure con l’installazione sullo smartphone di un’applicazione software malevolo, in grado di simulare la ricezione di un sms. I messaggi ricevuti, ad esempio, contengono la richiesta di cliccare su un link e, quindi, di raggiungere una pagina web.
Per trarre in inganno la preda, si sfruttano meccanismi psicologici, come l’urgenza o la possibilità di ottenere un vantaggio personale. La trappola scatta quando l’utente, dopo aver cliccato sui link, approda in siti online artefatti che chiedono l’inserimento di dati personali. Ed è in questo momento che le informazioni personali sono sottratte dai cybercriminali, tramite il tradizionale metodo del phishing (leggi anche «Phishing, la minaccia più conosciuta miete sempre più vittime»).
Come puoi difenderti dallo smishing? La difesa, peraltro, è molto semplice: basta semplicemente non rispondere mai a SMS che:
– offrono immagini, giochi, suonerie da scaricare;
– chiedono l’inserimento di dati riservati come il nome utente e la password, il codice per le operazioni dispositive di BancoPostaonline, i codici delle carte di pagamento o altre informazioni personali;
– invitano a collegarsi a siti web o anche al sito di Poste Italiane o di Poste Mobile, per verificare i propri dati o le transazioni della carta di credito o del conto online.
E se per errore sei caduto nella rete del truffatore? É necessario e urgente cambiare subito la password di accesso ai servizi personali. Non dimenticare, però, di essere sempre molto prudente.