Assistiamo periodicamente alla nascita di neologismi, specie in campo tecnologico, senza capirne il più delle volte il significato e, soprattutto, la portata dell’eventuale rischio. Cos’è lo smishing?
Il termine è stato coniato intorno alla parola SMS (SMiShing) perché è proprio attraverso SMS ed altri messaggi (whatsapp e simili) che viene perpetrata la truffa.
Quante volte riceviamo messaggi nei quali ci viene segnalato che un pagamento non è andato a buon fine e che contengono un link della sedicente banca che ci invita a ricontrollare le nostre credenziali?
E’ palese che, se davvero fosse la banca ad averci contattato, il messaggio conterrebbe l’invito a recarsi in filiale o, quantomeno, a contattare la nostra agenzia.
Oppure ci avvisano che la nostra carta di credito è stata bloccata e nel messaggio è presente, anche in questo caso, un indirizzo sul quale cliccare; superfluo dire che se compiliamo i campi che compariranno a quell’indirizzo avremo consegnato i nostri dati (magari anche codice fiscale, indirizzo, ecc) consentendo ai truffatori di agire con semplicità.
Lo smishing è la forma “telefonica” del phishing, perpetrato questo via mail; considerato che il 95% circa dei messaggi viene letto contro un 6% appena delle mail, è evidente come lo smishing sia il mezzo che consente ai cyber truffatori di agire quasi impunemente.
Dico “quasi” perché, se in alcuni casi è possibile fermare sul nascere un tentativo di truffa telematica (sovente sono gli stessi istituti di credito che bloccano transazioni sospette), il furto di identità può venire scoperto solo molto tempo dopo quando i danni sono ormai avvenuti: ecco quindi che, a nostra insaputa, è stata acquistata un’auto a nostro nome, è stato aperto un conto in banca o acceso un prestitooppure è stato, comunque, compiuto un atto a nostro nome ma a nostra insaputa.
Una versione più recente dello smishing è lo smishing affettivo: vediamo cosa sia.
Può capitare di ricevere sul proprio smartphone un messaggio del tipo “Ciao papà, ho perso il telefono; puoi scrivermi su whatsapp a questo numero?” Non c’è nulla di allarmante, ma l’atto successivo sarà la richiesta di fare una ricarica su questo numero “perché il mio amico me lo lascia usare ma devo ricaricarlo” o scuse simili.
Si tratta, in altre parole, di una vera e propria frode che si basa sulla manipolazione della vittima prescelta mediante l’utilizzo di piattaforme come whatsapp, telegram o altre.
Peggio ancora se alla richiesta di ricarica si sostituisce una richiesta di denaro tipo “sono fuori città e non ho soldi per la benzina”.
Nei casi più sofisticati, al destinatario della truffa viene inviato un link, attraverso il quale il malcapitato compilerà i propri dati aprendo le porte del proprio conto ai truffatori.
In molti casi, i truffatori sembrano conoscere molto bene i nostri nomi e le nostre abitudini, ma i responsabili siamo noi; come ho avuto modo di scrivere altre volte, quanti di noi applicano sul retro dell’auto gli autoadesivi con la sagoma di mamma, papà, figli e cane con il loro nome sotto? I social, poi, fanno il resto. Basta poco per scrivere al papà dicendo “papà, sono Marco, questo è il numero di un amico perché mi hanno rubato il telefono” ecc ecc.
Come difendersi, quindi? Non comunicare mai informazioni personali o dati come codici di accesso, PIN, password, dati bancari e della carta di credito per telefono, via SMS o whatsapp; le banche non si sognerebbero mai di chiederci quei dati. In ogni caso, meglio recarsi in banca per verificare, prima, che alla stazione Carabinieri per denunciare la truffa, dopo.
E’ in ogni caso meglio evitare di conservare le credenziali (password, PIN, codici) dei conti bancari o delle carte di credito sul propriosmartphone; un eventuale malware penetrato nel medesimo consegnerebbe tutti i dati ai malintenzionati.
Per finire abbiamo lo smishing romantico. I truffatori cominciano a messaggiare con la vittima riuscendo a stabilire con essa una relazione di fiducia, iniziando dopo un tempo variabile a chiedere favori, prestiti o, peggio ancora, coinvolgendola in attività fraudolente (intestandole un’impresa criminale, per esempio).
Sembrerebbe inutile dirlo, ma evitate di dare confidenza eccessiva e di rivelare i vostri dati privati (finanziari, anagrafici, ecc) a chi non avete mai visto neppure una volta; non basta farsi inviare la foto per dire “si vede che ha una faccia onesta”: siete sicuri che la foto riproduca le sue fattezze? E non basta neppure che dica “frequento la parrocchia”, oppure “faccio volontariato” e cose simili: Giuda Iscariota frequentava persone irreprensibili ma guardate cos’è stato capace di fare.
SERGIO MOTTA
