In Italia il primo caso di SMishing: la truffa informatica via sms

È un sistema molto più artigianale rispetto al phishing e ai virus trojan, e forse anche per questo è riuscito a far breccia nella buona fede di migliaia di italiani truffati. Si tratta di un nuovo tipo di frode informatica battezzata SMishing, e che è stata portata allo scoperto la scorsa settimana dalla Polizia Postale che, dopo un anno di indagini, è intervenuta arrestando 5 persone di una banda con sedi a Roma e Pesaro, e alla perquisizione di altre 15 persone che tuttora restano indagate. Il nome di questo nuovo crimine spiega già tutto: SM sta infatti per sms, gli innocenti messaggini del telefonino, utilizzati dalla banda per agganciare ignari utenti truffati poi con le tecniche tipiche del phishing.

In pratica, a decine di migliaia di utenti in possesso di uno smartphone venivano inviati sms fraudolenti (la banda riusciva a inviarne addirittura trecento al minuto, grazie all'utilizzo di una gsm-box, una generatrice automatica di sms trovata nel covo al momento degli arresti).

Cosa dicevano questi sms? Chiedevano di aggiornare con urgenza i propri account, oppure promettevano ricariche premio gratuite, indicando nel corpo dell'sms un link che rimandava a pagine web fantasma di siti commerciali e di istituti di credito. Pagine del tutto simili alle originali, ma false, gestite dall'organizzazione criminale, che in questo modo immagazzinava ogni giorno migliaia di dati personali sensibili, compresi user id e password di ignari utenti. Attraverso questi dati, era semplicissimo per la banda risalire ai numeri di carte di credito abbinate agli utenti, che venivano utilizzate direttamente per acquistare online grandi lotti di materiale informatico, tablet, telefonini, macchine fotografiche, ma anche abbigliamento e ricariche telefoniche. I prodotti venivano poi rivenduti "regolarmente" sempre attraverso altri siti di e-commerce (uno di questi siti, il www.artisana.it, è stato sottoposto a sequestro), risciacquando così il bottino delle truffe che svaniva nel nulla.

Un meccanismo semplice e proprio per questo insidioso: i sistemi antivirus installati sugli smartphone non sempre indicano se il sito aperto via mobile partendo da un link ricevuto via sms corrisponda a un sito a rischio.

Ma non è finita qui. Esiste anche una forma ancora più evoluta di SMishing, si chiama Vishing (voice phishing) ed è stata segnalata la scorsa settimana sul sito di Poste Italiane (http://antiphishing.poste.it), che mette in guardia. I cyber criminali che utilizzano questo sistema inviano un sms che, spiega Poste Italiane, "chiede di comporre un numero telefonico sempre per effettuare un aggiornamento dati di qualche account (conto BancoPosta, conti correnti bancari, ecc) dove una persona reale, ma più spesso una voce pre-registrata, chiede informazioni personali e dati sensibili come la password, per entrare nel servizio online di gestione del conto corrente, della carta di credito o prepagata".