Truffa degli SMS: un evergreen intramontabile

Security Awareness
8 Febbraio 2024
Conto svuotato con un solo sms. Il tutto è accaduto a un anziano di Favaro Veneto

L’ultimo caso di smishing risveglia un allarme che non deve mai sopirsi

Altro che armi, visi coperti, fughe rocambolesche e azioni pericolose. Per svuotare i conti correnti oggi basta un sms.

L’ultima vittima è stato pochi giorni fa un pensionato di Favaro Veneto a cui è stato ripulito il conto in pochi minuti e che si è trovato a maledire subito dopo, non solo i criminali che lo hanno raggirato, ma soprattutto la sua stessa ingenuità.

L’anziano ha ricevuto un finto sms dalla banca che segnalava “un’operazione sospetta” e che, per generare ancora più fiducia, paventava la possibilità di parlare con un operatore per evitare il congelamento della carta. Naturalmente anche la telefonata del finto operatore antifrode che lo avvisava delle “verifiche in corso” sul conto corrente, era una truffa.

La vittima era però già entrata in uno stato emotivo allarmato e quindi poco lucido.
Una condizione mentale che spiana il terreno ai criminali. Il pirata in questione aveva dunque indicato alla vittima tutte le procedure da seguire per bloccare il pagamento. Dopo aver chiuso il telefono, l’uomo era rimasto in attesa di un sms che gli indicasse che l’operazione “era andata a buon fine”. É invece arrivata una nuova telefonata dal numero 39-113 questa volta di un finto poliziotto che ha consigliato alla vittima di contattare il numero verde del proprio istituto bancario per evitare la “frode ancora in corso”. A quel punto l’uomo ha iniziato ad avere sospetti e ha contatto la vera polizia che, ovviamente, ha smentito di aver telefonato.

A quel punto la vittima ha capito, ma ormai i giochi erano fatti, lui era caduto nel tranello e i soldi che aveva sul conto (tutti i suoi risparmi) erano spariti e finiti sul conto di qualcun altro.

Praticamente è come svegliarsi con una brutta botta in testa, che può lasciare segni anche molto profondi e dolorosi.

Lo smishing

Parliamo più esattamente dello smishing, la tecnica di attacco tramite sms, e del vishing (il phishing vocale), che certo non sono una novità, ma si consolidano come minacce anche perché gli attacchi si stanno facendo sempre più mirati e pericolosi, come quello accaduto al signore di Favaro Veneto.

L’attaccante può fingere di essere un poliziotto o un operatore di una banca, come nel caso appena raccontato, ma anche una persona conosciuta dalla vittima, come un familiare, un amico o un collega di lavoro, per aumentare la probabilità che la vittima si fidi del messaggio e venga attirata in una conversazione che lo porterà poi a consegnare i suoi dati personali.

Nell’ultimo anno i ricercatori hanno segnalato una rapida crescita degli attacchi condotti attraverso i dispositivi mobili. Questi prevedono l’invio di più messaggi da parte dei cybercriminali che puntano a generare un autentico coinvolgimento per creare fiducia e trascinare la vittima nel tranello. 

In questo periodo, l’aumento del volume degli attacchi “conversazionali” è stato del 318% a livello globale, del 328% negli Stati Uniti e del 663% nel Regno Unito.

Il successo nel mondo del cyber crime di queste tecniche sta in vari fattori: gli ormai diffusissimi filtri antispam delle email che, insieme a una maggiore e più diffusa consapevolezza degli utenti, stanno irrobustendo la barriera in grado di bloccare le mail di phishing; il fatto che, al contrario delle mail, i messaggi di testo vedono un tasso di apertura molto alto e la maggior parte di essi vengono aperti entro 15 minuti; inoltre, le compagnie telefoniche non hanno ancora predisposto metodi di filtraggio dei messaggi adeguati all’alto livello di rischio. Infine, c’è da considerare la grande facilità con cui un criminale informatico riesce a recuperare contatti telefonici.

Al truffatore non rimane dunque che inventare una storia credibile che funga da trappola per il destinatario del messaggio: Un problema con il conto corrente, con la carta di credito, la una vincita di un premio, ma anche la richiesta di aiuto di un amico o di un figlio che scrive di aver perso il cellulare. 
Insomma qualsiasi cosa che possa condurre in modo convincente il malcapitato a cliccare su un link malevolo.

Il Vishing, poi, è ancora più subdolo perché dall’altra parte della cornetta c’è una voce che sembra molto convincente e che chiama da un numero conosciuto che può essere, quello della banca, della compagnia di assicurazioni o di altre strutture.

Addirittura le cronache degli ultimi anni hanno registrato storie di voci riprodotte con l’Intelligenza artificiale e che, fingendosi amministratori delegati di aziende hanno chiesto ai loro sottoposti spostamenti di grosse somme di denaro.

Le raccomandazioni

Anche nel caso di questi due generi di crimine ci sono delle raccomandazioni sempre valide:

  • per lo smishing non cliccare su nessun link sospetto, non compilare moduli con i propri dati, perlomeno senza aver prima chiamato la banca, o l’assicurazione, o l’azienda in questione ed essersi accertati della affidabilità del messaggio. 
  • per il vishing molti suggeriscono la biometria vocale che riesce a  verificare l’identità di un chiamante sulla base di una rappresentazione matematica di una voce memorizzata in un database.

Quel che è certo è che non si può più prescindere, soprattutto a livello aziendale, da una formazione aggiornata e in grado di stare al passo con le veloci evoluzioni della pirateria.
Quest’ultima non sembra voler smettere di inventare nuovi modi per truffare aziende, amministrazioni, società e privati cittadini. L’unica cosa che può fermarla è confrontarsi con utenti preparati e in grado di rispondere agli attacchi con altrettanta furbizia.

Considerato che è sempre il fattore umano a permettere ai pirati di farla franca, come nell’ultimo caso di cronaca, la preparazione, la consapevolezza e la corretta postura digitale di ogni utente rappresentano la barriera più efficace per porre un argine al rischio informatico sempre più allarmante.

Articoli correlati

Anche lo Sport è sotto attacco cyber

Anche lo Sport è sotto attacco cyber

Le violazioni al Bologna Calcio e allo Stadio San Siro. I pirati del gruppo RansomHub pubblicano su Dark Web alcuni dei documenti sottratti e chiedono al club di Serie A di pagare un riscatto. "Una delle brecce di dati più grandi della storia dello sport italiano”,...

leggi tutto