Smishing: un nome che nasce dalla fusione tra phishing e SMS. Un nome un po‘ strano e di impatto, che descrive invece una realtà comune e piuttosto squallida.
Lo Smishing è una truffa informatica che agisce attraverso SMS che sembrano provenire da mittenti affidabili, come corrieri, banche, enti pubblici e amici. Ma un messaggio non basta: quello che serve davvero ai truffatori è la tua partecipazione.
Sì, hai capito bene: un SMS da solo non può truffarti. Non è mica come l’arca perduta di Indiana Jones.
Un SMS truffaldino non è così drammatico. Il colpo va a segno solo se accedi al link che il messaggio contiene e se fornisci dati. Quindi se hai ricevuto un SMS sospetto leggi qua: tra pochi minuti lo potrai ignorare a cuor leggero. E dato che ti stai prendendo il tempo e la briga di approfondire, sei già sulla strada giusta. Infatti il successo dello Smishing dipende dalla tua impulsività o distrazione.
Se invece già ti hanno truffato e stai cercando una soluzione, clicca su questo link (no, non è un’altra truffa, fidati).
Perché lo Smishing è differente da altre truffe online
Andiamo a fondo e chiariamo meglio: il Phishing avviene tramite messaggi, tramite WA, tramite mail, può avvenire anche come truffa sui social, tramite telefonate… e ogni variante può avere un nome diverso basato sul mezzo utilizzato.
E lo Smishing appunto è tra queste varianti.
La sostanza rimane sempre la stessa: qualcuno dissemina di link ingannevoli vari canali di comunicazione. Ma le precisazioni sono opportune per capire e difendersi meglio.
Lo Smishing infatti è differente e specifico rispetto ad altre truffe online, perché l’SMS e le interfacce degli smartphone presentano fattori di rischio unici.
Da smartphone, i numeri che ti contattano sono verificabili meno facilmente
A differenza di un social e di WhatsApp, è più difficile verificare chi ti ha contattato via SMS. Bisogna fare dei passaggi in più, come copiare e incollare il numero in un motore di ricerca di numeri scam. Il che significa andare oltre l’autorevole nominativo che appare, tipo Poste Italiane, Intesa SanPaolo, Polizia di Stato, e via dicendo.
Questi passaggi per alcuni sono scontati. Per altri non sono neanche contemplati.
I link sono meno identificabili da cellulare
Un altro fattore che accentua i rischi dello Smishing sta nell’interfaccia dei messaggi e in come funziona. Da desktop è possibile passare col mouse su un link senza cliccarci: in questo modo si può visualizzare interamente. Sul cellulare di solito invece bisogna tenere premuto sul link, aumentando il rischio di cascare involontariamente in un URL balordo. Guarda qua:
Naturalmente Intesa SanPaolo non darebbe mai un avviso in questa forma, così come nessun’altra istituzione bancaria. Ma molta gente non lo sa. Così come non sa, che quel link che sembra così pulito in realtà ha questo URL:
http://banca-intesa.alert-verifica-login-2025.ru/account.
Come faccio a capire che un URL è fasullo?
Se non hai idea del perché l’URL che vedi sopra sia altamente sospetto e fasullo, smontiamolo da un punto di vista tecnico informatico:
- http:// non è un protocollo sicuro. I siti legittimi utilizzano https.
- alert-verifica-login-2025.ru in questo caso è il dominio: ti sembra un dominio affidabile? Il dominio legittimo è intesasanpaolo.com, semplice, pulito, chiaro, onesto e indicativo.
- Sempre riguardo al dominio fasullo, hai notato che è riempito di parole chiave che vogliono mettere pressione e urgenza? Alert, verifica… ferma tutto. Non c’è nessuna allerta.
- banca-intesa è solo un sottodominio. E un sottodominio può contenere qualsiasi parola. Quindi è una garanzia quanto una banconota da 3 euro.
- .ru non c’entra nulla con una banca italiana. Dovrebbe esserci .it o .com.
- /account, che è il percorso, è troppo generico. Dovrebbe starci qualcosa come /servizi o /home.
E ricordati che per vedere un URL per quello che è da cellulare, di solito bisogna tenere premuto sul link: è rischioso, quindi facci attenzione. E nel dubbio, fai meglio a ignorare questi messaggi.
Ma andiamo avanti.
Le 5 fasi di un attacco Smishing
Vediamo in maniera nuda e cruda come succedono queste truffe infami:
- Hai presente quando nella pesca si buttano manciate di esche in una zona? In gergo si dice “pasturare“. Non c’è miglior modo per descrivere la fase iniziale dello Smishing. I truffatori inviano SMS in massa a numeri generati automaticamente. Dove colgono, colgono.
- Ti arriva un SMS che sembra provenire da una fonte affidabile come un corriere, una banca o un ente statale. Ti mette pressione, ti segnala un’urgenza, ti invita ad agire.
- Come dovresti agire? Cliccando su un link o su un numero di telefono da contattare. Così finisci su una pagina credibile, dove ti si invita a fornire codici OTP e informazioni personali per poter agire sull’urgenza che ti è stata indotta.
- Così consegni i tuoi dati personali.
- E allora questi vengono usati per frodi finanziarie, per accedere ai tuoi account (magari per fare altre truffe), oppure vengono rivenduti.
Le conseguenze dello Smishing
Una roba del genere può avere effetti rapidi e devastanti, sia per singoli utenti, sia per le aziende.
Le singole persone rischiano il furto di credenziali bancarie e di accessi a servizi online. Un singolo tap su un link fasullo le guida all’inserimento veloce di dati sensibili. Oppure può installare un malware che intercetta messaggi, codici OTP e informazioni salvate sul telefono. Così si possono perdere un sacco di soldi e la propria identità può essere utilizzata per atti criminali.
Per le aziende il problema si moltiplica. Se l’azienda subisce un attacco informatico (data breach) attraverso Smishing, può essere derubata di soldi, progetti e soprattutto di dati, che possono appartenere a dei clienti. Quindi truffando le aziende si possono truffare altre singole persone. E questo oltre ad avere un impatto molto negativo sul brand, può causare implicazioni legali e l’azienda può essere multata dal Garante Privacy per non avere protetto adeguatamente i dati dei suoi clienti.
Tosta eh?
Lo Smishing si ferma agli SMS mandati a caso?
Come tutte le truffe online, anche lo Smishing si sta evolvendo.
Infatti oggi possono accadere casi di Smishing mirato, dove il contenuto dell’SMS è personalizzato in base a informazioni della vittima visibili da tutti sui social media o rubati nei database aziendali. Questo rende il messaggio estremamente più credibile.
Attraverso la falsificazione del mittente di un SMS (spoofing avanzato) è possibile far passare il messaggio come proveniente dall’ente e può apparire nella schermata che raccoglie le conversazioni già avute con quell’ente (il thread). Può avere un nome di un amico, di un familiare. E il numero può apparire come localizzato nella stessa nazione, regione o città, quando non è vero.
E grazie all’IA questi processi, la generazione delle pagine, dei link e dei testi possono essere in gran parte automatizzati e realizzabili in tante lingue diverse con maggiore facilità, aumentando la portata e la mole di questi attacchi.
Come sai quando è Smishing?
Prima riconosci i segnali di un SMS sospetto e di URL che non quadrano:
- Mittente anomalo con numero sconosciuto, mittente abbreviato o che imita un brand con variazioni minime.
- Frasi come “il tuo conto sarà bloccato” o “conferma subito” sono becere tecniche persuasive che non sono utilizzate da enti istituzionali, banche o servizi di spedizioni.
- Link e URL insoliti (hai visto prima come riconoscerli).
- Errori grammaticali e forme di comunicazione asettiche. Anche se sempre meno probabile, può capitare.
Cosa fare quando ti arriva un SMS allarmante
Semplice: non ti fidare di messaggi del genere e non cliccare su nulla. Questa è la migliore prevenzione. Facile a dirsi – come lo è cascarci – perché spesso siamo distratti, siamo stanchi, possiamo farci prendere dall’urgenza, dal panico o agire per automatismi.
Ecco: è qua che tocca rimanere svegli. Convinciamoci che la banca per esempio non delega a un SMS comunicazioni critiche. Stessa cosa vale per un servizio di spedizione e per le Poste. E soprattutto non utilizzano un linguaggio da centralino da due soldi.
Non hanno bisogno, né intenzione, di metterti pressione e urgenza.
Quindi la cosa migliore che puoi fare è sapere queste cose e ignorare gli SMS di questo tipo. Approfondisci sulla fonte, senza mai cercare di contattare il numero. Se hai dubbi che la comunicazione sia reale, cerca i contatti ufficiali, verifica tramite i tuoi account.
Se non tocchi link e se non contatti numeri, il tentativo di Smishing è innocuo.