L’attacco combinato SMS-telefonata che innesca operazioni illecite

Il panorama delle frodi digitali è vasto e in continua evoluzione, e in questo scenario i criminali non si affidano più a un solo metodo. La nuova frontiera della truffa bancaria è l’attacco combinato, una strategia sofisticata che fonde due tecniche note, lo Smishing e il Vishing, in un unico, letale schema. Questa evoluzione del social engineering è particolarmente insidiosa perché non si limita a un link malevolo o a una chiamata sospetta; crea una narrazione coerente che manipola la vittima attraverso la paura, l’urgenza e l’autorità fittizia.

La maggior parte delle persone ha imparato a diffidare degli SMS inattesi che chiedono di cliccare su link sospetti (Smishing). Allo stesso modo, molti sono a conoscenza delle chiamate da finti operatori bancari (Vishing). La vera forza dell’attacco combinato sta nella loro sinergia. I due schemi sono usati insieme per massimizzare l’efficacia: il messaggio crea l’allarme, la telefonata “risolve il problema”.

Questa combinazione colpisce la vittima in due fasi psicologiche distinte:

1. Fase 1 (Lo shock): L’SMS inatteso genera un picco di adrenalina e paura. La vittima, vedendo il conto “bloccato”, entra in uno stato di allerta e ansia.
2. Fase 2 (Il sollievo): La telefonata che segue quasi immediatamente appare come un’ancora di salvezza. L’operatore “gentile” e “professionale” si offre di risolvere proprio quel problema che ha appena spaventato la vittima, abbassando drasticamente le sue difese.

È questa manipolazione emotiva a due stadi che rende l’attacco combinato incredibilmente efficace.

Per difendersi, è necessario analizzare i due componenti separatamente, comprendendo le loro caratteristiche uniche e i segnali di pericolo specifici di ciascuno.

Lo Smishing è una forma di phishing condotta tramite SMS o applicazioni di messaggistica. La frode inizia con un messaggio che sembra provenire da un soggetto affidabile, come la tua banca (ad esempio, Banco BPM). Questi messaggi contengono quasi sempre un link malevolo o un numero di telefono da chiamare. Cliccare sul link porta a una pagina web contraffatta progettata per rubare credenziali di accesso, codici OTP, o dati della carta di credito.

Il Vishing è l’evoluzione “vocale” del phishing. In questo caso, il truffatore utilizza la telefonia per ingannare la vittima. Segue la ricezione dell’SMS truffaldino, o a volte è la prima fase dell’attacco. Il truffatore chiama la vittima e si presenta come un soggetto autorevole, spesso un operatore del servizio clienti o della sicurezza bancaria. Il vishing si distingue per l’uso dell’interazione umana e della persuasione vocale, per guidare la vittima a compiere azioni dannose, come rivelare credenziali, autorizzare pagamenti o installare software malevolo.

Il successo di questa strategia risiede nella sua capacità di manipolare la psicologia umana attraverso fattori critici e simultanei.

• Urgenza e paura (conto bloccato, operazione sospetta): La paura è un potente inibitore del pensiero razionale. Quando un messaggio minaccia il blocco del conto o la perdita di denaro, la vittima tende ad agire d’impulso piuttosto che verificare l’informazione.
• Autorità apparente dell’interlocutore: I truffatori replicano i protocolli e il linguaggio dei veri operatori bancari, creando una falsa percezione di autorevolezza.
• Confusione generata da informazioni tecniche: Spiegando procedure complesse, l’operatore disorienta la vittima, che si affida completamente alla “guida” per risolvere il problema.
• Coerenza narrativa: L’SMS e la telefonata si confermano a vicenda, creando una storia che appare vera e coerente, molto più convincente di un singolo attacco isolato.

Segnali di allarme: come riconoscere l’attacco

Per identificare un tentativo di frode coordinato, occorre prestare attenzione a questi elementi critici:

1. Ricevi messaggi inattesi con toni allarmistici: Le banche e gli enti pubblici usano toni neutri e formali.
2. Viene chiesto di chiamare un numero o cliccare un Link: Le banche non usano mai SMS per chiederti di chiamare numeri non ufficiali o di cliccare su link per accedere alla tua area riservata.
3. L’Interlocutore chiede codici OTP, PIN o credenziali: Questo è il segnale più importante. Banco BPM non ti chiederà MAI via SMS o per telefono i tuoi codici di accesso, i codici OTP ricevuti via SMS o i codici di sicurezza della carta. Questi dati servono a te per autorizzare operazioni, non alla banca per “verificarle”.
4. La Chiamata spinge ad agire immediatamente: Se l’operatore ti mette fretta e non ti dà il tempo di pensare o verificare, è un segnale di truffa.

Se ricevi un SMS e una telefonata che corrispondono a questa descrizione, mantieni la calma e segui queste procedure di sicurezza:

• Non rispondere al messaggio né alla chiamata: Interrompi immediatamente ogni comunicazione.
• Non fornire dati personali o bancari: Mai dettare password o codici OTP a chi ti contatta inaspettatamente.
• Contatta direttamente la banca o l’ente tramite canali ufficiali: Chiama il numero verde della tua banca che trovi sul sito ufficiale o sul retro della tua carta.
• Segnalare l’SMS o la chiamata sospetta: Inoltra l’SMS al numero di segnalazione della tua banca e blocca i numeri.
• In caso di azioni già compiute, avvisare subito la banca: Se hai già rivelato dati o autorizzato un’operazione, contatta immediatamente il servizio clienti o la tua filiale.

Seguire queste semplici regole può azzerare il rischio di cadere vittima di smishing e vishing:

• Ricorda che banche e enti non chiedono mai codici o password: Questo è il principio cardine della sicurezza bancaria digitale.
• Non fidarsi del numero visualizzato (può essere falsificato): I truffatori possono camuffare il loro numero per far apparire quello vero della tua banca.
• Attivare notifiche di sicurezza per le operazioni: Configura la tua app bancaria per ricevere notifiche push o SMS per ogni operazione (bonifici, pagamenti con carta).
• Prendersi tempo: fermarsi è spesso la miglior difesa. Di fronte a una richiesta urgente, il tuo tempo è lo strumento più potente. Fermati, respira e fai una verifica.

Smishing e vishing sono frodi semplici nella loro esecuzione tecnica ma straordinariamente efficaci perché colpiscono di sorpresa. Dubbi, verifiche e sangue freddo sono i tuoi strumenti migliori. Ricorda che la tua sicurezza bancaria è un percorso condiviso: Banco BPM mette a disposizione i migliori sistemi di protezione, ma il controllo finale è sempre nelle tue mani.

L’articolo è di carattere divulgativo aggiornato alla data di pubblicazione. Per conoscere l’offerta della Banca consulta l’area Prodotti.

“Messaggio pubblicitario con finalità promozionale. Per le condizioni contrattuali si rinvia ai fogli informativi e/o alla documentazione contrattuale disponibili sul sito www.bancobpm.it e presso le filiali della Banca. Per l’emissione della carta di debito e della carta di credito la Banca si riserva la valutazione dei requisiti necessari alla concessione e dei massimali di spesa da assegnare alla stessa.”