Truffe informatiche, cos’è lo «smishing»: i rischi e come evitare di cadere nella trappola
«Il tuo pacco è stato consegnato, clicca qui per sapere dove ritirarlo». In questi giorni di shopping natalizio, molte persone hanno ricevuto messaggi simili sul cellulare o per mail. Si tratta però di comunicazioni false dietro cui si nascondono truffe informatiche spesso attuate da gruppi organizzati di cybercriminali. «Questo fenomeno è noto come Smishing», spiega Pierguido Iezzi, ceo di Swascan, parte del gruppo Tinexta. «È una forma di truffa che sfrutta messaggi Sms per ingannare le persone al fine di ottenere informazioni personali o finanziarie». I messaggi invitano infatti la vittima a cliccare su un link o a rispondere con informazioni sensibili, come username, password o dati della carta di credito, sotto la falsa premessa di risolvere un problema o ottenere un beneficio. Ovviamente l’obiettivo è in realtà sottrarre questi dati e utilizzarli per furti o altre attività fraudolente.
Un esempio di Smishing
Le dimensioni dello Smishing
Le dimensioni dello Smishing sono significative e sono cresciute notevolmente dopo la pandemia da Covid-19. «La tecnica del Sms sta prendendo sempre più piede perché è più rapida e coglie spesso l’utente impreparato», rimarca Iezzi, «la nostra soglia di attenzione tende a essere più bassa quando utilizziamo lo smartphone rispetto a quando siamo davanti al computer. Secondo uno studio di due società americane (SlashNext e Kaitlyn Orred), così, circa il 39% di tutte le campagne di phishing tracciate nel 2023 erano consegnate tramite sms. Nonostante non siano disponibili ancora dati europei, quelli raccolti negli Stati Uniti possono dare un’idea delle dimensioni assunte dal fenomeno: ogni giorno vengono inviati oltre 415 milioni di messaggi di spam, ossia quasi tre miliardi alla settimana o oltre 288 mila al minuto.
Nel periodo delle festività natalizie, ovviamente, vanno per la maggiore gli sms riguardanti pacchetti in consegna, da ritirare oppure che «non è stato possibile recapitare». La vittima riceve un sms da un attore che sta impersonando un corriere o un operatore postale. Il messaggio solitamente contiene un link che indirizza a una pagina dove i criminali informatici hanno preparato un modulo ad hoc per sottrarre dati sensibili o credenziali alla vittima. La Polizia Postale ha rilasciato delle linee guida universali per evitare di finire nella tela del ragno: verificare lo stato della spedizione esclusivamente attraverso il sito su cui è stato effettuato l’ordine e, nel caso di dubbi,contattare il servizio clienti; se si è sicuri di non aver effettuato alcun ordine, ignorare il messaggio ricevuto e cancellarlo perché potrebbe trattarsi di un tentativo di phishing; in ogni caso, non inserire mai dati personali e bancari. A ciò, spiega il ceo di Swascan, «andrebbe affiancata una capillare attività di formazione e di evangelizzazione del cittadino da parte delle autorità: la pandemia ha accelerato la digitalizzazione di persone anche della terza e quarta età, ma a ciò non si è accompagnata un’altrettanto celere opera di sensibilizzazione ed educazione all’utilizzo di strumenti che aumentano la superficie di rischio informatico perché collegano l’utente potenzialmente con il mondo».
Un altro esempio di Smishing
La truffa «Ciao Mamma»
Se il periodo natalizio è ovviamente propizio per le truffe sulle spedizioni, ciò non significa che il fenomeno smishing si limiti a questo. Ovviamente i Criminal Hacker puntano anche ai conti corrente. Per questo prendono spesso di mira anche i consumatori andando a imitare banche o istituiti di credito. Qui il livello di pericolosità dell’attacco è commisurato all’abilità dell’attaccante. A volte, cercano unicamente di sottrarre credenziali. Altre volte esistono campagne più complesse e multistrato. Per esempio, il cliente riceve un messaggio sul suo telefono da un numero identico a quello della banca, avvisando di un presunto accesso anomalo e invitando a cliccare su un link. Inserendo così il codice utente e il pin, l’utente è ingannato. Successivamente, un presunto operatore bancario chiama per “bloccare” le operazioni, ma in realtà le sblocca, ottenendo così accesso al conto corrente. A questo si aggiunge, un’altra tecnica, relativamente più nuova. Soprannominata “ciao Mamma”, questa coinvolge un truffatore che si fa passare per un amico o un parente della vittima. Entrano in contatto su WhatsApp o un’altra piattaforma di messaggistica e guadagnano la fiducia del bersaglio prima di chiedere denaro, solitamente da versare su account di pagamento online.
L’ombra della criminalità organizzata
Benché, prese singolarmente, queste truffe appaiano di piccolo cabotaggio, la loro attuazione è spesso opera di grandi organizzazioni criminali. Una campagna di Smishing ben orchestrata consente infatti di realizzare profitti milionari e quelle sinora osservate, perlomeno per la padronanza di linguaggio dimostrata, fanno presagire il coinvolgimento di attori italiani. Ci sono del resto dei precedenti: nel 2021 e 22 un’ampia rete di criminali informatici legati alla mafia ha compiuto frodi per circa 10 milioni di euro mediante attacchi di phishing e smishing. «La criminalità organizzata - conclude Iezzi - ha una spiccata attitudine al cambiamento e una straordinaria abilità nello sfruttare ogni progresso tecnologico per creare nuove, fruttuose attività illecite. Le mafie di vecchio e nuovo conio - dalla ‘ndrangheta ai narcos messicani fino ai sodalizi criminali cinesi e nigeriani - cavalcano l’onda dell’innovazione implementando sofisticate strategie cyber antesignane del futuro. Mentre la società fatica ad adeguarsi alla rivoluzione digitale, le agguerrite organizzazioni malavitose hanno già colonizzato questa nuova dimensione globale traendone profitti miliardari. I gruppi criminali internazionali come la ‘ndrangheta, la mafia nigeriana Black Axe e sindacati cinesi gestiscono ormai interi imperi digitali basati su frodi fintech, furto di dati, riciclaggio di criptovalute, attacchi ransomware e persino la compravendita di esseri umani nel dark web».
