Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

attacco smishing

L’sms si finge da Poste Italiane e vuole rubare dati bancari e soldi: come difendersi

Poste ha lanciato l’allarme. Sms che sembrano venire dalla banca chiedono di cliccare su un link per cambiare i dati di accesso per motivi di sicurezza. Si finisce su una pagina web che finge di essere quella di Poste ma è controllata dai truffatori; se l’utente fa login con i propri dati di accesso (nome utente, password, otp) ne subisce il furto. I truffatori possono usare i dati per sottrarre denaro dal conto. Ecco come difendersi da questo e altri attacchi simili (smishing, phishing)

29 Set 2019
V

Nicola Vanin

Data Governance & Information Security Senior Manager


Poste Italiane ha ricevuto numerose segnalazioni relative ad una delle truffe – via sms – on-line più diffuse: lo smishing.

Come funziona l’sms truffa che finge di venire da Poste Italiane

L’sms chiede di cambiare per sicurezza (“Gentile Cliente, ci sono problemi sul tuo conto…”) le credenziali del conto e di cliccare su un link, contenuto nello stesso sms, per farlo. Al link c’è una pagina web che finge di essere quella di Poste; se l’utente fa login con i propri dati di accesso (nome utente, password, otp) ne subisce il furto. I truffatori possono usare i dati per sottrarre denaro dal conto.

Come difendersi dagli sms truffa di (pseudo) Poste o altre banche

La stessa Poste sta diffondendo alcune raccomandazioni di difesa, alcune delle quali valgono contro ogni tipo di phishing bancario. Vediamole, insieme ad altri consigli che possiamo individuare.

  • In generale, non rispondere ai messaggi di testo di persone che non si conoscono, né cliccare sui link
  • Entrare nel sito di Poste digitandone direttamente l’indirizzo sul browser (è vero, i truffatori possono avere installato un malware che dirotta la nostra navigazione sul sito-truffa, ma non è così frequente e comunque non è il caso dell’ultimo attacco smishing).
  • Non divulgare il proprio numero di telefono sui social o altri canali, per ridurre il rischio che sia usato per mandare questi sms truffa; (i truffatori potrebbero anche riuscire a clonarlo, per intercettare l’sms otp di accesso al conto; la nuova Psd2 bandisce gli sms otp ma non tutte le banche si sono ancora adeguate)
  • Ricordarsi in generale che Poste, come le altre banche, non chiedono mai i dati di accesso; ne contattano il cliente via mail o sms per chiedergli di compiere azioni online di questo tipo (al solito si limitano a dare informazioni su cambi di contratto o sulla presenza di nuovi documenti online)
  • Nemmeno i corrieri o i negozi online possono mandare sms con link per scrivere le proprie credenziali (altro tipo di truffa in voga); mandano solo sms con il tracking del pacco
  • Non installare mai app dai messaggi di testo (sms). Tutte le app installate sul dispositivo devono provenire direttamente dall’app store ufficiale. Questi programmi hanno procedure di test vigorose da eseguire prima di essere autorizzati sul mercato.
  • Assicurarsi che il sistema operativo del tuo telefono sia aggiornato. Android e iOS vengono costantemente aggiornati con funzionalità di sicurezza avanzate. Sui modelli Android e iPhone, la pagina delle impostazioni del telefono dovrebbe indicare quale sistema stai utilizzando e se è disponibile un aggiornamento.

Con solo un po ‘di buon senso e cautela, ci si può assicurare di non diventare vittima di una frode smishing

Il codice breve degli sms truffa

Un’ultima nota: se hai ricevuto uno di questi messaggi truffa, potresti aver notato che il numero del mittente non viene sempre visualizzato come un numero di telefono completo di 10 cifre, ma può essere invece un numero da quattro a sei cifre.

Quel numero breve è chiamato “codice breve”. Ed è un dettaglio interessante, perché può aumentare le probabilità di convincere l’utente che si tratta di un messaggio ufficiale.

Numerose aziende legittime utilizzano codici brevi per una serie di motivi. Sono progettati per essere più facili da leggere e ricordare dei numeri di telefono e sono in genere univoci per le aziende che li utilizzano per evitare sovrapposizioni.

Tuttavia, le aziende legittime non sono le uniche ad abbracciare la tendenza degli SMS e dei codici brevi. Anche i criminali informatici stanno usando questo mezzo per rubare informazioni e distribuire malware mobile.

In un phishing SMS o in un attacco “smishing”, i target ricevono un messaggio di testo che utilizza un codice funzione. Spesso, questi messaggi imitano quelli legittimi che potresti ricevere, ad es. “Avviso di frode bancaria: conferma la tua transazione bancaria”. Questo tipo di messaggio include un link abbreviato da aprire, ma in genere ciò porta a un’app dannosa installato sul tuo smartphone. Una volta che è lì, l’app dannosa potrebbe tenere traccia delle sequenze di tasti, rubare la tua identità o crittografare i file sul telefono e conservarli per il riscatto. Proprio come con un’e-mail di phishing, i criminali useranno i messaggi SMS per indurre gli utenti a visitare siti web dannosi o a scaricare app errate.

Uno dei motivi dell’aumento del furto di dati attraverso lo smishing  è che oggigiorno le persone si fidano più dei messaggi di testo che delle telefonate o e-mail.

Gli SMS hanno sostituito la telefonata come il canale di comunicazione dei consumatori più popolare. Pertanto, mentre ignoriamo il più delle volte le telefonate da  numeri sconosciuti, siamo condizionati a rispondere ai messaggi di testo e i phisher lo utilizzano a proprio vantaggio

Allo stesso modo, non esistono soluzioni di cyber security in grado di riconoscere  messaggi di testo fraudolenti e i criminali stanno ottenendo successo a causa di ciò.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5