Tutto parte da un finto SMS che sembra provenire da Poste Italiane e che chiede di convalidare i dati tramite un modulo linkato. Si tratta della campagna fake che ha di recente colpito gli utenti. Come in passato è Poste Italiane ad essere presa di mira. Ovviamente l’obiettivo della truffa è quello di ottenere i dati di accesso del malcapitato per sottrarre denaro dal conto.
In questo articolo in questo articolo di Giorgio Perego, IT Manager vediamo di cosa si tratta e come difenderci.
Nell'articolo
Poste italiane, cosa fare in caso di sms truffa?
Analizziamo il testo del messaggio:
“Gentile cliente, Poste Italiane per motivi di sicurezza la invita a convalidare i suoi dati al seguente link”.
Come possiamo vedere il messaggio è molto generico e proprio per questo è probabile che tragga più in inganno rispetto ad altri messaggi.
Se la vittima clicca sul link malevolo, viene reindirizzata su un sito web fake (ma identico a quello di Poste Italiane), dove verrà richiesto il numero di telefono e della carta di credito.
Lo step successivo sarà quello che verrà richiesto il codice OTP (One Time Password) ricevuto sul telefono.
A quel punto il gioco è fatto e il malintenzionato può operare sul conto della vittima.
Le avvertenze di Poste Italiane
Poste Italiane, così come la banca, rende noto che non chiederà mai di fornire telefonicamente, attraverso email, SMS o social network:
- Password
- Dati delle carte di credito
- Codici OTP
- PIN
- Credenziali, chiavi d’accesso o altri codici strettamente personali.
Come funziona l’SMS truffa che sembra di Poste Italiane?
Come nelle truffe precedenti, cliccando sul link si viene rimandati a una pagina web fake di Poste Italiane. Qui, se si procede all’accesso con i propri dati, se ne subisce il furto.
Nel dicembre del 2020 il contenuto dell’SMS fake era di aggiornare i dati al nuovo sistema PSD2 per evitare il blocco delle utenze.
Come difendersi dalla truffa di smishing?
Gli enti come Poste Italiane diffondono alcune raccomandazioni importanti da seguire, che valgono contro ogni tipo di phishing.
- Non rispondere mai ai messaggi di testo, alle mail di persone che non si conoscono, e non cliccare sui link.
- Entrare sul sito di Poste Italiane digitandone direttamente l’indirizzo sul browser.
- Non consegnare il proprio numeri di telefono sui social o altri canali per ridurre il rischio che sia usato per questo tipo di truffe.
- In generale tutte le banche, Poste Italiane (e anche Inps) non chiederanno mai i dati di accesso, né ti contattano via email o SMS chiedendoti di compiere azioni di questo tipo.
- Né i corrieri, né i negozi online possono mandare link via SMS dove scrivere le proprie credenziali; inviano solo SMS con il traccino del pacco.
- Non installare app da SMS o ricevute via mail; tutte le app devono provenire dall’app store ufficiale.
- Aggiornare sempre il sistema operativo del telefono.
- Bisogna avere un po’ di buon senso e cautela e in questo modo si possono evitare molte frodi e truffe.
Il codice breve degli SMS truffa
Nella maggior parte dei casi quando si ricevono questi SMS il numero del mittente non è sempre visualizzato in modo completo, (da 4 o 6 cifre); questo numero è chiamato codice breve; questo può aiutare l’utente a individuare l’ufficialità del messaggio.
Molte aziende utilizzano codici brevi (anche Poste Italiane), perchè più facili da leggere e ricordare. ATTENZIONE però perché anche i criminali informatici utilizzano questi codici brevi per gli SMS per distribuire malware.
Quando viene progettato un attacco di phishing o smishing le vittime ricevono un messaggio che utilizza un codice funzione, imitando i messaggi reali che potrebbero riportare un messaggio simile al seguente:
“Avviso di frode bancaria: conferma la tua transazione bancaria.”
Questo tipo di SMS contiene un link abbreviato che dirotta la vittima ad un’app dannosa richiedendo l’installazione subito sullo smartphone.
L’installazione dell’app malevola potrebbe tenere traccia della sequenza dei tasti rubando l’identità o crittografando i file e chiedere un riscatto esattamente come fanno i ransomware.
Gli SMS danno più sicurezza agli utenti e per questo lo smishing sta prendendo più piede del phishing via email. Proprio per questo motivo siamo condizionati a rispondere di più a un SMS e questo è utilizzato a vantaggio dei phisher.
Come dico sempre bisogna essere diffidenti sul web, prima di aprire una mail o cliccare su un qualsiasi link se non siete sicuri al 100% mettete tutto nel cestino.
Come sempre fatene buon uso facendo dei test su vostri device / computer, farli su device/computer non vostri è illegale.
N.B.: Non mi assumo nessuna responsabilità dell’uso che farete della guida, in quanto stilata per uso didattico e formativo.
Aggiornati con i corsi di formazione dell’Istituto INFORMA:
Consulta i volumi di EPC Editore:
Sono IT Manager di un gruppo italiano leader nella compravendita di preziosi presente in Italia e in Europa con oltre 350 punti vendita diretti e affiliati.
Sono una persona a cui piace mettersi in gioco e penso che non si finisce mai di imparare, adoro la tecnologia e tutta la parte sulla sicurezza informatica.
Mi diverto trovare vulnerabilità per poi scrivere articoli e dare delle soluzioni.