Se un SMS indica accessi non autorizzati all’area riservata della banca, potrebbe trattarsi di un tentativo di smishing. Scopriamo cos’è e come difendersi.

Con ogni probabilità mia moglie è stata vittima di un tentativo di smishing, condivido con voi l’accaduto così da mettervi in guardia da eventuali pericoli simili.

Un paio di settimane fa, mentre ero a lavoro, mia moglie mi contattò preoccupata dal contenuto di un SMS che allertava il riscontro di accessi non autorizzati all’internet banking. Il messaggio dichiarava quanto segue:

Ciao, Unicredit ha riscontrato accessi non autorizzati alla tua area. Se non sei stato tu, clicca immediatamente al seguente Link: https://…../unicreditspa

link oscurato per motivi di sicurezza

A prescindere dal fatto che nessuno dei due dispone di un conto con la banca in oggetto, per i toni del messaggio e per la presenza di un link “anomalo”, mi è parso chiaro fin da subito che si trattasse di un banale tentativo di frode. In poche parole, di un SMS ingannevole, non realmente inviato dalla banca.

Lo smishing è una particolare di forma phishing che sfrutta gli smartphone come piattaforma di attacco. I cybercriminali compiono l’attacco con l’intento di raccogliere informazioni personali dei malcapitati come il codice fiscale o il numero di carta di credito, ma soprattutto nome utente e password usati per accedere nei loro account privati di banche o altri istituti di credito.

Il tipo di attacco era confermato anche dal fatto che, provando ad aprire il link da un comune computer, si veniva reindirizzati ad un ulteriore url che non mostrava alcun contenuto. Per precauzione ho comunque utilizzato una macchina virtuale Linux dove di consueto eseguo questo genere di test.
A prescindere della risoluzione dello schermo, attraverso appositi plugin per Firefox è possibile cambiare l’intestazione dell’User-Agent e far credere al server a cui ci stiamo connettendo che stiamo navigando da un dispositivo diverso da quello in uso, come ad esempio uno smarphone.
Nel secondo tentativo, attraverso questo sistema che faceva risultare al sito di navigare da un comune iPhone, come per magia era invece apparsa una “falsa” pagina che replicava, in maniera piuttosto minuziosa, la versione web dell’internet banking.
Per verificare la presunta violazione dei dati, il sito richiedeva di loggarsi inserendo le proprie credenziali che, con buone probabilità, sarebbero invece state salvate su chissà quale server, si presume per scopi tutt’altro che leciti.

Ma attenzione! Come la stessa UniCredit sottolinea sul suo sito ufficiale, i reali SMS della banca contenenti un link rispettano le seguenti regole:

  • non è previsto MAI il collegamento alla pagina di accesso alla Banca Multicanale;
  • è presente sempre il tuo nome nell’intestazione;
  • è indicata la tua Filiale di riferimento con le specifiche della città e dell’indirizzo;
  • il link sarà così composto: https://unicred.it/nomeprodotto e ti consentirà di conoscere i loro prodotti/servizi.

Dopo varie segnalazioni, il sito indicato nell’SMS è stato chiuso, inoltre ora è lo stesso Firefox ad indicarcelo come ingannevole grazie al servizio di Google Safe Browsing.

Consiglio quindi di prestare sempre molta attenzione ai link che posso arrivare tramite SMS e di accertarsi sempre dell’attendibilità del sito dove immettiamo le credenziali dei nostri conti. Da smartphone è sempre preferibile adoperare l’applicazione ufficiale della banca piuttosto del sito web. Da computer, utilizzando il browser, invece è buona norma verificare con attenzione la correttezza del dominio e la validità del certificato SSL del sito a cui ci si connette.


Articoli Correlati:
  1. Firefox 70 con un nuovo logo, più sicurezza e attenzione alla privacy