SMS TRUFFA: riconoscerli per evitarli

Il cybercrimine mirato ai cellulari si evolve come l’uso dei cellulari stessi.

Non di rado, si possono ricevere SMS che affermano di provenire dalla propria banca e che chiedono di comunicare informazioni personali o bancarie, come il numero di conto o della carta di credito. Ma come è possibile?

L’imitazione (o spoofing) è una tecnica attraverso cui i criminali sostituiscono il numero di telefono reale del mittente, usato nelle comunicazioni voce o via sms, con un numero falso, il più delle volte esattamente con un numero conosciuto e con il quale comunichiamo, ad esempio, con la nostra banca.

I truffatori vogliono sempre ottenere con l’inganno i dati personali delle vittime per poterli usare per rubare denaro. Spesso si fermano ai conti bancari o alle carte dei singoli, ma, a volte, sono in grado di arrivare anche alle società di cui le vittime fanno parte.

Una truffa via SMS si manifesta generalmente in tre fasi:

FASE 1: LA RACCOLTA DEI NOSTRI DATI

I cybercriminali hanno bisogno per prima cosa di riuscire ad entrare in contatto con noi tramite 2 elementi chiave:

1. il nostro nome
2. il numero di telefono

Questi dati vengono recuperati dai frodatori tramite i più svariati canali, molto spesso tramite i social.

FASE 2: L’INVIO DELL’SMS FALSO

Viene inviato un SMS, del tutto simile a quelli solitamente ricevuti dalla banca: stessa sintassi, stesso numero di telefono e invito a cliccare necessariamente un link per risolvere un problema urgente.

Il frodatore in questa fase non sa ancora che tu sei cliente di quella particolare Banca, ricaverà questa informazione dalla tua risposta.

Una volta che il link proposto dall’SMS viene cliccato, la navigazione porta ad un sito falso, in cui verranno richieste e raccolte le credenziali di accesso alla banca e, a volte, un numero di cellulare per un successivo contatto: si arriva così alla terza fase dell’attacco. 

FASE 3: LA CHIAMATA DA UN FALSO OPERATORE

Un falso operatore della banca, ci contatta direttamente e ci chiederà di confermare e leggere i codici SMS in arrivo. In questo momento la truffa si è concretizzata: abbiamo dato al criminale accesso al nostro conto corrente online che verrà riconfigurato su un nuovo numero di cellulare appartenente al truffatore e svuotato tramite bonifici, ricariche o altro.

Se pensi di aver risposto a un SMS di smishing fornendo i tuoi dati bancari, contatta immediatamente il numero verde dell’assistenza della tua banca.

Come il phishing, ossia le frodi tramite email, lo smishing è un reato di frode: si basa sull’ingannare la vittima facendo cliccare un link per fornire informazioni e il modo più semplice per proteggersi da questi attacchi è non fare nulla.

Finché non si risponde o non si esegue il comando del messaggio, un SMS dannoso non può innescare la frode. Basta ignorarlo ed eliminarlo e resterà innocuo.

In generale, una banca non ti chiederà mai con un SMS di aggiornare le informazioni del conto o di confermare il codice della tua carta di pagamento.

Ecco alcuni suggerimenti utili per tenere sempre alta la guardia:

• avvisi urgenti di blocco del conto o delle carte, di pagamenti urgenti o di vincite immeritate sono campanelli d’allarme per un tentativo di frode;
• se un messaggio sembra provenire dalla propria banca (o da un negozio o azienda nota) e viene chiesto di cliccare un link, è senza dubbio una truffa;
• mai cliccare un link o un numero di telefono presenti in un messaggio di cui non si è sicuri;
• se si hanno dei dubbi sul messaggio ricevuto, contattare il vero mittente cercando il numero ufficiale e verificare il contenuto;
• prestare attenzione ai numeri sospetti che non sembrano numeri di telefono reali: potrebbero essere collegati a servizi che inviano SMS direttamente dalle caselle email, spesso usati dai truffatori per evitare di fornire il loro reale numero di telefono;
• non conservare mai i dati bancari o della carta di credito sullo smartphone;
• denunciare sempre tutti i tentativi di frode subiti.

La maggior parte delle persone sa qualcosa sui rischi di frode che si possono nascondere nelle email, tuttavia, quando si tratta del cellulare è meno diffidente, poiché ritiene ad esempio lo smartphone più sicuro di un pc.

Inoltre, mentre i dispositivi Android restano il bersaglio principale dei malware, perché ve ne sono molti in circolazione e la piattaforma lascia maggiore flessibilità agli utenti (ma anche ai truffatori), le truffe via SMS non hanno limiti di piattaforma. Ciò espone gli utenti di iPhone e iPad a particolari rischi poiché spesso si sentono immuni agli attacchi.

Infine, l’utilizzo del telefono “in movimento”, facendo spesso altre cose contemporaneamente e di fretta, aumenta il livello di distrazione e quindi la possibilità di rispondere senza pensare quando si riceve, ad esempio, un SMS in cui vengono richiesti dati personali, bancari o di riscattare un buono.

In breve, false convinzioni, fretta e distrazione sono le principali esche attraverso cui i cybercriminali arrivano a truffarci.

L’articolo è di carattere divulgativo aggiornato alla data di pubblicazione. Per conoscere l’offerta della Banca consulta l’area Prodotti.

Messaggio pubblicitario con finalità promozionale. Per le condizioni contrattuali ed economiche si rinvia ai Fogli Informativi disponibili in Filiale e sul sito www.bancobpm.it.

Per l’emissione della carta di debito e della carta di credito la Banca si riserva la valutazione dei requisiti necessari alla concessione e dei massimali di spesa da assegnare alla stessa.”