Smishing: come difendersi dal phishing tramite SMS

7.2.2022

Gli attacchi di phishing “vocale” innescati da un SMS

La parola smishing significa truffa (phishing) effettuata tramite SMS: da qui il termine, che è una combinazione delle due parole.

L’obiettivo dei cybercriminali che adottano questa pratica è ottenere informazioni personali delle vittime per poterle utilizzare e rubare il loro denaro.
Solitamente, questa operazione avviene tramite un link inserito all’interno del testo dell’SMS truffa. Ma non solo: negli ultimi anni, infatti, si è verificata un’evoluzione nella modalità di attacco smishing.
In alcuni casi, i truffatori inviano un SMS segnalando anomalie o movimenti sospetti sui conti correnti bancari, senza includere alcun link (riconoscibile ormai come “sospetto” per molti utenti) al suo interno. Il messaggio SMS rappresenta solo un pretesto per “agganciare” la potenziale vittima, a cui fa seguito una telefonata diretta.

Tanti Servizi Digitali per la tua operatività

Come avviene un attacco di smishing “evoluto”?

Ecco un esempio di sequenza di attacco di smishing seguito da telefonata:

  1. La potenziale vittima riceve un SMS che segnala un’autorizzazione ad un pagamento dal proprio conto corrente.
  2. Il messaggio chiede di rispondere “SI” per autorizzare o “NO” per negare l’autorizzazione. La risposta più ragionevole (e di conseguenza, più probabile), è quella di rifiutare (rispondendo con “NO” all’SMS).
  3. La risposta innesca un primo step di comunicazione tra il cybercriminale e la potenziale vittima: pochi secondi dopo, infatti, il destinatario dell’SMS riceverà una telefonata.
  4. Quando la potenziale vittima risponde, la persona al telefono si presenta presumibilmente come un addetto del dipartimento frodi e, con la scusa di intervenire per bloccare il pagamento, cercherà di ottenere dal suo interlocutore le informazioni che tipicamente sono ricercate durante gli attacchi di phishing (utenza, password, codici di autorizzazione).

Cosa fare quando si ricevono comunicazioni sospette?

Innanzitutto, è bene sapere che la banca non invia mai questa tipologia di SMS.

In caso di telefonata sospetta, è necessario interrompere immediatamente la comunicazione e chiamare il numero del call center della banca, per verificare la legittimità della chiamata e, in ogni caso, per segnalare quanto accaduto.

Banco bpm
Tanti Servizi Digitali per la tua operatività

 

Messaggio pubblicitario a finalità promozionale. Per le condizioni contrattuali si rinvia ai fogli informativi e/o alla documentazione contrattuale disponibili sul sito www.bancobpm.it e presso le filiali della Banca. Per l’emissione della carta di debito e della carta di credito la Banca si riserva la valutazione dei requisiti necessari alla concessione e dei massimali di spesa da assegnare alla stessa.