Tecnica

COME EVITARE LA NUOVA FRODE INFORMATICA MISHING

Una nuova tecnica di frode è stata messa a punto dai criminali informatici attraverso gli SMS del telefono cellulare, ed è stata denominata SMISHING.
Lo
smishing è un caso particolare di phishing. In questo caso, il link contenente il malware viene inviato attraverso messaggi sms che sembrano provenire da mittenti ufficiali. Anche in questa circostanza vengono chiesti dati riservati quali il nome utente, la password di accesso all’Internet Banking, gli estremi della carta o i codici OTP (One Time Password) ricevuti veramente via sms.

Con mezzi di intromissione informatica sulla trasmissione di email (soprattutto con il WiFi), i criminali informatici inviano SMS spacciandosi per mittenti noti alla vittima ed invitando a comunicare dati sensibili, come password, numeri di conto corrente e similari.
Gli SMS, invece, contengono dei link che reindirizzano l'utente su siti contraffatti simili a quelli ufficiali o abitualmente frequentati. Purtroppo tali messaggi risultano sufficientemente ben fatti e credibili, pertanto è facile essere ingannati: di recente risultano inviati SMS a nome delle Poste Italiane (PosteInfo) e contenenti link che rimandano a siti clone di Poste Italiane. Da qui i criminali informatici cercano di carpire i dati personali ed operare a danno dei clienti.
Si deve fare attenzione perché il messaggio fraudolento si visualizza nella stessa lista dei messaggi effettivamente inviati da Poste Italiane, che sono invece corretti e sicuri.
La raccomandazione è quella di non utilizzare link presenti in comunicazioni sospette poiché Poste Italiane, Istituti Bancari e le società ad esse collegate non chiedono mai ai clienti di fornire i propri dati e codici personali via SMS o MAIL, ma usano convocare o trattare personalmente per telefono, in modo da rintracciare l'interlocutore. Talvolta, ma non sempre, è possibile riconoscere messaggi falsi perchè usano un italiano approssimativo e con vistosi errori grammaticali, per cui leggere sempre con attenzione i messaggi e le email prima di accettarle per vere.

Gli enti pubblici (Poste, INPS, ecc..) e gli Istituti bancari osservano per via della legge sulla privacy queste regole:

Anche il numero di cellulare è un’informazione personale da tenere sempre protetta.

Come difendersi dalle truffe online e in app
I rischi maggiori sono legati ai tentativi da parte di terze persone di carpire, attraverso artifizi o raggiri, i dati riservati come ad esempio dati della carta di pagamento, utenze, password varie, codici di accesso e/o dispositivi quali quello dell' INPS, e via dicendo.

Tenere sempre presente che enti come Poste Italiane S.p.A. , PostePay S.p.A. ed I.N.P.S. non chiedono mai dati riservati (utenza, password, codici di sicurezza per eseguire una transazione, ad esempio codice OTP-One Time Password ricevuto via sms) in nessuna modalità (e-mail, sms, chat di social network, operatori di call center) e per nessuna finalità.
Se qualcuno, anche presentandosi come un operatore di enti come quelli suddetti, dovesse chiedere tali informazioni, si può essere certi che si tratta di frodi, per cui si deve evitare SEMPRE di fornire tali dati per via telematica: nel caso fosse veramente un ente, convocherebbe presso la propria sede la persona interessata e darebbe la comunicazione personalmente.
Controllare sempre l’attendibilità di una e-mail prima di aprirla: verificare che il mittente sia realmente chi dice di essere e non qualcuno che si finge qualcun altro (ad esempio controlla come è scritto l’indirizzo e-mail da cui ti è arrivata).

Nel caso della figura accanto, il mittente sembra regolare (venetobanca.it) ma se si guarda in basso leggendo attentamente l'indirizzo http://..., si vede chiaramente che si tratta di una serie di numeri e codici che nulla hanno a che fare con il vero indirizzo della banca in oggetto, che è stata "smishata".
Non bisogna scaricare mai gli allegati delle e-mail sospette o cliccare su link apparentemente buoni come <<<CLICCA QUI>>> della figura accanto, prima di aver verificato che il mittente sia noto o ufficiale.

Non cliccare mai sul link contenuto nella e-mail; se per errore dovesse accadere, non autenticarsi mai sul sito falso, chiudere subito il web browser, cestinare l’e-mail di phishing e poi cancellarla anche dal cestino.

Inoltre, non rispondere mai a e-mail, sms, chiamate o chat da call center in cui vengono chiesti codici personali (utenza, password, codici di sicurezza, dati delle carte di pagamento);

Poste Italiane mette a disposizione una App per usufruire anche del servizio gratuito di push notification ed essere informato in tempo reale sulle operazioni di pagamento effettuate con il proprio conto corrente e le carte di pagamento. In alternativa è possibile attivare il servizio di notifica tramite SMS sul telefono cellulare, gratuito per i pagamenti su siti internet e su APP: inoltre è possibile segnalare a Poste Italiane eventuali e-mail di phishing prima di cestinarle, inoltrandole all’indirizzo antiphishing@posteitaliane.it.

Truffe sui social network
Si tratta di una particolare tipologia di truffa in cui il frodatore contatta un utente sulle più diffuse piattaforme social, come Facebook, Whatsapp, Twitter e simili.
Con un falso profilo da operatore di call center, il frodatore di solito risponde al posto dell’operatore ufficiale a un messaggio pubblico sulla pagina dell’azienda contattata per effettuare una segnalazione, offrendo un supporto per poi passare alla chat privata in cui richiede il nome utente, la password di accesso all’Internet Banking, gli estremi della carta e il codice OTP (One Time Password) od altre informazioni ricevute effettivamente via sms dall'enete vero e proprio.

Vishing
E' un'altra tipologia di phishing che avviene tramite chiamata telefonica da parte di un frodatore, che si finge un operatore di call center: con la scusa di fornire assistenza per risolvere un problema potenziale (ad esempio per allarme virus) od effettuare un’operazione particolare, il frodatore chiederà dati come nome utente, la password di accesso all’Internet Banking, gli estremi della carta od i codici OTP (One Time Password) ricevuti sempre tramite un sms vero dall'enete vero proprio.

Pioste Italiane mette a disposizione dei suoi utenti una casella postale (in questo caso CERT@posteitaliane.it ) dove è possibile inviare il testo sospetto ricevuto per verificare se è una vera comunicazione oppure un tentativo di vishing : altri provider come Wind, Tre, Vodafone, ecc , mettono a loro volta a disposizione dei servizi simili.