Tornano gli sms truffa che si fingono provenire da Poste Italiane. È in corso una nuova campagna malevola di smishing (phishing via SMS), proveniente da numeri sconosciuti: “gentile cliente, Poste Italiane per motivi di sicurezza la invita a convalidare i suoi dati al seguente link”.
La genericità del messaggio può trarre in inganno sia i clienti di Poste Italiane sia tutti coloro che ne utilizzano quotidianamente i servizi, come l’invio o la ricezione di pacchi. La vittima viene quindi reindirizzata su un sito Web malevolo che richiama in tutto e per tutto quello di Poste Italiane per convincerla a comunicare il suo numero di telefono e quello della carta di credito. Successivamente, l’utente viene invitato ad inserire il codice di sicurezza OTP (One Time Password) che ha appena ricevuto sul suo telefono.
A quel punto i criminal hacker sono in grado di operare online per suo conto. Poste Italiane, da parte sua, fa sapere che non ha mai chiesto ai suoi clienti né chiederà mai telefonicamente o attraverso e-mail, SMS e messaggi sui social network di fornire password, dati delle carte di credito, codici OTP, PIN, credenziali, chiavi di accesso all’home banking o altri codici personali.
Indice degli argomenti
Come funziona l’SMS truffa che finge provenire da Poste Italiane
Il nuovo attacco di smishing segue di poco quello già identificato e denunciato sempre da Poste Italiane a settembre 2019. In quell’occasione, l’SMS chiedeva di cambiare per sicurezza (“Gentile Cliente, ci sono problemi sul tuo conto…”) le credenziali del conto e di cliccare su un link, contenuto nello stesso SMS, per farlo. Anche in questo caso, al link c’era una pagina Web che fingeva di essere quella di Poste; se l’utente effettuava il login con i propri dati di accesso ne subiva il furto.
A dicembre 2020 la scusa presente nel messaggio era aggiornare i propri dati al nuovo sistema PSD2 per evitare il blocco delle utenze postali.
Come difendersi dagli SMS truffa di (pseudo) Poste o altre banche
La stessa Poste Italiane sta diffondendo alcune raccomandazioni di difesa, alcune delle quali valgono contro ogni tipo di phishing bancario. Vediamole, insieme ad altri consigli che possiamo individuare.
- In generale, non rispondere ai messaggi di testo di persone che non si conoscono, né cliccare sui link
- Entrare nel sito di Poste digitandone direttamente l’indirizzo sul browser (è vero, i truffatori possono avere installato un malware che dirotta la nostra navigazione sul sito-truffa, ma non è così frequente e comunque non è il caso dell’ultimo attacco smishing).
- Non divulgare il proprio numero di telefono sui social o altri canali, per ridurre il rischio che sia usato per mandare questi sms truffa; (i truffatori potrebbero anche riuscire a clonarlo, per intercettare l’sms otp di accesso al conto; la nuova PSD2 bandisce gli sms otp ma non tutte le banche si sono ancora adeguate)
- Ricordarsi in generale che Poste, come le altre banche (ma anche Inps), non chiedono mai i dati di accesso; né contattano il cliente via mail o sms per chiedergli di compiere azioni online di questo tipo (al solito si limitano a dare informazioni su cambi di contratto o sulla presenza di nuovi documenti online)
- Nemmeno i corrieri o i negozi online possono mandare sms con link per scrivere le proprie credenziali (altro tipo di truffa in voga); mandano solo sms con il tracking del pacco
- Non installare mai app dai messaggi di testo (SMS). Tutte le app installate sul dispositivo devono provenire direttamente dall’app store ufficiale. Questi programmi hanno procedure di test vigorose da eseguire prima di essere autorizzati sul mercato.
- Assicurarsi che il sistema operativo del tuo telefono sia aggiornato. Android e iOS vengono costantemente aggiornati con funzionalità di sicurezza avanzate. Sui modelli Android e iPhone, la pagina delle impostazioni del telefono dovrebbe indicare quale sistema stai utilizzando e se è disponibile un aggiornamento.
Con solo un po ‘di buon senso e cautela, ci si può assicurare di non diventare vittima di una frode smishing
Guida pratica per IT Manager all’Operational Risk Framework, clicca qui e scarica il White Paper
Il codice breve degli SMS truffa
Un’ultima nota: se hai ricevuto uno di questi messaggi truffa, potresti aver notato che il numero del mittente non viene sempre visualizzato come un numero di telefono completo di 10 cifre, ma può essere invece un numero da quattro a sei cifre. Quel numero breve è chiamato “codice breve”. Ed è un dettaglio interessante, perché può aumentare le probabilità di convincere l’utente che si tratta di un messaggio ufficiale. Numerose aziende legittime utilizzano codici brevi per una serie di motivi. Sono progettati per essere più facili da leggere e ricordare dei numeri di telefono e sono in genere univoci per le aziende che li utilizzano per evitare sovrapposizioni. Tuttavia, le aziende legittime non sono le uniche ad abbracciare la tendenza degli SMS e dei codici brevi. Anche i criminali informatici stanno usando questo mezzo per rubare informazioni e distribuire malware mobile.
In un phishing SMS o in un attacco “smishing”, i target ricevono un messaggio di testo che utilizza un codice funzione. Spesso, questi messaggi imitano quelli legittimi che potresti ricevere, ad es. “Avviso di frode bancaria: conferma la tua transazione bancaria”. Questo tipo di messaggio include un link abbreviato da aprire, ma in genere ciò porta a un’app dannosa installato sul tuo smartphone. Una volta che è lì, l’app dannosa potrebbe tenere traccia delle sequenze di tasti, rubare la tua identità o crittografare i file sul telefono e conservarli per il riscatto. Proprio come con un’e-mail di phishing, i criminali useranno i messaggi SMS per indurre gli utenti a visitare siti web dannosi o a scaricare app errate. Uno dei motivi dell’aumento del furto di dati attraverso lo smishing è che oggigiorno le persone si fidano più dei messaggi di testo che delle telefonate o e-mail. Gli SMS hanno sostituito la telefonata come il canale di comunicazione dei consumatori più popolare. Pertanto, mentre ignoriamo il più delle volte le telefonate da numeri sconosciuti, siamo condizionati a rispondere ai messaggi di testo e i phisher lo utilizzano a proprio vantaggio Allo stesso modo, non esistono soluzioni di cyber security in grado di riconoscere messaggi di testo fraudolenti e i criminali stanno ottenendo successo a causa di ciò.
Articolo originario pubblicato in data 29 settembre 2019 e aggiornato in seguito alla scoperta di una nuova campagna di attacco smishing ai danni dei clienti di Poste Italiane.
