Truffa Poste Italiane: SmS sul Vostro Numero vi Invita ad Aggiornare i Dati. Phishing (SMiShing)
Se da un lato l’Europa ci richiede di adottare un sistema di sicurezza in più, in linea con il nuovo protocollo Psd2 tanto reclamato, dall’altro alcuni malviventi hanno pensato bene di utilizzarlo per una truffa ai danni di clienti di Poste Italiane.
I truffatori, per cercare di carpire i vostri dati, le credenziali di accesso e le informazioni personali poi rivendibili e riutilizzabili per intenti criminali, stanno adottando sempre più un nuovo sistema di Phishing slegato però dall’invio di email truffaldine.
Sul vostro numero di cellulare arriverà un SMS con un tono abbastanza urgente e psicologicamente studiato per scatenare ansia e panico in modo da ottenebrare la ragione anche solo per pochi minuti, nel quale “si richiede di aggiornare i vostri dati al nuovo sistema Psd2 evitando così il bloccco delle utenze postali”.
Si tratta del fenomeno noto come Smishing, ossia il tentativo di appropriarsi dei vostri dati e delle vostre informazioni utilizzando il canale degli SMS, a cui magari le persone danno maggiore fiducia, visto e considerato che i truffatori non dovrebbero avere facilità di ottenere questi numeri.
All’interno dell’sms è presente una minaccia vaga, come per esempio la chiusura delle utenze postali, ma tanto bene architettata da mettere in allarme tutti quei cittadini che sono quotidianamente serviti da Poste, ad esempio anche solo per i servizi di consegna delle missive e dei pacchi.
Nel SMS è ovviamente presente sempre il fatidico link che conduce ad una pagina web progettata per essere somigliante in tutto e per tutto a quella di Poste, con gli stessi loghi, contatti e finanche il numero di Partita IVA indicato a fondo pagina.
L’obiettivo è chiaro: confondere l’utente che non si accorgerà di essere su di una pagina finta (il trucco del cosiddetto “Mago di Oz”) e fare in modo che inserisca il numero della carta e l’autorizzazione ad operare sul suo conto postale in sua vece.
Per far questo, basta chiedere alla persona truffata di inserire il codice temporaneo che arriverà sul suo numero di telefono, la OTP (One Time Password), ossia la password generata per disporre un’operazione, quale una transazione, ossia un acquisto.
Un sistema di SMISHING ben orchestrato, dunque, contro i clienti di Poste Italiane, quelli più facilmente reperibili (quasi tutti gli italiani hanno interessi aperti con l’azienda cui sono legati anche storicamente), ma che potrebbe anche diffondersi a macchia d’olio tentando di colpire altre aziende.
Poste Italiane, oltre ad avvisare i propri clienti con i mezzi a disposizione, ha provveduto ad oscurare il sito fraudolento preparato ad hoc lo scorso 19 novembre. La Centrale Antiphishing di Poste, dunque, ha funzionato a dovere stroncando sul nascere un sito web che, secondo quanto riportato dai giornalisti di Repubblica, sarebbe stato registrato solo poche settimane prima. Nonostante la breve attività, qualcuno potrebbe essere stato attirato nel tranello.
SMiShing vs Phishing
Lo SmiShing, come abbiamo detto, è una derivazione del noto fenomeno denominato Phishing: al posto di utilizzare il canale delle email, correlato all’utilizzo vero e proprio di internet, i truffatori utilizzano il vecchio sistema di comunicazione degli SMS (Short Message Service).
Lo Smishing, contrariamente al Phishing, ha il vantaggio insito nel sistema stesso che utilizzato gli SMS: non esiste alcun sistema di protezione a monte o di controllo sui messaggini che vi arrivano sul cellulare, mentre, al contrario, i maggiori client di posta elettronica bloccano o segnalano oramai qualsiasi tentativo di phishing ed hanno imparato a riconoscere le email fraudolente grazie ad algoritmi applicati.
Oltre a questo vantaggio incredibile, i truffatori tendono ad utilizzare sempre più lo smishing perché è possibile confondere i destinatari degli sms riuscendo ad utilizzare il medesimo canale utilizzato dalle Poste per spedire i messggi di avvenuta consegna. I destinatari dei messaggi, infatti, troveranno l’SMS truffaldino nella stessa conversazione aperta con la vera società Poste. Coloro che pensano ed ideano queste truffe, infatti, hanno trovato il modo di far credere al nostro smartphone che quel mittente sia il medesimo.
Il consiglio è sempre quello di non cliccare il link fraudolento anche perché Poste Italiane non agisce mai in questo modo ed avvisa tutti sulla questione, in modo anche molto frequente.
Psd2
La Psd2 è una direttiva comunitaria che ha introdotto nuove procedure di sicurezza per i device mobile, siano essi smartphone ovvero tablet, etc. Gli Stati membri dell’Unione e quindi anche le stesse società, stanno aderendo piano piano a questo standard previsto in modo tassativo.
Se da un lato la sicurezza del cittadino è tutelata mediante l’applicazione di queste nuove regole, dall’altro i criminali, subodorando l’opportunità, stanno approfittando della confusione che ingenera un cambiamento rivoluzionario cercando di cavalcare la disinformazione o alcune lacune temporanee.
Proprio a tal proposito, i tentativi di Phishing e Smishing, con email ed SMS fraudolenti, stanno aumentando a dismisura: l’oggetto della missiva o del messaggino è più o meno sempre lo stesso, ovvero si richiede di aggiornare i dati e le proprie informazioni in modo da conformarsi a quanto previsto dalla nuova direttiva europea.
A tal proposito, Poste Italiane, i cui dirigenti massimi sono stati intervistati dai giornalisti di Repubblica, ha spiegato esaustivamente quanto sta accadendo. Ecco lo stralcio della spiegazione:
(…) l’evento relativo alla scadenza dei dettami della normativa Psd 2 ha sicuramente fornito lo spunto per una serie di messaggi di smishing che, alla luce della nostra analisi antifrode, si presentano simili o comunque legati ad una proposta commerciale particolarmente vantaggiosa al termine della quale il phisher proponeva di accedere al link che conduce al sito fraudolento che avrebbe invitato i clienti a rilasciare i propri dati bancari riservati o i dati sensibili.
Attenzione, dunque e, parafrasando il titolo di un film cult del passato “Non Cliccate Quel Link!”.