Ogni giorno, in Italia, partono circa 700 mila tentativi di truffa via web. Non più solo attraverso email sospette che ormai riconosciamo a colpo d’occhio, ma attraverso un canale che consideriamo ancora relativamente sicuro: gli SMS. Si chiama smishing, ed è la nuova frontiera del cyber crimine che sta mietendo vittime tra gli utenti meno accorti e anche tra chi pensava di essere abbastanza esperto da non cascarci. La parola phishing è ormai entrata nel vocabolario quotidiano di chiunque usi internet con una certa regolarità. Chi naviga, controlla la posta elettronica o gestisce operazioni bancarie online conosce bene il meccanismo: email fraudolente che imitano comunicazioni ufficiali, link contraffatti, pagine web clone di siti istituzionali. L’obiettivo è sempre lo stesso, andare a pesca di dati personali, credenziali bancarie, informazioni sensibili. Il termine stesso, phishing, significa proprio questo: gettare l’amo e aspettare che qualcuno abbocchi.
Ma i truffatori digitali sono creature adattive. Hanno capito che gli utenti sono diventati più scaltri, che i filtri antispam sono più efficaci, che le email sospette finiscono quasi sempre nel cestino senza nemmeno essere aperte. Così hanno spostato il campo di battaglia su un terreno apparentemente più sicuro: il telefonino. Ed è nato lo smishing, una crasi tra SMS e phishing, una tecnica tanto semplice quanto insidiosa. Il meccanismo è sostanzialmente identico a quello del phishing via email, ma sfrutta un canale diverso. Migliaia di messaggi SMS vengono inviati a numeri di telefono raccolti in vario modo, spesso acquistati in blocco sul dark web o carpiti attraverso fughe di dati da database aziendali. Il messaggio ha toni ufficiali, urgenti, allarmanti. Ti invita a visitare una pagina web per confermare i tuoi dati, ti avvisa di un problema con il tuo conto corrente, ti promette un rimborso o un beneficio a cui hai diritto. In alcuni casi, invece del link, il messaggio contiene un numero di telefono da chiamare per risolvere una presunta emergenza.
Uno dei casi più clamorosi di smishing visti in Italia ha colpito gli utenti di Poste Italiane e BancoPosta. I messaggi arrivavano apparentemente da mittenti ufficiali, con grafiche credibili e toni che non lasciavano spazio al dubbio. In una variante della truffa, il messaggio forniva un numero di assistenza clienti da chiamare urgentemente. Dall’altra parte della linea, un call center all’estero con operatori addestrati a raccogliere dati sensibili fingendosi dipendenti di Poste Italiane. Chi chiamava, convinto di parlare con l’assistenza ufficiale, forniva spontaneamente numero di conto, password, codici di sicurezza. Durante la pandemia di Covid-19, lo smishing ha trovato terreno ancora più fertile. La Federal Communications Commission americana ha lanciato l’allarme su messaggi che offrivano test kit gratuiti per il coronavirus o contributi governativi inesistenti, con importi che arrivavano fino a 30 mila dollari. La paura, l’incertezza e il bisogno di informazioni rapide hanno reso migliaia di persone vulnerabili a questi attacchi.
Ma perché lo smishing sembra funzionare meglio del phishing tradizionale. La risposta sta nella psicologia dell’utente e nelle caratteristiche stesse del mezzo. Un SMS arriva direttamente sullo schermo del telefono, interrompe quello che stiamo facendo, crea un senso di immediatezza che un’email non ha. Siamo meno abituati a ricevere comunicazioni ufficiali via SMS rispetto alla posta elettronica, quindi tendiamo a considerarle più autentiche. Inoltre, sullo schermo piccolo di uno smartphone è più difficile verificare l’autenticità di un mittente o esaminare con attenzione un URL prima di cliccarci sopra. La prima regola per difendersi dallo smishing è la consapevolezza. Se ricevi un SMS che ti chiede di confermare dati, cliccare su un link o chiamare un numero per risolvere un problema urgente, fermati. Le banche, le poste, le istituzioni pubbliche non richiedono mai informazioni sensibili via SMS. Non chiedono password, non inviano link per verifiche urgenti, non minacciano la chiusura del conto se non agisci immediatamente.
La seconda regola è la verifica diretta. Se hai il minimo dubbio sull’autenticità di un messaggio che sembra provenire dalla tua banca o da un ente con cui hai rapporti, chiama direttamente il numero ufficiale che trovi sul sito web dell’istituzione o sul retro della tua carta. Non usare mai i numeri forniti nel messaggio sospetto. Anche se il mittente sembra legittimo, anche se il tono è ufficiale, anche se c’è un senso di urgenza: fermati e verifica. Terza regola: evita di diffondere il tuo numero di telefono su siti web poco affidabili o in seguito a richieste non necessarie. Ogni volta che compili un modulo online chiedendoti se quella richiesta di contatto telefonico è davvero indispensabile. I database di numeri telefonici vengono spesso costruiti proprio raccogliendo dati da registrazioni online, contest, sondaggi, moduli di contatto.
Gli esperti di sicurezza informatica consigliano anche di prestare attenzione ai segnali tipici dello smishing: errori grammaticali o di ortografia, toni allarmistici o eccessivamente urgenti, promesse di vincite o rimborsi inaspettati, richieste di dati personali o codici di sicurezza. Un URL abbreviato o dall’aspetto sospetto è sempre un campanello d’allarme, così come un mittente che non corrisponde esattamente al nome dell’ente che dovrebbe averti contattato. Se ricevi un messaggio di smishing, non rispondere e non cliccare su alcun link. Segnala il numero alla tua compagnia telefonica e, se il messaggio sembra provenire da un ente specifico, avvisa anche loro del tentativo di truffa. Molte banche e istituzioni hanno canali dedicati proprio per ricevere segnalazioni di phishing e smishing, contribuendo a costruire database di numeri e messaggi fraudolenti da bloccare.
