Il linguaggio dell’sms in circolazione in questi giorni è molto invitante. E se non si è informati, si rischia di rimetterci moltissimo.
Ormai è più facile mettere a segno un crimine sul web che nel mondo reale. Rischia soprattutto chi non ha molta esperienza e non è informato sui pericoli che si corrono, quando si apre un conto corrente.
Altre possibili vittime sono coloro che per distrazione, sonno o qualunque altro impedimento, non sono lucidi. Allora è facile lasciarsi prendere dall’emotività o dalla curiosità e assecondare un sms che annuncia un accredito bancario. Chi segue le istruzioni dell’sms, ahinoi, si trova nei guai.
Il messaggio sms simula l’avvenuto incasso di 200 euro e chiede di cliccare su un link che apre un finto sito internet. I truffatori creano siti dall’aspetto simile a quello di una banca o una carta di credito o altra azienda realmente esistente, ma è tutta e soltanto apparenza. In realtà, leggendo bene l’indirizzo del sito, si capisce già che non ci si può fidare. Sono cloni, false copie di siti veri. Un linguaggio suadente invoglia il malcapitato a inserire i suoi dati bancari. Se lo fa, sarà derubato ben prima di accorgersene. Nel testo, è facile trovare errori di grammatica o approssimazioni.
Sms ingannevole che contiene un link trappola
Un link è fatto di alcune parole, solitamente evidenziate e sottolineate. Cliccandole, portano la vittima sul sito ingannevole. Può avvenire per sms o anche nella messaggistica di Whatsapp o di vari social media. L’ultimo tipo di frode circola per messaggio e viene definita smishing, una forma particolare di phising. Il motivo è che il truffatore usa il cellulare della vittima come piattaforma di attacco e gli invia sms. Di qui la parola stessa SMiShing. Il phishing è appunto una condotta fraudolenta molto diffusa, che da tempo fa uso di e-mail e di profili falsi creati sui social media.
I criminali del web hanno potuto constatare che le persone generalmente si fidano più di un sms che di un’e-mail. In passato i tentativi di truffa correvano soprattutto tramite seconde, facendo uso di loghi di banche e carte di credito, falsificandoli. Immagini e simboli completano quel tipo di messaggi. Sono email che annunciano una vincita, o comunque chiedono un intervento urgente.
Chiedono addirittura un riscatto per evitare che il computer venga bloccato. Vantano anche di possedere già le credenziali bancarie. E chi non paga il riscatto in tempi rapidi perderebbe tutto il proprio patrimonio e l’identità digitale. Nulla di più falso, ma qualcuno, spaventato, ha pagato. Un altro tipo di truffa consiste di un finto avviso di sicurezza.
Messaggi di ricatto o di sicurezza, ma sempre falsi
L’sms in questo caso avverte che è stato bloccato un accesso sospetto, con credenziali probabilmente rubate, al sito della Postepay. Il truffatore si presenta come Poste.it, ma certamente non lo è. La vittima è invitata a cambiare nome utente e password, per evitare altri tentativi di furto. E chiede di registrarsi di nuovo, rapidamente, su un’applicazione consigliata. Non è altro che un tentativo di carpire le credenziali.
I giudici condannano lo smshing, perché i malviventi contano sull’effetto sorpresa, che può spiazzare qualunque utente del web. La simulazione del messaggio di testo che può apparire genuino completa lo scenario fraudolento. La vittima, benché alla fine risarcita, ha tuttavia subito numerosi fastidi e perdite di tempo per ripristinare la propria sicurezza.
Annunci di bonus piovuti dal cielo e accrediti bancari
Per gli hacker è più facile digitare dieci numeri a caso e trovare così un numero di cellulare, che scoprire un indirizzo email personale. Per questo il phishing si evolve in smishing. E usa formule ingannevoli sempre nuove. L’ultimo tipo, come si diceva all’inizio, è quello del finto bonus. L’sms parla di un bonus già accreditato: “Hai ricevuto un bonus al tuo conto di investimento! Inizia da 200 euro e guadagna fino a 1.500 euro di profitto”.
Segue poi la tipica formula, che l’utente ha seguito in buona fede, nei rapporti con persone di fiducia. “Per più info clicca qui“. E lì si apre il baratro, mettendo l’utente di fronte a siti finti dove l’imbroglio sarà consumato del tutto. La truffa è alimentata psicologicamente. Una volta ottenuta la fiducia della vittima, conquistata la sua emotività, sarà proprio la vittima a vuotare le proprie tasche a favore del criminale.
Accortezza e cautela per prevenire le frodi
Bisogna quindi sempre tener presente che nessun ente pubblico e nessuna istituzione finanziaria seria chiedono le credenziali per email o per sms, che sia una banca, o le Poste o una carta di credito. I cittadini vengono spesso richiamati a seguire i canali ufficiali e non messaggi improvvisi dal contenuto fortemente emotivo e spiazzante.
Mai dare quindi le proprie credenziali ad altri via internet. Il messaggio dà un’informazione urgente? Si controlli nel modo consueto. Se si ha ottenuto veramente un bonus sul conto corrente, una telefonata alla banca o un accesso all’home banking lo verificherà. E se l’sms annuncia un bonus Amazon, il cittadino potrà informarsi collegandosi al sito di Amazon.