Che cos’è lo “Smishing”?
Dopo aver spiegato il Phishing e il Vishing nei TIPS precedenti, passiamo all’ultima delle tecniche di ingegneria sociale: lo Smishing.
Il termine “Smishing” è una combinazione delle parole“SMS” o “short message” (breve messaggio di testo in inglese) e“Phishing“. Pertanto, i criminali informatici utilizzano servizi di messaggistica istantanea come gli SMS, ma anche applicazioni come Whatsapp, Line, Telegram, ecc. per portare a termine la truffa.
Questa frode include anche l’uso di piattaforme di chat come Skype, Teams, Zoom o social network, ovvero qualsiasi mezzo che permetta a una terza parte (conosciuta o sconosciuta) di entrare in contatto.
La maggior parte dei messaggi di questo tipo richiede:
-
- Effettuare un pagamento relativo, ad esempio, a:
-
- Un pacco o una spedizione trattenuti in dogana
- Pagamento di una multa o di un’imposta
-
- Cliccate su un link per sbloccare un conto bancario, una carta o un profilo online.
- Oppure scaricate un’immagine/video di noi. Possono essere messaggi innocui (“questo è molto divertente, devi vederlo”) e altre volte ci minacciano direttamente di pubblicare immagini di noi in situazioni compromettenti, in modo che abbocchiamo (anche se poi si rivela una bugia).
- Effettuare un pagamento relativo, ad esempio, a:
Come possiamo evitarlo?
-
- La regola d’oro viene nuovamente citata: essere sempre sospettosi e “controllare due volte”. Ovvero contattare il mittente con altri mezzi.
- Non fate nulla di ciò che vi viene richiesto prima di aver verificato quanto sopra (non cliccate su link, non scaricate file e non effettuate pagamenti). Anche se sembra un messaggio di un familiare, di un amico, di un collega, di un’entità fidata o di qualsiasi altro contatto personale o professionale.
- Se il messaggio è relativo al tracciamento di un pacco, al blocco di un conto o di una carta, o a una notifica ufficiale da parte di un ente pubblico (multe, tasse, ecc.) verificatene la veridicità attraverso le applicazioni, il sito web o i numeri di contatto ufficiali. Ad esempio:
-
- Nel caso delle carte di credito, esiste una raccomandazione ancora più semplice, che consiste nel cercare di pagare con esse. Se è davvero bloccato, questo non sarà possibile.
- Nel caso del blocco dell’accesso a profili o account online, provate ad accedere per verificare che non funzioni davvero.
- Infine, nel caso di conti bancari e notifiche ufficiali da parte di enti pubblici. Quasi sempre la notifica avverrà per posta, soprattutto in caso di infrazioni, tasse, mancati pagamenti, ecc.
-
Se ritenete di aver fornito informazioni personali o professionali che non avreste dovuto divulgare in questo modo, informate il reparto IT, il CISO o il DPO sul posto di lavoro e segnalate il fatto alle autorità di polizia nella sfera personale.