“1000 euro su account Amazon”: attenzione alla nuova truffa

Una nuova truffa ci è stata segnalata, e questa volta si tratta di un finto sms che promette guadagni fino a “mille euro” direttamente su “account Amazon”

Foto di Federica Petrucci

Federica Petrucci

Editor esperta di economia e attualità

Laureata in Scienze Politiche presso l'Università di Palermo e Consulente del Lavoro abilitato.

Pubblicato: 25 Maggio 2023 13:54

Una nuova truffa, che sfrutta il classico meccanismo di smishing (o SMS phishing), è stata segnalata dagli utenti, molti dei quali in queste ore stanno ricevendo finti messaggi che promettono guadagni fino a “mille euro” e direttamente su “account Amazon”.

Ma vediamo come funziona il raggiro e come difendersi

La nuova truffa segnalata

La truffa segnalata parte dall’invio di un sms, con mittente “Reddito ext“. Nel testo del messaggio si legge:

“Ti è stato assegnato un account Amazon: solo per pochi giorni! Investi a partire da 200 euro e guadagna fino a 1.000 euro al mese”.

L’sms si conclude poi con l’invito a cliccare a un link, per avere maggiori informazioni. Si tratta, però, di un raggiro (molto simile a quello della finta offerta di lavoro: segnalata qui), che sfrutta il classico sistema di smishing (simile al phishing ma diverso: qui per approfondire come funziona e come difendersi).

Una volta cliccato sul collegamento esterno, infatti, gli hacker sono in grado di prendere il controllo del dispositivo elettrico con cui si sta navigando (smartphone, tablet o pc), appropriandosi di tutti i dati sensibili memorizzati. In questo modo possono accedere a profili privati, conti correnti, password personali. In pochi minuti, quindi, l’utente vittima della truffa si potrebbe ritrovare derubato di tutto.

Che cos’è lo smishing e come difendersi

Lo “smishing” è un attacco alla sicurezza informatica effettuato tramite messaggi di testo – noti anche come SMS phishing – ed è una variante del phishing, ovvero un tentativo di raggiro con cui le vittime vengono indotte a fornire informazioni sensibili (per esempio rimandando a un sito che sembra affidabile ma che in realtà è una replica fasulla che sfrutta il nome di un’Istituzione, una banca o un Ente importante e riconosciuto). Molto spesso, per esempio, si viene rimandati a siti che somigliano a quello dell’INPS, o di Poste Italiane o dell’Agenzia delle Entrante, chiedendo la compilazione di moduli per bloccare conti, accrediti o bonus che non esistono (ve ne abbiamo parlato qui).

Il phishing tramite SMS può essere assistito da malware o siti Web fraudolenti, il che vuol dire che non è necessario che siano sempre le vittime a fornire i propri dati personali, ma basta cliccare sui link corrotti per permettere ai cyber criminali di prendere il controllo del dispositivo (e quindi rubare tutte le informazioni memorizzate).

L’inganno e la frode sono i componenti principali di qualsiasi attacco di phishing tramite SMS. Poiché l’aggressore assume un’identità di cui ci si fida tendenzialmente.

Ci sono però alcune cose da tenere a mente che aiutano a proteggersi da questi attacchi:

  • Non rispondere. Anche le richieste di risposta come l’invio di messaggi di testo “STOP” per annullare l’iscrizione possono essere un trucco per identificare i numeri di telefono attivi.
  • Non avere fretta. Aggiornamenti urgenti dell’account, offerte a tempo limitato e urgenze sono spesso usati per mascherare il smishing. Restare scettici e verificare la fondatezza del messaggio è quindi sempre importante.
  • Chiamare direttamente in caso di dubbio. Le istituzioni legittime non richiedono aggiornamenti dell’account o informazioni di accesso tramite SMS. Inoltre, eventuali avvisi urgenti possono essere verificati direttamente sui siti online ufficiali o tramite una linea di assistenza telefonica.
  • Evitare di cliccare su collegamenti o informazioni di contatto presenti nel messaggio.
  • Non tenere mai i numeri delle carte di credito sul telefono. Il modo migliore per evitare che le informazioni finanziarie vengano rubate da un portafoglio digitale è non metterle mai lì.
  • Utilizzare l’autenticazione a più fattori (MFA).
  • Non fornire mai una password o dati tramite SMS.