Smishing: i consigli del Garante per difendersi dalle truffe via SMS e messaggistica
Lo smishing, ovvero il phishing realizzato tramite SMS o servizi di messaggistica istantanea (compresi quelli integrati nei social media), è una delle più insidiose truffe digitali che sta prendendo sempre più piede. A lanciare l’allarme è il Garante per la protezione dei dati personali, che invita i cittadini a prestare massima attenzione a questo tipo di frode informatica.
Si tratta di messaggi ingannevoli, apparentemente provenienti da banche, istituzioni o fornitori di servizi, con l’obiettivo di carpire informazioni personali e bancarie da utilizzare per finalità illecite, come il furto di denaro dai conti correnti o dalle carte di credito.
Come agisce lo smishing?
I messaggi di smishing sono costruiti per generare un senso di urgenza. Spingono l’utente a compiere azioni immediate – come cliccare su un link, fornire dati personali o bancari, scaricare allegati o chiamare numeri specifici – con la minaccia implicita di subire conseguenze gravi: il blocco dell’utenza, la sospensione della carta di credito o la perdita dell’accesso al conto corrente.
I truffatori, noti come smisher, utilizzano diverse tecniche:
• Invio di link che rimandano a moduli online fasulli, dove la vittima inserisce inconsapevolmente informazioni riservate (dati bancari, credenziali di accesso, numeri di carte, codici di sicurezza). Alcuni link possono anche installare malware sul dispositivo della vittima, permettendo l’accesso a dati salvati o addirittura ad app di home banking.
• Allegati infetti, che una volta aperti installano software dannosi capaci di prendere il controllo dello smartphone o di accedere alle informazioni in esso contenute.
• Richiesta diretta di dati personali tramite risposta al messaggio: codice fiscale, PIN del Bancomat, credenziali di Internet banking, codici OTP (le password temporanee per autorizzare operazioni), numeri e codici delle carte di credito.
• Chiamate a numeri truffaldini, in cui la vittima viene accolta da falsi operatori o sistemi automatizzati che cercano di estorcere informazioni riservate.
Perché lo smishing è così pericoloso?
Questa tecnica sfrutta il panico e l’urgenza: il messaggio spinge l’utente ad agire in fretta, riducendo il suo livello di attenzione e prudenza. Il tono è spesso ultimativo o minaccioso, proprio per convincere la persona a reagire d’impulso.
Il Garante invita quindi a diffidare da qualsiasi comunicazione che chieda di agire rapidamente per evitare presunti danni o sanzioni. Tra i messaggi più sospetti:
• Avvisi da parte di banche, gestori di carte o società di recupero crediti su conti bloccati o movimenti anomali da verificare con urgenza.
• Offerte di sconti straordinari su prodotti o servizi, o ricariche telefoniche a prezzi irrealistici.
• Solleciti di pagamento per bollette o rate non saldate, oppure notifiche su pacchi non consegnabili.
• Comunicazioni da enti pubblici che parlano di sanzioni, multe o verifiche da effettuare.
• Avvisi di violazioni su account social o di messaggistica, che chiedono di cliccare link o fornire dati per risolvere il problema.
Come proteggersi?
Il Garante fornisce una serie di raccomandazioni utili per evitare di cadere nella trappola:
• Non fornire mai, a sconosciuti o tramite messaggi, dati sensibili come PIN, password, codici di accesso, numeri di carta o codici temporanei.
• Ricordare che banche e istituzioni non richiedono mai l’invio di dati riservati via SMS o chat. Al contrario, sollecitano sempre a custodire con cura queste informazioni.
• Evitare di salvare credenziali bancarie o dati delle carte sullo smartphone, poiché in caso di infezione da malware potrebbero essere facilmente sottratti.
• Monitorare regolarmente i movimenti bancari e attivare eventuali notifiche o alert automatici per ricevere aggiornamenti in tempo reale su ogni transazione.
• Se si sospetta di essere vittima di smishing, contattare immediatamente la propria banca o il gestore della carta di credito tramite canali ufficiali, per bloccare eventuali operazioni sospette e mettere in sicurezza il proprio conto.
Inoltre e’ fondamentale non cliccare su link o scaricare allegati da messaggi sospetti, soprattutto se inviati da numeri insoliti (con poche cifre, ad esempio) o mittenti sconosciuti con nome e numero oscurati. In caso di dubbio, fermarsi e analizzare attentamente il contenuto e il mittente del messaggio.
C’è anche la possibilità che i truffatori usino tecniche di spoofing, ovvero si spaccino per contatti fidati (persone, aziende o enti con cui abbiamo rapporti in corso), dopo aver violato il loro numero o profilo.
Per questo motivo, bisogna prestare attenzione a:
• Eventuali errori grammaticali o di sintassi nel testo del messaggio, spesso indicativi di una comunicazione fraudolenta.
• La plausibilità della richiesta ricevuta: un conoscente o un ente ufficiale chiederebbe davvero soldi o dati via SMS? In caso di dubbio, è bene contattarlo su canali alternativi e sicuri.
Infine, se si riceve un messaggio che invita a chiamare un numero apparentemente ufficiale, è sempre opportuno verificare che quel numero corrisponda effettivamente a quello pubblicato sui siti istituzionali. In alternativa, è consigliabile contattare direttamente il centralino o l’URP dell’ente in questione, chiedendo di parlare con l’ufficio che avrebbe inviato la comunicazione.
Nel caso in cui si sia vittima di una frode, oltre ad avvisare la banca o il gestore della carta, è possibile sporgere denuncia alle autorità di polizia.
Autore
