Le opinioni

Difesa personale sul web. Prima lezione: lo “smishing”

Scritto il

di Umberto Rapetto
(Generale Gdf – già comandante Nucleo Speciale Frodi Telematiche)

La “pesca miracolosa” dei criminali tecnologici prosegue da anni, nonostante avvertimenti e raccomandazioni continui che sollecitano a far uso della prudenza come del prezzemolo in cucina.

La gente “abbocca” facilmente e il fenomeno del phishing, quello dei messaggi ingannevoli in posta elettronica, funziona ormai da oltre un quarto di secolo senza che nessuno abbia capito quanto sia necessario e indispensabile stare attenti. La sua longevità dimostra che le vittime sono sorde a qualunque consiglio. Nonostante questa drammatica constatazione “clinica”, vale la pena spiegare che quella dinamica fraudolenta – anziché invecchiare e sparire – ha saputo evolvere e “migliorare” così da mantenere una incredibile efficacia.

Se il phishing raggiungeva i propri bersagli con una mail, lo smishing va a colpire con messaggi Sms. Il testo che contiene la fregatura non arriva più sul tradizionale computer, ma si presenta sotto forma di messaggio che appare sul telefono cellulare.

Le poche parole della comunicazione hanno normalmente un tono allarmante e imperativo.

Allarmante: il destinatario viene avvisato che sta succedendo qualcosa di pericoloso, che qualcuno sta insidiando la sua sicurezza economica, che un malintenzionato ha provato ad accedere al suo conto…

Imperativo: chi riceve l’Sms deve sbrigarsi a collegarsi a un indirizzo Internet che per illusoria comodità viene riportata al termine del testo, pronto per essere utilizzato dal ricevente.

Sullo schermo del telefono appare il numero della propria banca o dell’ente pubblico che si dichiara “mittente”. In altri casi appare addirittura il nome dell’istituto di credito o del circuito di carte di pagamento e questa evidenza fa sembrare tutto vero e affidabile, un po’ per l’inevitabile agitazione, un po’ per la facilità ad esaudire la richiesta appena arrivata…

Basta poggiare il polpastrello del dito su quel link per scatenare l’inferno: lo smartphone catapulta il suo possessore su un sito Internet apparentemente riconducibile all’organizzazione che ha spedito il messaggio. L’utente si ritrova su una pagina web che gli è familiare, che gli sembra la solita che visualizza quando deve fare un bonifico o un’altra operazione. Gli viene chiesto di inserire il suo codice identificativo (o account) e di digitare la parola chiave (o password) per accedere ai servizi e per eseguire quel che l’Sms pregava di fare il prima possibile.

L’inconsapevole vittima non esita a mettere online le sue credenziali, reputando erroneamente di potersi fidare del sito cui si è appena collegato. In realtà è caduto in una terribile trappola e qualcuno – chissà in quale angolo del mondo – è entrato in possesso di quelle informazioni che sono necessarie per sostituirsi alla persona legittimata ad agire con quel conto corrente o a compiere azioni che saranno riconducibili a chi doveva custodire e tenere segrete quelle chiavi. Da quel momento è l’inferno. Il malcapitato si ritrova davanti a una schermata che gli dice che per una serie di non meglio precisati inconvenienti tecnici “si prega di riprovare più tardi”. Senza accorgersene il tizio è arrivato alla fine della sua corsa. Il finto sito è tutto lì: la pagina che ruba la password e quella che avvisa del guasto e dell’impossibilità di continuare alcunché.

Chi è riuscito a mandare a segno questa specie di scippo mette subito da parte quel che ha sgraffignato. Anzi, non perde un minuto. E cosa fa? Semplice, si collega alla banca – quella vera – e una volta entrato su quel sito web si precipita a modificare il profilo dell’utente, ovvero la pagina in cui ci sono tutte le informazioni personali. Modifica la password per sbarrare la strada al vero titolare (così non può più accedere…) e cambia il numero telefonico cui inoltrare comunicazioni e codici segreti che autorizzano le operazioni.

Il disastro è compiuto, ma torneremo a parlarne per capire come salvarsi (o cercare di farlo).