Sta circolando in queste ore un sms dove, ai destinatari, vengono promessi guadagni extra, un vero e proprio stipendio (come se fosse un lavoro) a seguito di una finta proposta di investimento. Ma fate attenzione, se lo ricevete pure voi, si tratta infatti di una truffa a tutti gli effetti.
Come riconoscere la nuova truffa del finto sms che ti svuota il conto
La nuova truffa del finto sms che ti svuota il conto sfrutta uno dei classici meccanismi di smishing, una forma di phishing che utilizza gli sms inviati ai telefoni cellulari. Nello specifico, sfruttando il nome di un noto marchio o di un’azienda nota (che quindi trasmette fiducia), i cyber criminali invitano il destinatario del messaggio a cliccare su un link esterno o a fare qualcosa che, di fatto, permette così l’accesso diretto al dispositivo mobile e – quindi – a tutte le informazioni sensibili del suo proprietario (e/o di chi lo usa).
L’sms-truffa questa volta riporta il seguente testo:
“Amazon sta volando, in borsa è cresciuta del 100%! Investi e guadagna uno stipendio extra”.
Questa truffa è ormai in atto da diverso tempo. Nelle prime segnalazioni, arrivate a marzo 2022, alle vittime veniva chiesto di rispondere “Sì” al messaggio per poterne sapere di più. Una volta conquistata la loro fiducia, poi, i criminali riuscivano a raggirare i malcapitati con meccanismi volti a estorcere loro denaro.
Oggi gli hacker si sono però evoluti, cambiando modalità di inganno ma non il tentativo di truffa. L’sms, infatti, è più o meno lo stesso, si parla sempre di stipendio extra assicurato da Amazon, ma nei messaggi inviati in questi giorni viene chiesto di cliccare su un link (che sembra della società ma non lo è) per avere maggiori informazioni. Ed è a questo punto, che la frode ha inizio.
Cos’è e come funziona la truffa dello smishing
Come variante del phishing (qui cos’è, come funziona e come difendersi), anche con lo smishing le vittime vengono indotte con l’inganno a fornire informazioni riservate o a cliccare su collegamenti esterni che rimandano a siti truffa.
Il termine “smishing”, combina l’acronimo”SMS” e “phishing”, ed è classificato come un tipo di attacco informatico che semplicemente messaggi di testo anziché e-mail. Gli strumenti principali usati per rubare i dati sensibili (come password, credenziali bancarie etc.) sono solitamente:
- malware, cioè collegamenti url che fanno scaricare automaticamente all’utente software dannosi, che si installano sul telefono. I malware per SMS potrebbero nascondersi in app dall’apparenza legittima, che inducono a digitare informazioni riservate;
- siti web fasulli, ovvero collegamenti e link esterni contenuti nel messaggio che portano a un sito falso che richiede di digitare informazioni personali sensibili. Spesso imitano e ricopiano quelli affidabili (come è successo per esempio con l’ultima truffa ai danni dei contribuenti Inps);
Nei messaggi di testo, inoltre, con il smishing si finge di essere una nota società, una banca o un istituto governativo – come quando alcuni criminali si sono spacciati per la polizia – così da non far sembrare sospetta la richiesta di informazioni personali o finanziarie, come il tuo conto o il numero di bancomat.
Ma attenzione, nessun ente pubblico o privato chiede la conferma di dati così sensibili tramite e-mail o sms, ma sfruttano i canali ufficiali, per cui fornire queste informazioni online equivale a consegnare ai ladri le chiavi del tuo conto bancario.