Phishing e smishing: di cosa si tratta?

Logo Interris - Phishing e smishing: di cosa si tratta?

Logo INTERRIS in sostituzione per l'articolo: Phishing e smishing: di cosa si tratta?

Negli ultimi mesi sarà capitato a molti di ricevere e-mail o SMS che indicanti operazioni sospette sul proprio profilo di home-banking; solitamente buona parte di queste avranno avuto, come mittente, un istituto con cui non si abbia alcun rapporto attivo ma, talvolta, il messaggio potrebbe essere arrivato con l’indicazione della propria banca. Di consueto, all’interno del messaggio, oltre che a un contenuto allarmante, si trova un’esortazione a compiere una qualche azione accompagnata da un link che, apparentemente, condurrebbe alla pagina di login del proprio account. Attenzione! Questo è quello che in gergo viene chiamato phishing, in caso di invio di e-mail fraudolente, o smishing, in caso di invio di SMS.

Nonostante numerose e, quasi, continue campagne di sensibilizzazione da parte degli istituti di credito questa pratica truffaldina continua a essere messa in atto da “pirati” che puntano ad ottenere le credenziali dei portali online dei clienti bancari per poterli derubare delle giacenze. Il sistema è, ormai, pluricollaudato negli anni e si basa sulla paura, a volte inconscia, che ogni utente di servizi internet abbia rispetto alla violazione dei propri profili con il conseguente furto di informazioni o di denaro.  Una cosa va detta, prima di approfondire l’argomento, cioè che malgrado le storie su hacker leggendari, capaci di violare anche i sistemi del Pentagono, nessun pirata è mai riuscito a penetrare da solo in alcun sistema bancario, per riuscirci è necessaria un’azione diretta da parte di un utente che abbia le credenziali di accesso e, da qui, l’ideazione dei questo bombardamento casuale di e-mail o SMS, che sfruttano, oggi, le potenzialità di connessione dei moderni smartphone, per riuscire ad ottenere quanto necessario per poter accedere ai conti.

L’azione di questi pirati informatici è sempre più sofisticata, poi, visto che l’introduzione dell’autenticazione forte nel 2018, come conseguenza della PSD2 e dei relativi regolamenti EBA, ha reso molto più difficile poter effettuare delle frodi partendo dai profili di home-banking e, come già detto prima, è necessaria un’azione diretta della vittima per poter violare i sistemi di sicurezza. Tutto parte, quindi, con il messaggio allarmante e l’esortazione ad accedere al proprio profilo partendo da un link indicato nel testo. Se lo si cliccasse, questo condurrebbe direttamente a un sito clone ma della pagina di login della banca della vittima: la maschera mostrata è, poi, pensata appositamente per ottenere le informazioni che si volessero. Solitamente i campi da compilare sono il codice cliente, la password e un altro, che non è mai presente nei siti originali, con la richiesta di inserimento del numero di cellulare. Se l’autenticazione forte fosse prevista via SMS, allora, dopo poco partirebbe quello che viene chiamato SIM swap, cioè la clonazione della scheda SIM per permettere ai pirati di accedere e autenticare le operazioni mentre il telefono della vittima smetterebbe di funzionare, impedendogli di bloccare immediatamente il profilo o di avvisare per tempo la propria banca.

Più sottile è il sistema per aggirare i nuovi token app, cioè le app di autenticazione che si sono diffuse ovunque negli ultimi anni, sia per le banche sia per altri sistemi. In questo caso dopo l’inserimento dei dati nel sito clone arriverebbe un a telefonata di un sedicente servizio clienti dell’istituto bancario che, a seconda di come sia strutturato il sistema di autenticazione, cercherebbe di ottenere, sfruttando l’ansia e la fretta di risolvere la criticità da parte della vittima, tutte le informazioni necessarie per attivare un token app su un dispositivo in possesso dei pirati o di spingere all’installazione di un’app che permetta il controllo da remoto del dispositivo su cui sia montato il token. Spero che nessuno si sia spaventato nel leggere queste righe finora, questo perché il canale online bancario, come le carte di debito e di credito, resta tutt’oggi la via più sicura per effettuare pagamenti senza avere patemi di furti o di frodi. Sicuramente una certa informazione, più attenta alla sensazionalità della notizia, per attirare lettori, ha creato una sorta di mitologia oscura rispetto a questi sistemi e alla possibilità di frodare gli utenti ma, come ribadito più volte in questo articolo, senza un’azione diretta della vittima non è possibile alcun prelievo dai conti da parte di qualsivoglia pirata ed è per questo che alcuni accorgimenti di sicurezza dovrebbero essere fissati nella mente per evitare spiacevoli conseguenze. Dal lato dell’home banking occorre sempre ricordare che i codici di accesso siano personali e non cedibili a nessuno, in primis, e che in caso di ricezione di messaggi sospetti non bisogna mai rispondere né seguire le istruzioni indicate ma segnalarli alla propria banca, in secundis.

Nessun istituto, infatti, manderà mai una mail contenente link di accesso ai sistemi informatici né richieste di informazioni personali, al più potrebbero indicare di rivolgersi fisicamente alla propria filiale. Dal lato delle carte, invece, vale lo stesso discorso se si usassero sistemi di pagamento come PayPal o come Amazon, mentre è necessario ricordarsi di non effettuare acquisti da siti non conosciuti, anche se anche sulle carte, oggi, è prevista un’autenticazione forte, e di non tenere mai un promemoria del PIN insieme alla carta, in caso di furto o smarrimento di quest’ultima (e di bloccarla subito, in quest’ultimo caso, tramite il servizio dedicato e non presso lo sportello bancario).

Normalmente, poi, i tentativi di frode vanno “a ondate” seguiti da un periodo relativamente di calma piatta, proprio per evitare che le potenziali vittime possano essere più caute per via dell’allarme relativo all’azione dei pirati, per questo se si mantenesse una diligenza media nella gestione delle proprie credenziali di accesso, un livello di attenzione diciamo “del buon padre di famiglia” evitando di spaventarsi di fronte a messaggi non convenzionali che sembrano provenire dagli istituti bancari e si ragionasse con mente lucida, magari con l’ausilio dei servizi di alert che ogni sistema di pagamento o di home banking offre alla clientela, il rischio di incappare in una frode tenderebbe a zero per chiunque proprio per via della sicurezza offerta da ogni piattaforma presente sul mercato. Parafrasando la chiosa finale dei video di test motociclistici di Nico Cereghini, quindi, va sempre ricordato, nell’uso dei sistemi bancari online, di custodire gelosamente le proprie credenziali, di stare all’occhio ai messaggi ricevuti e prudenza sempre!

Matteo Gianola: