Torna lo smishing: quando la truffa corre via sms

Con una certa ciclicità i criminali informatici cambiano il mezzo con cui perpetrano gli attacchi ma, in fondo, la sostanza rimane sempre quella. Non è la prima volta che l’Italia diventa preda dello smishing, la Polizia di Stato aveva già fatto una campagna di sensibilizzazione nel 2020.

Occorre fare attenzione agli Sms, il mezzo di trasmissione dello smishing, non farsi prendere dall’ansia e riflettere una manciata di minuti prima di agire, a prescindere dal tenore del messaggino.

Inoltre, come vedremo, chi cade nei tranelli dei cyber criminali, potrebbe non essere rimborsato delle somme sottratte.

Cos’è lo smishing

La parola smishing viene da Sms e da phishing, una tecnica fraudolenta con cui i cyber criminali cercano di impossessarsi di informazioni private. Nella sua forma originale, il phishing usa le email come mezzo di trasmissione. La vittima riceve una comunicazione da una fonte che sembra attendibile e quindi si fida. Per esempio, una persona riceve una email da un mittente noto – il proprio consulente bancario – nella quale gli viene comunicato che il conto corrente a lui intestato potrebbe venire chiuso a causa di un problema e che è quindi necessario spostare i fondi su un altro conto.

Nello smishing tutto ciò avviene via Sms, i messaggini telefonici. Anche in questo caso il mittente sembra essere noto, sia questo una banca, un istituto di assicurazioni e financo la Pubblica amministrazione. In realtà si tratta di una simulazione, il messaggio è inviato da cyber criminali.

Anche nel caso dello smishing, la vittima può essere oggetto di una frode finanziaria e persino di un furto di identità.

A partire dalla fine del mese di agosto è stata registrata un’attività intensa di smishing in diversi Paesi, tra i quali l’Italia, oltre agli Usa e al Regno unito.

Cosa fare se si riceve un Sms

La risposta breve è: nulla. L’argomentazione è un po’ più complessa e comincia con il fatto che nessun istituto (sia questo privato o pubblico) invia Sms chiedendo di seguire istruzioni specifiche oppure chiedendo di versare denaro.

Anche se il tema del messaggino è allarmante e richiede un’azione rapida per scongiurare un disguido imminente, è necessario non rispondere e non fare nulla di quanto richiesto, tantomeno cliccare su eventuali link riportati nel messaggio.

Nel dubbio si può sempre telefonare al mittente reale e chiedere che certifichi l’autenticità del messaggio ricevuto. La telefonata va fatta componendo il numero del mittente e non utilizzando il numero dal quale proviene l’Sms.

La questione dei rimborsi alle vittime

Lo scorso mese di aprile, la Cassazione ha sollevato una banca dall’obbligo di rifondere un cliente vittima di phishing e questo, per quanto possa sembrare iniquo, in realtà ha una logica: per concludere una transazione, chi la dispone deve inserire diversi codici che ne determinano l’autorizzazione.

Questo solleva gli istituti di credito da responsabilità perché, se una persona certifica la bontà dell’operazione bancaria inserendo tali codici, ha aperto le porte ai cyber criminali, anche se ignara di ciò che in realtà stava facendo.