Sms phishing, Spoofing, Smishing o Sim swapping: come difendersi dalle nuove truffe online

Se c'è un settore che non conosce crisi è senza dubbio quello delle frodi online. Stando all’ultimo report di Crif sul Cybercrime sono aumentati del 10,5% i furti combinati di numero di carta insieme al codice cvv (quello che si trova sul retro della carta) e alla data di scadenza. Nel 2022 il numero di alert inviati nel 2022 è di oltre 1,6 milioni, soprattutto sul dark web con 1,6 milioni di alert. Scorrendo la classifica dei paesi maggiormente soggetti al furto delle credenziali delle carte di credito, l'Italia occupa il 14esimo posto della classifica mondiale.

E difendersi in uno scenario in costante evoluzione non è così semplice. Sono frequenti ad esempio i reati ai danni dei correntisti bancari e postali spesso vittime della tecnica dello spoofing. Ma di che cosa si tratta esattamente? Come funzionano questi meccanismi?

Smishing o Sms phishing: di cosa si tratta

Lo Smishing o Sms phishing può essere definito come un'evoluzione del phishing. A differenza di quanto avviene nel phishing, però, lo smishing utilizza gli sms per raggiungere gli utenti, utilizzando tecniche piuttosto simili a quelle già viste per le email. Gli sms vengono generati con automatismi e sono così in grado di raggiungere automaticamente centinaia di persone al minuto. Nei messaggi in genere viene richiesto all'utente di aggiornare urgentemente il proprio account, viene promessa la possibilità di vincere premi o ricariche gratuite oppre viene informato che un dispositivo non autorizzato è connesso al conto online, quindi si invita l'utente a cliccare su un link per ovviare al problema. Se si clicca sul link si viene rimandati a pagine web fantasma di siti commerciali o di banche (spesso identiche alle originali) che possono essere confuse con quelle ufficiali, per questo motivo è opportuno fare attenzione. Con queste operazioni i malintenzionati riescono a carpire ogni giorno migliaia di dati personali, incluse le informazioni d'accesso di come user id e password di utenti ignari. Per convincere gli utenti a cliccare sugli sms truffa i malfattori usano la tecnica dello spoofing, cioè fanno apparire il numero di telefono da cui arriva l’sms come se fosse quello della banca o dell’emittente del malcapitato. E’ quello che è successo qualche giorno fa agli utenti di Bancoposta e Postepay che hanno ricevuto un finto sms che sembrava arrivare da Poste e che li invitava a confermare i loro dati personali. La cosa da sapere è che banche ed emittenti non chiedono mai queste informazioni via email o sms, quindi non cliccate sui link mai. E se avete dei dubbi contattate voi la banca o l’emittente.

Sim swapping, la truffa che clona le schede

Diretta conseguenza dello smishing sono le truffe chiamate "Sim swapping", letteralmente "scambio di Sim". La logica dietro questo tipo di attacchi sta nel fatto che alcuni malware si possono introdurre nel nostro smartphone (attenzione quindi ai link che clicchiamo sugli sms) e clonare la Sim del telefono. Dopo aver carpito il codice ICCID, il numero seriale che identifica in maniera univoca una scheda, è possibile per i malintenzionati ottenere un duplicato della Sim rivolgendosi direttamente all'operatore telefonico: a questo punto, con la Sim clonata è possibile ricevere chiamate e sms al posto del legittimo proprietario, oltre che accedere al mobile banking. Si tratta di frodi ben architettate e complesse, dato che richiedono anche il passaggio dall'operatore telefonico, e che sfruttano i bug sia del sistema bancario che quelli delle compagnie telefoniche. In questo disegno, chi ha la peggio è il cliente, ovvero la vittima finale. Banca d'Italia e Agcom sono al lavoro per mettere in campo misure adeguate, in grado di evitare il più possibile frodi di questo tipo. In attesa di vederle applicate, è importantissimo fare attenzione e sapere come muoversi in caso di necessità.

Hai subito una truffa? Ecco cosa fare

• Se hai ricevuto un sms di questo tipo, la prima cosa da fare è inviare una segnalazione alla Polizia postale e alla tua banca, eviterai così che altre persone possano cadere nella trappola;
• Se hai subito una perdita economica a causa di una truffa, ricorda che la banca è sempre responsabile dei malfunzionamenti dei propri sistemi: questo significa che non può addebitare al cliente gli utilizzi fraudolenti della sua carta o dell'home banking (a meno che non venga dimostrata la colpa o il dolo del cliente);
• Nel caso di truffa in cui risultino disposti bonifici fraudolenti o effettuati pagamenti dal tuo conto online o dalla tua carta, dopo averli bloccati fai subito un reclamo per iscritto alla banca o all'emittente della carta e chiedi il rimborso delle somme addebitate frutto di truffa;
• Se la banca non risponde entro 15 giorni lavorativi dal ricevimento del reclamo o se risponde negativamente, non rimane che fare un ricorso all'Arbitro bancario e finanziario.

Leggi anche la nostra analisi sullo spot Google Chrome e scopri perchè è pericoloso e la nostra news sui dati sottratti a Synlab e diffusi nel dark web.