A molti è già capitato, specie a chi ha installato una o più app delle Poste Italiane (per la gestione dello SPID o per il conto Banco Posta). Si riceve un Sms che sembra provenire dall’ente e che porta proprio alla applicazione o al sito che, almeno all’apparenza, sembra quello dell’istituto di credito o postale. Chi lo legge è indotto a pensare che possa trattarsi di un aggiornamento dati, come ad esempio il rinnovo della password di primo o secondo livello, o delle credenziali di accesso in genere. Ma in realtà si tratta di una truffa. A insospettire i consumatori più attenti è la url contenuta nel messaggio, che appare insolita. Ma il fatto stesso di ricevere un Sms dalle Poste dovrebbe metterci subito in allerta, perché l’ente non ricorre mai a questo strumento per comunicazione del genere. Ecco come riconoscere la trappola e cosa fare per difendersi.
La nuova truffa
«Si tratta di una delle truffe che stanno girando e riguardano operatori postali, ma anche bancari, come ad esempio Banca Intesa-San Paolo. Al cliente arriva un Sms che, spesso indicando generici problemi relativi alle credenziali, induce a cliccare su un link che chiede le credenziali della carta di credito o dell’homebanking» conferma Anna Vizzari, economista dell’Ufficio Studio di Altroconsumo. È una tecnica molto diffusa e spesso accompagnata da un altro raggiro, lo “spoofing telefonico”: «Il truffatore o hacker modifica il numero dal quale chiama o invia l’Sms, fingendo di essere un istituto bancario o postale, in pratica utilizzando quello vero dell’ente per il quale si spaccia. Il primo consiglio e più importante è di non fornire mai alcun tipo di credenziali cliccando sul link. In caso di dubbio è bene chiamare le Poste o la banca, anche perché queste non chiederanno mai informazioni di questo genere – di cui sono già in possesso – tramite un Sms» spiega l’esperta. La nuova truffa, dunque, si aggiunge ad altre analoghe di cosiddetto “smishing”, ossia il “phishing” ma non tramite email, bensì via Sms.
Cos’è lo smishing
Il meccanismo è identico a quello utilizzato per il phishing: si riceve un Sms (e non un’email come nel phishing) dove spesso si legge: «Gentile cliente, Poste Italiane per motivi di sicurezza la invita a convalidare i suoi dati al seguente link». La vittima viene quindi reindirizzata su un sito web malevolo, tramite un link che ha una url sospetta, che non coincide con quella ufficiale delle Poste. Una volta dentro, l’utente viene invitato ad inserire il codice di sicurezza OTP (One Time Password) che ha appena ricevuto sul suo telefono. Se lo fa, però, corre il rischio di vedersi sottrarre credenziali, identità e denaro, perché spesso in questo modo i malintenzionati sono in grado di entrare nel conto corrente o di avere accesso a carte di credito o prepagate.
I consigli anti-truffa
Già in passato, in occasione di truffe analoghe, Poste Italiane aveva messo in guardia da possibili truffe, esortando a prestare attenzione. Ecco i consigli da seguire: non rispondere ai messaggi di testo inviati da persone che non si conoscono, né cliccare sui link che vi si trovano; se occorre, entrare nella app scaricata dallo store ufficiale (mai da link riportati in un Sms) o dal sito di Poste, in questo caso digitandone l’indirizzo sul browser; non divulgare il proprio numero di telefono sui social o altri canali, per ridurre il rischio che sia usato per mandare questi Sms truffa. È vero che la nuova password di secondo livello bandisce gli “sms otp”, ma non tutte le banche si sono ancora adeguate; infine, non installare mai app dai messaggi di testo (Sms) che sembrano riconducibili a Poste Italiane (o altri istituti analoghi). Questo perché solo le app ufficiali hanno sistemi di sicurezza elevati.
In generale è bene ricordare che Poste, ma anche l’Inps, i gestori di luce e gas o le banche inviano Sms solo per segnalare informazioni su cambi di contratto o sulla presenza di nuovi documenti online. Anche i messaggi di testo dei corrieri riguardano solo il tracciamento dei pacchi in consegna. Infine, può essere utile aggiornare il sistema operativo del proprio cellulare, che può così essere dotato di funzionalità di sicurezza più avanzate.
Attenzione agli Sms con numeri brevi
Un altro consiglio riguarda il numero di provenienza dell’Sms. Se si tratta di una sequenza breve, a sole 4 o 6 cifre invece che le consuete 10, solitamente si chiama “codice breve” e può essere un escamotage per indurre l’utente a credere che si tratti di un centralino, come nel caso di grandi aziende (come le banche). Il suggerimento è sempre quello di evitare di aprire link contenuti negli Sms.
Diffida degli Sms che segnalano frodi
Indicazioni analoghe al caso delle Poste arrivano anche per presunte «frodi bancarie» riportate in alcuni Sms, che invitano a confermare «la tua transazione bancaria». Anche questi messaggi, infatti, includono un link abbreviato da aprire, che in genere porta a una app non ufficiale, installata sul cellulare e che potrebbe servire a memorizzare sequenze di tasti, rubare codici e identità o crittografare i file sul telefono per conservarli per un eventuale riscatto. «In tutti questi casi può essere utile segnalare la truffa alla polizia postale, oltre che alle Poste o alla banca, che possono a loro volta avvertire altri clienti tramite l’homepage del proprio sito. Se poi il malintenzionato è riuscito a sottrarre denaro tramite carte di credito o bonifici, ricordiamo che occorre bloccare il proprio conto non appena ci se ne accorge – consiglia Vizzari – Va comunque detto che esiste una normativa che tutela gli utenti: la banca o la Posta ci può addebitare qualcosa solo se dimostra che quella operazione è stata fatta volontariamente dal cliente e non è frutto di errori o truffe. Per fare due esempi concreti: un Sms o telefonata che arriva effettivamente dal numero dell’istituto o uno molto simile, è una giustificazione a discolpa dell’utente vittima del raggiro. Una email scritta in un italiano stentato e pieno di errori, invece, è un chiaro indizio che si tratta di un falso» conclude l’esperta di Altroconsumo.