What is smishing and what to do in case of a scam

Lo smishing è un tipo di phishing che viene effettuato dai criminali informatici inviando messaggi di testo al tuo cellulare, con lo scopo di ottenere i tuoi dati personali o di farti installare malware.

Si chiama smishing come risultato della combinazione dei termini SMS + phishing. 

I messaggi di testo possono arrivare tramite il servizio SMS (Short Message Service) del tuo operatore di telefonia mobile, o applicazioni di messaggistica istantanea come Whatsapp, Telegram, Twitter, ecc.

Gli SMS sono messaggi di lunghezza limitata (di solito 140 caratteri), i messaggi istantanei invece sono di solito più lunghi e si ricevono sulle app di messaggistica mobile, anche se è possibile riceverli sul PC se si utilizza la versione web di queste app.

I criminali informatici utilizzano l'ingegneria sociale per convincere il destinatario a rispondere o a cliccare su un link, inviando brevi messaggi e fingendo di provenire da siti fidati come aziende note, il tuo operatore telefonico, banche, social network, ecc... al fine di farti leggere il messaggio e seguire le loro istruzioni. 

Gli SMS e i messaggi istantanei hanno una dimensione più limitata di un'e-mail, e vengono usati da aziende e altre organizzazioni (o enti) per comunicare informazioni tempestive in una forma molto abbreviata. I criminali informatici approfittano di questo sistema dei messaggi brevi perché sono più facili da imitare.

I messaggi di testo sono di solito urgenti e ti chiedono di eseguire un'azione immediata, come chiamare un numero di telefono (ad un costo elevato), rispondere al messaggio o cliccare su un link (infettando il tuo cellulare) che ti reindirizza a un falso sito web che ti chiede le tue credenziali o di scaricare e installare un'applicazione sul tuo telefono o un programma sul tuo PC. 

I tipi più frequenti di smishing sono: false notifiche di pacchi che non si sono riusciti a consegnare, bollette errate che comportano un rimborso, aggiornamento dei dati bancari per evitare il blocco del conto, problemi con il pagamento di tasse e bollette, vulnerabilità di sicurezza rilevate nel tuo cellulare o PC, falsi premi, promozioni, offerte di lavoro, ecc.

Un altro metodo è quello di avvisare l'utente di un abbonamento a un servizio premium, che comporta un pagamento periodico. Nell'SMS, ti chiedono di annullare l'abbonamento rispondendo all'SMS con la parola “cancella l’iscrizione” (unsubscribe) ma in realtà è proprio la risposta all'SMS che fa scattare la sottoscrizione.

I messaggi di smishing sono simili alle e-mail di phishing, poiché utilizzano lo stesso tipo di tecniche:

• Ricevi un SMS o un messaggio istantaneo che ti informa di qualcosa di urgente o troppo importante. 
• Il messaggio proviene da un numero sconosciuto o possono anche usare il nome della banca o altro ente noto (come BBVA).
• Ti chiedono di fornire loro dettagli personali o bancari.
• Ti chiedono di cliccare su un link riportato nel messaggio o di installare un software per risolvere un problema.

In most cases, they do not know it. Gli attacchi sono condotti su larga scala, sperando che alcune delle persone che ricevono il messaggio cadano nella truffa fornendo i loro dettagli o installando un software maligno. They usually do not select their victims. Nel caso dei numeri di telefono, poiché hanno lo stesso codice di intestazione e sono consecutivi, è facile realizzare una campagna di smishing, semplicemente inviando lo stesso messaggio SMS a tutti i cellulari con un certo prefisso di una compagnia telefonica.

Possono anche ottenere ulteriori informazioni da internet e dalle reti sociali sulla persona a cui appartiene il numero di telefono. In questo modo, possono ottenere informazioni come il tuo nome e cognome, la città in cui vivi, ecc. che usano per preparare un messaggio più personalizzato e rendere la truffa più credibile.

Dato che non puoi evitare di ricevere messaggi SMS sul tuo cellulare o nella tua applicazione di messaggistica istantanea, è importante che quando ricevi questi messaggi, impari a identificarli, diffida del loro contenuto e agisci con cautela, soprattutto se contengono un link.

• Non rispondere all'SMS senza aver prima verificato il mittente. Contatta direttamente l'azienda che presumibilmente ti ha inviato il messaggio e conferma il motivo del messaggio. La migliore protezione contro questi attacchi è non fare quello che vi viene chiesto di fare. Non cliccare sul link e non scaricare allegati. Nel caso di BBVA, puoi controllare se il mittente viene da uno di questi domini: <@bbva.it>, <@pec.bbva.it> o <@email.bbva.it>. 
• Evita di memorizzare password non criptate o informazioni bancarie sul tuo cellulare.
• Personalizza le opzioni di sicurezza del mobile banking con password sicure e sistemi di doppia verifica.
• Diffida di offerte o premi allettanti e facili da ottenere, perché non sono reali.
• Diffida dai messaggi allarmanti che hanno un tono urgente, contengono errori di ortografia o refusi, e non sono indirizzati a te in modo personalizzato.
• Non fornire mai dati segreti, come le password del tuo online banking, le password OTP ricevute di recente via SMS, i dettagli della carta, il codice PIN, il codice CVV, la data di scadenza o altri dettagli bancari.

In questo caso è necessario agire immediatamente seguendo queste linee guida:

• Segnala il caso alla tua banca: Se ricevi un SMS o un messaggio istantaneo con le caratteristiche descritte sopra e sospetti che si tratti di smishing, scatta una foto della schermata con il messaggio, cancellalo e informa la tua banca il prima possibile. Le principali organizzazioni ed enti hanno canali appropriati per segnalare questi casi e includono istruzioni su come farlo. 
• Cambia le tue password: se hai dato le tue password, i PIN delle carte, i codici di accesso, ecc... modify them as soon as possible.
• Esegui un antivirus: se hai installato un software, disinstallalo e usa un antivirus per rimuovere qualsiasi malware che possa essere stato installato sul tuo computer. Fai lo stesso con altri file che potresti aver scaricato.

Puoi anche notificarlo pubblicamente tramite il sito https://www.commissariatodips.it/ o di persona presso il commissariato di Polizia più vicino, consultabile nella lista dei Punti di Interesse degli Uffici di Polizia (Questure e Commissariati).

Ricorda che BBVA non ti chiederà mai il tuo nome utente, la password, l'OTP ricevuta via SMS, il numero completo del tuo conto o della tua carta, via SMS o messaggistica istantanea.