Una nuova truffa, che sfrutta il classico meccanismo di smishing (o SMS phishing), è stata segnalata dagli utenti, molti dei quali in queste ore stanno ricevendo finti messaggi che promettono guadagni fino a “mille euro” e direttamente su “account Amazon”.
Ma vediamo come funziona il raggiro e come difendersi
La nuova truffa segnalata
La truffa segnalata parte dall’invio di un sms, con mittente “Reddito ext“. Nel testo del messaggio si legge:
“Ti è stato assegnato un account Amazon: solo per pochi giorni! Investi a partire da 200 euro e guadagna fino a 1.000 euro al mese”.
L’sms si conclude poi con l’invito a cliccare a un link, per avere maggiori informazioni. Si tratta, però, di un raggiro (molto simile a quello della finta offerta di lavoro: segnalata qui), che sfrutta il classico sistema di smishing (simile al phishing ma diverso: qui per approfondire come funziona e come difendersi).
Una volta cliccato sul collegamento esterno, infatti, gli hacker sono in grado di prendere il controllo del dispositivo elettrico con cui si sta navigando (smartphone, tablet o pc), appropriandosi di tutti i dati sensibili memorizzati. In questo modo possono accedere a profili privati, conti correnti, password personali. In pochi minuti, quindi, l’utente vittima della truffa si potrebbe ritrovare derubato di tutto.
Che cos’è lo smishing e come difendersi
Lo “smishing” è un attacco alla sicurezza informatica effettuato tramite messaggi di testo – noti anche come SMS phishing – ed è una variante del phishing, ovvero un tentativo di raggiro con cui le vittime vengono indotte a fornire informazioni sensibili (per esempio rimandando a un sito che sembra affidabile ma che in realtà è una replica fasulla che sfrutta il nome di un’Istituzione, una banca o un Ente importante e riconosciuto). Molto spesso, per esempio, si viene rimandati a siti che somigliano a quello dell’INPS, o di Poste Italiane o dell’Agenzia delle Entrante, chiedendo la compilazione di moduli per bloccare conti, accrediti o bonus che non esistono (ve ne abbiamo parlato qui).
Il phishing tramite SMS può essere assistito da malware o siti Web fraudolenti, il che vuol dire che non è necessario che siano sempre le vittime a fornire i propri dati personali, ma basta cliccare sui link corrotti per permettere ai cyber criminali di prendere il controllo del dispositivo (e quindi rubare tutte le informazioni memorizzate).
L’inganno e la frode sono i componenti principali di qualsiasi attacco di phishing tramite SMS. Poiché l’aggressore assume un’identità di cui ci si fida tendenzialmente.
Ci sono però alcune cose da tenere a mente che aiutano a proteggersi da questi attacchi:
- Non rispondere. Anche le richieste di risposta come l’invio di messaggi di testo “STOP” per annullare l’iscrizione possono essere un trucco per identificare i numeri di telefono attivi.
- Non avere fretta. Aggiornamenti urgenti dell’account, offerte a tempo limitato e urgenze sono spesso usati per mascherare il smishing. Restare scettici e verificare la fondatezza del messaggio è quindi sempre importante.
- Chiamare direttamente in caso di dubbio. Le istituzioni legittime non richiedono aggiornamenti dell’account o informazioni di accesso tramite SMS. Inoltre, eventuali avvisi urgenti possono essere verificati direttamente sui siti online ufficiali o tramite una linea di assistenza telefonica.
- Evitare di cliccare su collegamenti o informazioni di contatto presenti nel messaggio.
- Non tenere mai i numeri delle carte di credito sul telefono. Il modo migliore per evitare che le informazioni finanziarie vengano rubate da un portafoglio digitale è non metterle mai lì.
- Utilizzare l’autenticazione a più fattori (MFA).
- Non fornire mai una password o dati tramite SMS.