Smishing, ovvero SMS+phishing: parimenti al phishing classico, in cui i cyber-criminali provano a camuffarsi con siti di aziende e soggetti noti nel tentativo di rubare o compromettere i dati degli utenti, gli attacchi via smishing spingono la potenziale vittima a fare lo stesso tramite l’invio di messaggi testuali apparentemente legittimi.
Lo smishing è in buona sostanza un tentativo di phishing condotto via SMS: il messaggio malevolo invita generalmente a visitare un indirizzo Web contraffatto, o meglio ancora accorciato, presentando poi una versione falsata del sito o del servizio originale così da spingere l’utente a immettere volontariamente i propri dati nella pagina.
Come nel phishing, chiunque può essere vittima di un tentativo di smishing: un SMS che avvisa sulla presunta necessità di aggiornare la app della nostra banca per continuare ad accedere al relativo servizio di home banking, un messaggio sul presunto rischio di essere venuti in contatto con un soggetto positivo al COVID-19, l’invito ad accedere al sito di un corriere per verificare una spedizione in consegna. Le tattiche dei criminali del phishing via SMS sono sempre più complesse, sofisticate e in evoluzione costante.
I tentativi di smishing sono diventati più pericolosi ed efficaci grazie alla pervasività degli smartphone, visto che con le piattaforme mobile è estremamente facile passare dalla lettura di un SMS all’apertura del browser Web per visitare un link malevolo. L’apparente legittimità del numero di telefono non è una garanzia assoluta, poiché anche in questo caso è possibile contraffare il mittente originale.
Oggi più che mai, insomma, occorre prestare particolare attenzione ai messaggi in arrivo e a pensarci due, tre e magari quattro volte, prima di fare clic sui link eventualmente presenti al loro interno. Una serie di consigli pratici sulle tattiche utili contro lo smishing è stata recentemente pubblicata da MyCard.ch, con un invito puntuale alla massima prudenza prima del clic fatale.
Come opportunamente suggerisce MyCard, dunque, per proteggersi dagli SMS di smishing occorre evitare accuratamente di fare clic sui link negli SMS ricevuti da numeri sconosciuti, verificare la legittimità del mittente magari con una ricerca del numero di telefono online, non aspettarsi MAI che una banca o un’istituzione richiedano l’immissione di dati personali via SMS, diffidare dei messaggi che chiedono con urgenza di conoscere i nostri dati, cercare canali di contatto alternativi per un’azienda con cui abbiamo già avuto a che fare in passato.
Volendo semplificare al massimo, i tentativi di smishing si possono neutralizzare facilmente adottando una opesec e un approccio molto, molto prudente a qualsiasi messaggio testuale in arrivo. Nella maggioranza dei casi, nessuna azienda con un minimo di reputazione invierà mai richieste di accesso o di immissione dei dati via SMS.