Panda SecurityIl nuovo attacco sfrutta l’identità di Poste Italiane per derubare le vittime con la scusa di un pacco non consegnato.
Lo smishing, ovvero il phishing tramite SMS, è sempre più diffuso. I cybercriminali hanno scoperto che le persone abbassano la guardia quando ricevono un SMS, per cui ora concentrano i loro attacchi su questo canale. Lo dimostra l’ultima campagna di SMS truffa attiva in Italia. Che sembrano provenire dalle Poste Italiane e portano le vittime a fare clic su link fraudolenti o scaricare virus.
Perché queste truffe funzionano ancora? Come mai prendono di mira così spesso le Poste Italiane? E come si fa a riconoscere un messaggio ingannevole?
In questo post rispondiamo a queste domande e parliamo di smishing e truffe SMS. Buona lettura!
Lo smishing su Poste Italiane continua a funzionare perché sfrutta l’immagine delle Poste e le emozioni di base delle persone.
Che cos’è lo smishing
La parola smishing è la fusione di phishing e SMS, ovvero il phishing che utilizza come canale i messaggi di testo dei cellulari. Il phishing è un termine che descrive una categoria molto ampia di minacce informatiche, che possiamo riassumere come le truffe online con cui un cybercriminale inganna la vittima per rubarle denaro o dati personali, tipicamente tramite un sito falso o un virus.
I criminali hanno sempre prediletto le email, ma da qualche tempo hanno scoperto che gli SMS possono essere altrettanto redditizi ed efficaci per i loro scopi criminali. La principale caratteristica dei messaggi di testo, infatti, è che sono molto brevi e appaiono in anteprima sullo schermo del telefono, per cui hanno più probabilità di catturare l’attenzione della vittima.
Inoltre, per confezionare un’email ingannevole ben fatta è necessario progettarla con elementi grafici realistici e molte altre accortezze che in un messaggio di testo non sono necessarie, per cui il destinatario ha meno indizi per capire se si tratta di un messaggio legittimo.
LEGGI ANCHE: Phishing, vediamo un caso reale
La truffa delle Poste Italiane
L’ultima campagna utilizza un messaggio simile a molti attacchi del passato, in cui si dice che il postino non ha potuto consegnare un pacco e ha bisogno di confermare alcuni dati per sbloccare l’invio. Di seguito puoi vedere che aspetto ha il messaggio:
Se il destinatario fa clic sul link, viene indirizzato a una pagina fraudolenta che utilizza i colori e gli elementi grafici delle Poste Italiane, in cui si descrivono i passaggi dell’invio e il presunto errore che ha impedito la consegna del pacco (vedi sotto).
L’obiettivo è che la vittima faccia clic sul pulsante giallo “PIANIFICARE LA CONSEGNA”, che la porterà su un’altra pagina in cui dovrà inserire i propri dati personali e in cui le verrà chiesto di pagare una piccola commissione di 0,98 € per utilizzare il servizio. Nell’immagine di seguito, si vede la passerella della transazione online, che assomiglia molto a quella della maggior parte degli e-commerce.
A questo punto, se la vittima inserisce i dati e conferma il presunto pagamento, il cybercriminale riceverà i dettagli della carta di credito e li utilizzerà per drenare il conto della vittima.
Spesso, questi criminali agiscono con parsimonia, per non destare sospetti e rendere più difficile la rintracciabilità dei movimenti, ad esempio possono fare piccoli acquisti su Google Play o altre piattaforme che potrebbero sembrare legittimi.
Riconoscere lo smishing è facile, basta ricordare che è diffuso e prestare attenzione ad alcuni segnali quando riceviamo un messaggio sospetto.
Perché funziona lo smishing
Molte persone si chiedono perché queste truffe continuano a esistere e funzionare. Purtroppo, la risposta è semplice: sono efficaci perché fanno leva su emozioni e meccanismi psicologici di base. Ecco i motivi principali:
- Comunicano un senso di urgenza.
- Sfruttano la curiosità e talvolta l’avidità.
- Utilizzano gli SMS perché hanno poco contesto.
- Grazie all’intelligenza artificiale, i messaggi e i siti falsi sono più credibili.
- Sfruttano l’identità di Poste Italiane.
- I criminali sanno nascondere la propria identità.
Per tutti questi motivi, gli attacchi di smishing e phishing sono ancora molto efficaci. Solo nel terzo trimestre del 2023, gli attacchi di phishing sono aumentati del 173% rispetto al trimestre precedente.
Come riconoscere un SMS falso
Riconoscere lo smishing è facile, basta prestare attenzione ogni volta che riceviamo un messaggio sospetto.
Ecco i segnali a cui prestare attenzione:
- Numero di provenienza: se proviene da un prefisso estero sospetto.
- Errori stilistici e grammaticali.
- Senso di urgenza non giustificato.
- Richiesta di dati personali tramite link.
- Presenza di link brevi (tinyurl, bit.ly…).
- Link verso pagine non sicure (solo HTTP e non HTTPS).
Quando noti uno di questi segnali, devi alzare la guardia e procedere con cautela. Come regola generale, ti consigliamo di digitare manualmente l’indirizzo del sito invece di cliccare sul link.
Per approfondire le truffe SMS sulle Poste Italiane, puoi guardare il video ufficiale.
Altri modi per difendersi dagli SMS truffa
Come abbiamo visto, la nostra intelligenza è l’arma migliore contro le truffe online. Ma esistono anche strumenti utili:
Filtri intelligenti di operatori e smartphone.
Bloccare i numeri sospetti e segnalarli come spam.
Installare un antivirus che controlli in tempo reale gli URL.
Attivare le funzionalità di sicurezza avanzate del telefono.
Informarsi regolarmente sulle novità cybersecurity.
CONTINUA A LEGGERE: 9 consigli di sicurezza online per bambini
Buona navigazione e buona lotta contro lo smishing!
