News

Sms phishing, Spoofing, Smishing o Sim swapping: come difendersi dalle nuove truffe online

È un settore in costante evoluzione e che non conosce crisi, anche in tempo di pandemia. Parliamo delle truffe online, trappole architettate in ogni minimo dettaglio che possono arrivare a clonare le Sim e a operare per conto nostro tramite l'home banking. Conoscerle è il primo passo per imparare a difendersi: ecco come funzionano lo Smishing (o Sms phishing), lo spoofing il Sim swapping e cosa fare se sei rimasto vittima di una di queste frodi.

  • contributo tecnico di
  • Anna Vizzari
  • di
  • Roberto Usai
24 novembre 2021
  • contributo tecnico di
  • Anna Vizzari
  • di
  • Roberto Usai
Sms phishing, smishing o Sim swapping: come difendersi dalle nuove truffe

Se c'è un settore che non conosce crisi, anche in tempi di pandemia, è senza dubbio quello delle frodi online. Stando all'ultimo report diffuso dalla Polizia postale, nei primi mesi del 2020 si è registrato un aumento del 600% delle email di phishing in tutto il mondo, con l'incremento dell'utilizzo di temi correlati al Covid-19 per colpire bacini di utenti (e aziende) sempre più ampi. Il tema della violazione dei dati e della privacy degli utenti continua periodicamente a tornare sotto i riflettori. E difendersi in uno scenario in costante evoluzione non è così semplice. Ultima in ordine di tempo la truffa ai danni dei clienti di Bancoposta e Postepay, in questo caso usando la tecnica dello spoofing.

Smishing o Sms phishing: di cosa si tratta

Lo Smishing o Sms phishing può essere definito come un'evoluzione del phishing. A differenza di quanto avviene nel phishing, però, lo smishing utilizza gli sms per raggiungere gli utenti, utilizzando tecniche piuttosto simili a quelle già viste per le email. Gli sms vengono generati con automatismi e sono così in grado di raggiungere automaticamente centinaia di persone al minuto. Nei messaggi in genere viene richiesto all'utente di aggiornare urgentemente il proprio account, viene promessa la possibilità di vincere premi o ricariche gratuite oppre viene informato che un dispositivo non autorizzato è connesso al conto online, quindi si invita l'utente a cliccare su un link per ovviare al problema. Se si clicca sul link si viene rimandati a pagine web fantasma di siti commerciali o di banche (spesso identiche alle originali) che possono essere confuse con quelle ufficiali, per questo motivo è opportuno fare attenzione. Con queste operazioni i malintenzionati riescono a carpire ogni giorno migliaia di dati personali, incluse le informazioni d'accesso di come user id e password di utenti ignari. Per convincere gli utenti a cliccare sugli sms truffa i malfattori usano la tecnica dello spoofing, cioè fanno apparire il numero di telefono da cui arriva l’sms come se fosse quello della banca o dell’emittente del malcapitato. E’ quello che è successo qualche giorno fa agli utenti di Bancoposta e Postepay che hanno ricevuto un finto sms che sembrava arrivare da Poste e che li invitava a confermare i loro dati personali. La cosa da sapere è che banche ed emittenti non chiedono mai queste informazioni via email o sms, quindi non cliccate sui link mai. E se avete dei dubbi contattate voi la banca o l’emittente.

Sim swapping, la truffa che clona le schede

Diretta conseguenza dello smishing sono le truffe chiamate "Sim swapping", letteralmente "scambio di Sim". La logica dietro questo tipo di attacchi sta nel fatto che alcuni malware si possono introdurre nel nostro smartphone (attenzione quindi ai link che clicchiamo sugli sms) e clonare la Sim del telefono. Dopo aver carpito il codice ICCID, il numero seriale che identifica in maniera univoca una scheda, è possibile per i malintenzionati ottenere un duplicato della Sim rivolgendosi direttamente all'operatore telefonico: a questo punto, con la Sim clonata è possibile ricevere chiamate e sms al posto del legittimo proprietario, oltre che accedere al mobile banking. Si tratta di frodi ben architettate e complesse, dato che richiedono anche il passaggio dall'operatore telefonico, e che sfruttano i bug sia del sistema bancario che quelli delle compagnie telefoniche. In questo disegno, chi ha la peggio è il cliente, ovvero la vittima finale. Banca d'Italia e Agcom sono al lavoro per mettere in campo misure adeguate, in grado di evitare il più possibile frodi di questo tipo. In attesa di vederle applicate, è importantissimo fare attenzione e sapere come muoversi in caso di necessità.

Hai subito una truffa? Ecco cosa fare

  • Se hai ricevuto un sms di questo tipo, la prima cosa da fare è inviare una segnalazione alla Polizia postale e alla tua banca, eviterai così che altre persone possano cadere nella trappola;
  • Se hai subito una perdita economica a causa di una truffa, ricorda che la banca è sempre responsabile dei malfunzionamenti dei propri sistemi: questo significa che non può addebitare al cliente gli utilizzi fraudolenti della sua carta o dell'home banking (a meno che non venga dimostrata la colpa o il dolo del cliente);
  • Nel caso di truffa in cui risultino disposti bonifici fraudolenti o effettuati pagamenti dal tuo conto online o dalla tua carta, dopo averli bloccati fai subito un reclamo per iscritto alla banca o all'emittente della carta e chiedi il rimborso delle somme addebitate frutto di truffa;
  • Se la banca non risponde entro 15 giorni lavorativi dal ricevimento del reclamo o se risponde negativamente, non rimane che fare un ricorso all'Arbitro bancario e finanziario.