SMS ingannevoli: come proteggersi contro lo smishing

---

L’utilizzo dei canali di comunicazione digitali e mobile è ormai imprescindibile nella vita di tutti. La pervasività di SMS, messaggi WhatsApp e email è tale da attrarre, da tempo e in maniera crescente, truffatori e malintenzionati sempre più scaltri. I rischi legati alle truffe informatiche riguardano soprattutto le fasce più vulnerabili della popolazione, ma chiunque può essere oggetto di tentativi di raggiri. Vediamo insieme come proteggersi dagli SMS ingannevoli e cosa possono fare le aziende per difendere i propri clienti.

SMS ingannevoli: cos’è lo Smishing?

Secondo la definizione del Garante per la protezione dei dati personali, “lo Smishing (o phishing tramite SMS) è una forma di truffa che utilizza messaggi di testo e sistemi di messaggistica (compresi quelli delle piattaforme social media) per appropriarsi di dati personali a fini illeciti (ad esempio, per poi sottrarre denaro da conti e carte di credito)”.

Come funziona l’inganno

I canali utilizzati sono diversi, ma le truffe informatiche stanno avvenendo maggiormente attraverso i canali per la comunicazione usati sia per parlare con amici e familiari, che con aziende o enti pubblici. In molti casi capita di ricevere un messaggio, apparentemente innocuo, sul proprio smartphone. Il messaggio invita ad aprire un file, scaricare un documento o cliccare su un link contenente informazioni riguardanti, ad esempio, la mancata consegna di un pacco. In realtà, l’apertura del file o il click sul link porta al download di malware che consentono la gestione da remoto del proprio dispositivo da parte dei malviventi.

Un esempio di smishing legato al periodo della pandemia era stato segnalato dalla Polizia di Stato. Le forze dell’ordine avevano scoperto il caso specifico dell’invio di messaggi provenienti apparentemente dal proprio istituto bancario. Il messaggio chiedeva di sbloccare il proprio conto, presumibilmente bloccato a causa dell’emergenza, portando l’utente su una pagina web di login contraffatta, dove gli veniva chiesto di inserire dati sensibili al fine di sbloccarlo. Un esempio più recente, dei tanti che purtroppo si potrebbero citare, è riportato in un post di Rudy Bandiera, LinkedIn Top Voice, che ha dato vita ad una interessante scambio di commenti e condivisioni.

Come proteggersi dagli SMS ingannevoli

Come privati cittadini, prima di tutto, se un messaggio sembra sospetto bisogna immediatamente segnalarlo alle forze dell’ordine competenti affinché indaghino. Secondo, se solo si ha un minimo sospetto sulla veridicità del messaggio, si deve evitare di cliccare su qualsiasi link. Una nota positiva è che la Direttiva Europea PSD2 ((Payment Services Directive 2) ha reso obbligatoria l’Autenticazione Forte del Cliente (Strong Customer Authentication, o SCA) per accedere ai conti bancari online e per autorizzare le operazioni di pagamento. Il doppio livello di sicurezza si può ottenere attraverso invio tramite SMS di un codice OTP.

Di seguito alcuni consigli generali da osservare per proteggersi:

• Verificare il mittente del messaggio: perché aziende e organizzazioni possano inviare comunicazioni, si deve aver appositamente accettato di volerle ricevere; se non si riconosce il mittente o non si ricorda di aver dato il proprio consenso, meglio diffidare del messaggio.
• Leggere con attenzione il contenuto del messaggio: le comunicazioni truffaldine spesso invitano ad agire velocemente; bisogna invece prendersi il tempo per leggere il contenuto del messaggio e se vengono chiesti dati personali è improbabile che sia un messaggio autentico.
• Contattare l’azienda direttamente: se non si è sicuri che il messaggio sia legittimo, il consiglio è di contattare l’azienda direttamente, attraverso i dati di contatto sul loro sito, per chiedere ulteriori informazioni.

Cosa possono fare le aziende

Dall’altro lato ci sono diverse azioni che le aziende possono fare per tranquillizzare i propri utenti. Prima di tutto, come molti istituti bancari stanno già facendo, è bene comunicare ai propri clienti che non saranno mai richiesti dati sensibili per email, telefonicamente o via SMS. Questa strategia di rassicurazione può essere utilizzata da tutte le aziende, enti e associazioni.

Se l’SMS è uno dei canali che si stanno già usando per comunicare con i propri clienti, allora il consiglio è di utilizzare un mittente alfanumerico personalizzato, in modo da rendere immediatamente riconoscibili i propri messaggi e garantirne l’affidabilità. In Italia le aziende e gli enti che intendano inviare SMS con mittente personalizzato (o Alias) devono preventivamente registrarlo seguendo le indicazioni dell’Autorità per le Garanzie nelle Comunicazioni. Ciò è possibile utilizzando una piattaforma professionale A2P (Application to Person) per l’invio di SMS fornita da un provider autorizzato come Esendex. Con Esendex il processo di autorizzazione degli Alias è semplice, veloce e gratuito.

Cosa fa Esendex

Sappiamo quanto sia importante ridurre i tentativi di spam e smishing e proteggersi dagli SMS ingannevoli. Oltre a fornire alle aziende il servizio di OTP SMS e la possibilità di utilizzare mittenti alfanumerici, Esendex da tempo ha irrobustito le misure di sicurezza per mantenere un alto livello di protezione degli account dei suoi clienti. Esendex è infatti certificata ISO 27001, la massima testimonianza che i nostri sistemi e le nostre procedure sono in linea con le best practice internazionali sulla sicurezza delle informazioni.

In particolare:

Esendex è il provider di riferimento per la messaggistica istantanea aziendale. Se vuoi avere maggiori informazioni sullo Smishing e sulla sicurezza delle comunicazioni, sull’SMS marketing o più in generale sul conversational messaging, contatta uno dei nostri esperti.

Per provare subito gli strumenti di comunicazione e mobile marketing che Esendex offre, attiva un account di prova gratuito ed esplora la nostra Piattaforma.