Smishing e vishing sono varianti della famosa truffa del phishing (variante di fishing, "pescare), che consiste in email fraudolente che – fingendo di provenire da banche o altri enti noti – hanno l'obiettivo di estorcere i dati sensibili della vittima. Queste due truffe si basano sullo stesso concetto, ma a differenza del phishing vero e proprio che avviene tramite email, queste truffe sono effettuate via SMS o chiamata vocale. Sono truffe che vengono spesso attuate in coppia dai malfattori, che adescano la vittima con un messaggio (smishing) allarmante, per poi "affondare il colpo" con una chiamata proveniente da un finto operatore (vishing).
Vediamo in questo articolo come funziona questo tipo di truffa, quali particolari ci consentono di riconoscerla in tempo e cosa fare se malauguratamente ci capita di abboccarci.
Ascolta qui la versione podcast
Cosa si intende per smishing e come funziona la truffa degli SMS fraudolenti
I messaggi di smishing vengono creati dai truffatori con l'intento di fingere di essere un ente noto – come per esempio una banca o una piattaforma di e-commerce – così da estorcere dati sensibili o denaro alle vittime. Questi messaggi sembrano provenire effettivamente dal numero della banca grazie ad una tecnica chiamata SMS spoofing, che consiste nel mascherare il proprio numero di telefono con il nome desiderato, che viene letto come mittente dalla vittima. Lo spoofing risulta funzionale per gli SMS, perché spesso banche o – per esempio – operatori telefonici mascherano spesso il proprio numero di telefono.
I messaggi di smishing possono essere utilizzati proprio come le email di phishing, oppure come esca. Prendendo il caso di un finto messaggio della banca, nel testo viene comunicato alla vittima qualcosa di preoccupante, come per esempio il tentativo da parte di un estraneo di accedere al nostro conto. Viene anche comunicato che un operatore ci chiamerà per darci supporto. Questo messaggio serve per spaventare la vittima e spingerla a fidarsi della successiva chiamata (vishing) che riceverà, in cui il truffatore finge di essere un operatore dell'assistenza.
I finti operatori e le chiamate fraudolente di vishing
Proseguendo con l'esempio di prima, neanche il tempo di capire cosa ci stia succedendo e riprenderci dallo spavento che veniamo chiamati da un numero sconosciuto. Dall’altra parte della cornetta troviamo una persona molto preparata, che ci conferma quanto letto nel messaggio e ci dice che vuole fare qualche verifica per evitare che il nostro conto venga bloccato. A questo punto, esistono diverse possibilità.
La finta risoluzione del problema e il furto di dati
Il truffatore potrebbe chiederci i dati della nostra carta e le credenziali di accesso al nostro conto così da utilizzarli per risolvere il problema.
Una volta acquisiti i nostri dati – però – il truffatore li usa per sottrarci soldi. A volte attende qualche tempo prima di usarli così da non insospettirci e evitare che blocchiamo la carta.
L'assistenza telefonica e le transazioni guidate
Può succedere anche che il finto operatore, per aiutarci, ci invita a fare alcune operazioni sul nostro conto con la sua supervisione telefonica. Tipicamente l’operatore ci invita a fare delle transazioni per verificare il nostro conto funzioni, assicurandoci che i soldi ci verranno restituiti. Parte da una transazione di poco valore – per esempio 5€ – che ci vengono effettivamente restituiti. A questo punto, conquistata la nostra fiducia alza la posta in gioco, e ci chiede transazioni sempre più alte, che però non ci verranno restituite.
L'efficacia di queste truffe sta nel trasmettere fiducia alla vittima
Questo tipo di truffa combinata è molto efficace grazie alla sensazione di fiducia che la vittima nutre per il truffatore. La vittima è portata a pensare che qualcun altro la stia cercando di truffare e confida quindi nel finto operatore.
Esistono anche casi di smishing o vishing da soli, in cui riceviamo direttamente un sms o chiamata da un numero sconosciuto in cui qualcuno cerca di estorcerci informazioni. Ma in questo caso è molto più semplice fiutare la truffa.
Come riconoscere e prevenire la truffa
Come capire quindi quando ci troviamo davanti a un caso di smishing e/o vishing?
Le comunicazioni importanti non avvengono via SMS o chiamata
La prima cosa importante da tenere a mente è che nessuna banca ci comunicherà mai via sms un’anomalia sul conto e, come per il phishing, non ci vengono mai richiesti i dati della carta o del conto se non tramite l'app o la piattaforma ufficiali della banca.
Gli enti non comunicano link via telefono
Se riceviamo via sms un link o un numero di telefono, è il caso di insospettirci. Nessun ente invia questo tipo di informazioni senza che siano state richieste da noi. I link contenuti nei messaggi potrebbero riportarci su siti poco sicuri, mentre per quanto riguarda i numeri di telefono, vanno sempre cercati sui siti ufficiali degli enti e non affidarci a quelli ricevuti via SMS se non espressamente richiesti da noi.
Gli errori di ortografia
I messaggi di smishing possono contenere degli errori di ortografia – cosa che non succede nei messaggi ufficiali – e spesso il nome dell’ente è contraffatto.
Siamo noi a chiamare l'assistenza
Per quanto riguarda il vishing invece, dobbiamo tenere presente che non veniamo mai chiamati dall’assistenza, siamo noi che la chiamiamo. Nessuno ci aiuta preventivamente. Quindi se un SMS della banca ci preoccupa, cerchiamo il numero della banca sul sito ufficiale e chiamiamo noi l’assistenza.
Come rimediare quando rimaniamo vittime di smishing e vishing
Se ci accorgiamo subito di aver dato i nostri dati alla persona sbagliata, blocchiamo immediatamente la carta direttamente dall’app della banca o chiamando l’assistenza.
Se invece ci accorgiamo tardi e troviamo poi sul conto delle transizioni non fatte da noi, allora possiamo fare richiesta di “disconoscimento” delle transazioni alla banca, che se riconosce la truffa ci rende i soldi.