Il nuovo attacco sfrutta l’identità di Poste Italiane per derubare le vittime con la scusa di un pacco non consegnato.

Lo smishing, ovvero il phishing tramite SMS, è sempre più diffuso. I cybercriminali hanno scoperto che le persone abbassano la guardia quando ricevono un SMS, per cui ora concentrano i loro attacchi su questo canale. Lo dimostra l’ultima campagna di SMS truffa attiva in Italia. Che sembrano provenire dalle Poste Italiane e portano le vittime a fare clic su link fraudolenti o scaricare virus.

Perché queste truffe funzionano ancora? Come mai prendono di mira così spesso le Poste Italiane? E come si fa a riconoscere un messaggio ingannevole?

In questo post rispondiamo a queste domande e parliamo di smishing e truffe SMS. Buona lettura!

Lo smishing su Poste Italiane continua a funzionare perché sfrutta l’immagine delle Poste e le emozioni di base delle persone.

Che cos’è lo smishing

La parola smishing è la fusione di phishing e SMS, ovvero il phishing che utilizza come canale i messaggi di testo dei cellulari. Il phishing è un termine che descrive una categoria molto ampia di minacce informatiche. Che possiamo riassumere come le truffe online con cui un cybercriminale inganna la vittima per rubarle denaro o dati personali. Tipicamente tramite un sito falso o un virus.

I criminali hanno sempre prediletto le email, ma da qualche tempo hanno scoperto che gli SMS possono essere altrettanto redditizi ed efficaci per i loro scopi criminali. La principale caratteristica dei messaggi di testo, infatti, è che sono molto brevi e appaiono in anteprima sullo schermo del telefono, per cui hanno più probabilità di catturare l’attenzione della vittima.

Inoltre, per confezionare un’email ingannevole ben fatta è necessario progettarla con elementi grafici realistici e molte altre accortezze che in un messaggio di testo non sono necessarie, per cui il destinatario ha meno indizi per capire se si tratta di un messaggio legittimo.

LEGGI ANCHE: Phishing, vediamo un caso reale

La truffa delle Poste Italiane

L’ultima campagna utilizza un messaggio simile a molti attacchi del passato, in cui si dice che il postino non ha potuto consegnare un pacco e ha bisogno di confermare alcuni dati per sbloccare l’invio. Di seguito puoi vedere che aspetto ha il messaggio:

Fonte: CSIRT, Agenzia per la Cybersicurezza Nazionale
Fonte: CSIRT, Agenzia per la Cybersicurezza Nazionale

Se il destinatario fa clic sul link, viene indirizzato a una pagina fraudolenta che utilizza i colori e gli elementi grafici delle Poste Italiane, in cui si descrivono i passaggi dell’invio e il presunto errore che ha impedito la consegna del pacco (vedi sotto).

Fonte: CSIRT, Agenzia per la Cybersicurezza Nazionale

L’obiettivo è che la vittima faccia clic sul pulsante giallo “PIANIFICARE LA CONSEGNA”, che la porterà su un’altra pagina in cui dovrà inserire i propri dati personali e in cui le verrà chiesto di pagare una piccola commissione di 0,98 € per utilizzare il servizio. Nell’immagine di seguito, si vede la passerella della transazione online, che assomiglia molto a quella della maggior parte degli e-commerce.

Fonte: CSIRT, Agenzia per la Cybersicurezza Nazionale
Fonte: CSIRT, Agenzia per la Cybersicurezza Nazionale

A questo punto, se la vittima inserisce i dati e conferma il presunto pagamento, il cybercriminale riceverà i dettagli della carta di credito e li utilizzerà per drenare il conto della vittima.

Spesso, questi criminali agiscono con parsimonia, per non destare sospetti e rendere più difficile la rintracciabilità dei movimenti, ad esempio possono fare piccoli acquisti su Google Play o altre piattaforme che, se la vittima dovesse vedere, potrebbero apparire come transazioni legittime per acquisti ricorrenti, come l’abbonamento a Spotify o un servizio di streaming.

Riconoscere lo smishing è facile, basta ricordare che è diffuso e prestare attenzione ad alcuni segnali quando riceviamo un messaggio sospetto.

Perché funziona lo smishing

Molte persone si chiedono perché queste truffe continuano a esistere e funzionare. Purtroppo, la risposta è semplice: sono efficaci perché fanno leva su emozioni e meccanismi psicologici di base delle persone. Ecco i motivi principali:

  • Comunicano un senso di urgenza, vuoi per un’opportunità da cogliere al volo, vuoi per un problema serio da risolvere rapidamente.
  • Sfruttano la curiosità e a volte anche l’avidità delle persone, come nel caso di questa truffa, in cui molte vittime fanno clic anche se sanno di non dover ricevere nessun pacco.
  • Utilizzano gli SMS perché hanno poco contesto e convogliano rapidamente il destinatario nel flusso di messaggi della truffa.
  • Grazie all’intelligenza artificiale, i messaggi di smishing e i siti falsi sono fatti meglio e le persone fanno difficoltà a riconoscerli.
  • Sfruttano l’identità di Poste Italiane, che raccoglie l’eredità dell’antico servizio pubblico e fa parte della cultura italiana quanto la RAI o la pasta Barilla, per cui le vittime sono più propense ad abbassare la guardia.
  • I criminali utilizzano vari metodi per nascondere la propria identità e rendere quasi impossibile il tracciamento delle operazioni fraudolente.

Per tutti questi motivi, gli attacchi di smishing e phishing in generale sono ancora molto efficaci e non stupisce che solo nel terzo trimestre del 2023 (il periodo più recente di cui si hanno dati) gli attacchi di phishing siano aumentati del 173% rispetto al trimestre anteriore.

Come riconoscere un SMS falso

Fino a qui le cattive notizie, che non sono poche, ma ora passiamo a quella buona: riconoscere lo smishing è facile, basta ricordare che è diffuso e prestare attenzione ogni volta che riceviamo un messaggio sospetto.

Ecco i segnali a cui prestare attenzione:

  • Numero di provenienza. Ad esempio, in questo attacco gli SMS provengono da un numero che inizia con +63, il prefisso internazionale delle Filippine. Per cui è impossibile che si tratti di un servizio di un’azienda con sede in Italia come le Poste Italiane.
  • Il testo contiene errori stilistici e grammaticali. Nel caso di questa campagna, l’SMS è scritto abbastanza bene (contiene solo un errore, ovvero la prima lettera è minuscola). Ma le pagine web sono piene di errori ed elementi che normalmente non troveremmo su internet, come il pulsante giallo largo quanto la pagina, testi con uno stile quasi colloquiale e frasi sgrammaticate.
  • I messaggi di phishing comunicano sempre un senso di urgenza, cosa che le aziende serie non fanno, un po’ perché non è necessario e un po’ perché andrebbe contro le loro strategie di comunicazione e marketing.
  • Gli SMS truffa portano sempre su un sito in cui viene chiesto di inserire dati personali. Anche questo comportamento deve farci subito pensare a una truffa. Perché le aziende legittime come Poste Italiane hanno già i nostri dati e non chiedono mai di confermarli online, proprio per motivi di sicurezza.
  • Spesso usano link brevi, come questo SMS falso in cui vediamo che il link contiene la dicitura tinyurl, uno dei nomi dei servizi che consentono di abbreviare l’indirizzo web completo per visualizzarlo più facilmente e in spazi ristretti, ma soprattutto senza mostrare l’indirizzo reale.
  • I link indirizzano a pagine non sicure, che iniziano con il prefisso HTTP e non HTTPS. Questo significa che la pagina non utilizza il protocollo di sicurezza SSL e il relativo certificato di sicurezza, cosa che un’azienda come Poste Italiane non farebbe mai. Inoltre, come norma generale, non dobbiamo mai inserire dati personali né fare acquisti su siti il cui indirizzo inizia con HTTP, perché non sono protetti.

Questi sono gli indizi più chiari di un attacco di phishing o smishing. Quando noti una di queste caratteristiche, devi subito alzare la guardia e procedere con cautela. Come seconda cosa, se vuoi informarti meglio, ti consigliamo sempre di digitare personalmente l’indirizzo del sito invece di cliccare sul link. Se il messaggio è legittimo, troverai una notifica nell’account e potrai seguire i passaggi richiesti.

Infine, per approfondire le truffe SMS che prendono di mira le Poste Italiane, puoi guardare il breve video che hanno pubblicato sul sito.

Altri modi per difendersi dagli SMS truffa

Come abbiamo visto, la nostra intelligenza e l’arma migliore contro le truffe online. In aggiunta, abbiamo altri strumenti di cybersecurity che ci aiutano a combattere questo tipo di attacchi.

Parliamo innanzitutto dei filtri intelligenti degli operatori telefonici e degli smartphone, che si basano su grandi database e che in questione di secondi notano somiglianze tra un messaggio o un numero sospetto e quelli fraudolenti già conosciuti.

Per lo stesso motivo, è importante bloccare questi numeri e segnalarli come spam o phishing, affinché vengano aggiunti agli elenchi per potenziare i filtri.

Poi, è utile installare un antivirus che controlli in tempo reale gli URL del browser e blocchi le connessioni a siti pericolosi.

Inoltre, telefoni, browser e altri dispositivi hanno spesso funzionalità di sicurezza avanzate, che ti consigliamo di attivare e configurare in base alle tue esigenze.

Infine, è importante informarsi regolarmente sulle novità della cybersecurity, come nel caso di questo post, per conoscere le truffe e le minacce digitali del momento e sapere come difendersi.

CONTINUA A LEGGERE: 9 consigli di sicurezza online per bambini

Buona navigazione e buona lotta contro lo smishing!