Banche e Poste nel mirino delle operazioni dei cybercriminali. Scopri come difenderti.
Gruppo Intesa San Paolo e Poste Italiane denunciano un aumento delle truffe tramite SMS ai danni dei consumatori. Da anni i cybercriminali utilizzano tecniche di phishing per ingannare gli utenti e convincerli a divulgare i propri dati, ma finora la maggior parte di questi messaggi veniva inviata tramite email.
Ora, grazie a semplici tecniche di alias del numero di telefono, i truffatori sono passati agli SMS. I messaggi di testo sono più immediati e corti, il destinatario ha meno dati per riconoscere un messaggio ingannevole e il semplice nome “legittimo” del mittente basta per convincerli a fare clic e inserire le proprie informazioni.
In questo post vedremo che aspetto ha un SMS di spoofing proveniente dalle Poste o da una banca, in cosa consiste questa minaccia digitale e come riconoscerla e proteggerci. Continua a leggere!
Cos’è lo spoofing tramite SMS
Come abbiamo visto dettagliatamente nel nostro post sullo spoofing, con questa parola si intendono le tecniche utilizzate dagli hacker per appropriarsi dell’identità (in questo caso l’ID chiamante) di un mittente legittimo, come appunto Poste Italiane o Intesa San Paolo. In inglese, infatti, spoofing significa falsificare, manomettere.
Nel caso degli SMS, lo spoofing non è neanche illegale, perché esistono servizi contrattabili online per occultare il numero di telefono e mostrare un nome ai destinatari, al fine di semplificare la comunicazione.
Se da un lato questo servizio è molto utile, dall’altro crea un grosso problema a banche e aziende, perché in questo modo non è possibile impedire lo spoofing tramite SMS. Come vedremo a breve, l’unico metodo di prevenzione efficace è imparare a riconoscere i messaggi fraudolenti.
L’unico metodo di prevenzione efficace è imparare a riconoscere i messaggi fraudolenti.
Spoofing di Poste Italiane e ISP
Nelle ultime settimane, molti clienti delle Poste e del Gruppo ISP hanno ricevuto messaggi come quelli che possiamo vedere nella parte inferiore della seguente immagine (cortesia di Corriere.it).
I primi messaggi sono legittimi e provengono dai numeri di telefono delle aziende in questione, mentre quelli nei riquadri rossi sono messaggi con spoofing del mittente. L’alias, ossia il nome di chi invia il messaggio è registrato come PosteInfo o Gruppo ISP, per cui il telefono dell’utente lo interpreta come tale e lo aggiunge alla conversazione precedente, ma i messaggi provengono da truffatori.
LEGGI ANCHE: Finti call center e truffe telefoniche
Come riconoscere i messaggi di phi
shingCome abbiamo detto, l’alias del mittente dei numeri di telefono è una tecnica perfettamente legale, per cui al momento non ci sono normative né metodi per impedire lo spoofing SMS.
L’unico modo realmente efficace per non cadere nel tranello dei messaggi di phishing è imparare a riconoscerli e, soprattutto, prendere buone abitudini digitali. Ecco cosa devi sapere sui messaggi di phishing e come comportarti online:
- Le banche e le aziende non chiedono mai i dati personali e di accesso degli utenti. Non hanno bisogno di verificarli, hanno già tutte le informazioni necessarie, per cui diffida di qualsiasi messaggio che ti chieda di effettuare l’accesso o confermare le tue informazioni, si tratta sicuramente di phishing.
- Gli SMS con spoofing del chiamante sono spesso scritti male. Molte campagne di phishing sono lanciate su larga scala da altri paesi e il testo viene tradotto automaticamente, per cui contengono spesso errori grammaticali e ortografici grossolani.
- Attenzione ai link. Guarda bene i link presenti nei messaggi che ricevi, spesso iniziano con HTTP, senza la S finale, oppure contengono URL abbreviati. Tutti questi segnali indicano che si tratta di un messaggio fraudolento.
- I messaggi di phishing sono facili da riconoscere, per cui fanno leva sull’urgenza affinché il destinatario agisca velocemente senza analizzarli a fondo. Quando ricevi un SMS su una situazione urgente o un’emergenza, fai particolare attenzione.
- Un altro gancio tipico dei messaggi di phishing è la possibilità di guadagni e vincite in denaro. Questo tipo di SMS attira l’attenzione e fa abbassare la guardia a molte persone. Tu non ci cascare, se qualcosa sembra troppo bello per essere vero, probabilmente non lo è.
- Se hai già fatto clic sul link contenuto nel messaggio, analizza con calma il design e i testi del sito web. Utilizza il protocollo di sicurezza HTTPS? I menu sono completi e cliccabili? Se scorri verso il basso, il sito funziona e ci sono elementi e articoli oppure finisce subito? Ci sono errori di ortografia o immagini a bassa risoluzione? Rispondendo a queste semplici domande potrai riconoscere rapidamente i siti fraudolenti.
Tu non ci cascare, se qualcosa sembra troppo bello per essere vero, probabilmente non lo è.
Questi erano i nostri consigli per riconoscere il phishing e proteggerti dallo spoofing degli SMS di banche e aziende. Per concludere, ti segnaliamo un’iniziativa interessante lanciata da CERTFin, I navigati. In questa serie web che racconta le avventure di una famiglia con la passione per la cybersicurezza, troverai molti consigli utili in un formato differente.
E per finire, dato che le precauzioni non sono mai troppe, ti consigliamo di installare il nostro antivirus Panda Dome per proteggere i tuoi conti online e i tuoi dispositivi anche dagli SMS di phishing.
CONTINUA A LEGGERE: Spear phishing, cos’è e come proteggersi
Buona navigazione e buona difesa dagli SMS di spoofing!