Una nuova truffa è stata segnalata, e questa volta si tratta di un finto sms che promette guadagni fino a “mille euro” direttamente su “account Amazon”.
La truffa sfrutta il classico meccanismo di smishing (o SMS phishing), è stata segnalata dagli utenti, molti dei quali in queste ore stanno ricevendo finti messaggi che promettono guadagni fino a “mille euro” e direttamente su “account Amazon”.
Ma vediamo come funziona il raggiro e come difendersi
La truffa segnalata parte dall’invio di un sms, con mittente “Reddito ext“. Nel testo del messaggio si legge:
“Ti è stato assegnato un account Amazon: solo per pochi giorni! Investi a partire da 200 euro e guadagna fino a 1.000 euro al mese”.
L’sms si conclude poi con l’invito a cliccare a un link, per avere maggiori informazioni. Si tratta, però, di un raggiro, che sfrutta il classico sistema di smishing.
Una volta cliccato sul collegamento esterno, infatti, gli hacker sono in grado di prendere il controllo del dispositivo elettrico con cui si sta navigando (smartphone, tablet o pc), appropriandosi di tutti i dati sensibili memorizzati. In questo modo possono accedere a profili privati, conti correnti, password personali. In pochi minuti, quindi, l’utente vittima della truffa si potrebbe ritrovare derubato di tutto.
Che cos’è lo smishing e come difendersi
Lo “smishing” è un attacco alla sicurezza informatica effettuato tramite messaggi di testo – noti anche come SMS phishing – ed è una variante del phishing, ovvero un tentativo di raggiro con cui le vittime vengono indotte a fornire informazioni sensibili (per esempio rimandando a un sito che sembra affidabile ma che in realtà è una replica fasulla che sfrutta il nome di un’Istituzione, una banca o un Ente importante e riconosciuto). Molto spesso, per esempio, si viene rimandati a siti che somigliano a quello dell’INPS, o di Poste Italiane o dell’Agenzia delle Entrante, chiedendo la compilazione di moduli per bloccare conti, accrediti o bonus che non esistono.
Il phishing tramite SMS può essere assistito da malware o siti Web fraudolenti, il che vuol dire che non è necessario che siano sempre le vittime a fornire i propri dati personali, ma basta cliccare sui link corrotti per permettere ai cyber criminali di prendere il controllo del dispositivo (e quindi rubare tutte le informazioni memorizzate).
L’inganno e la frode sono i componenti principali di qualsiasi attacco di phishing tramite SMS. Poiché l’aggressore assume un’identità di cui ci si fida tendenzialmente.
Ci sono però alcune cose da tenere a mente che aiutano a proteggersi da questi attacchi:
- Non rispondere. Anche le richieste di risposta come l’invio di messaggi di testo “STOP” per annullare l’iscrizione possono essere un trucco per identificare i numeri di telefono attivi.
- Non avere fretta. Aggiornamenti urgenti dell’account, offerte a tempo limitato e urgenze sono spesso usati per mascherare il smishing. Restare scettici e verificare la fondatezza del messaggio è quindi sempre importante.
- Chiamare direttamente in caso di dubbio. Le istituzioni legittime non richiedono aggiornamenti dell’account o informazioni di accesso tramite SMS. Inoltre, eventuali avvisi urgenti possono essere verificati direttamente sui siti online ufficiali o tramite una linea di assistenza telefonica.
- Evitare di cliccare su collegamenti o informazioni di contatto presenti nel messaggio.
- Non tenere mai i numeri delle carte di credito sul telefono. Il modo migliore per evitare che le informazioni finanziarie vengano rubate da un portafoglio digitale è non metterle mai lì.
- Utilizzare l’autenticazione a più fattori (MFA).
- Non fornire mai una password o dati tramite SMS.