Phishing, vishing e smishing: come scrivono una mail i truffatori, se li conosci li eviti

Phishing, vishing e smishing. Nomi dal significato oscuro. Che però indicano pratiche di cui tutti abbiamo fatto qualche esperienza.

Non si tratta altro che degli innumerevoli tentativi di frode che un esercito di truffatori cerca di mettere in pratica via e-mail, sms o per telefono. Ma basta seguire poche regole per riconoscerli e smascherare la truffa. E soprattutto mai perdere la calma e agire senza aver riflettuto. I truffatori infatti fanno leva sulla paura o sul desiderio per spingerci a comunicare loro dati sensibili o informazioni finanziarie.

Prima di esaminare nel dettaglio ognuna di queste frodi partiamo dalle caratteristiche comuni a ciascuna delle tre truffe. Le possiamo sintetizzare in tre punti:

1. Contenuto del messaggio. Ogni truffa di questo tipo generalmente fa riferimento a avvisi di situazioni particolari. Come ad esempio una vincita a qualche presunto concorso (al quale di solito non abbiamo mai partecipato), offerte di lavoro (che non abbiamo mai chiesto). E ancora: regali o problemi col nostro conto corrente, oppure qualche nostra password che viene segnalata come prossima alla scadenza. Ovviamente il contenuto è solo l’esca per catturare la nostra attenzione.
2. Link a aree operative. Il secondo elemento sempre presente sono i link ad aree operative. I truffatori vogliono spingerci, per così dire, in “casa loro” per carpirci informazioni preziose. Queste frodi contengono sempre un invito all’azione. Chiedono sempre di fare qualcosa, di completare qualche passaggio. In breve, sollecitano una nostra azione. Quale? Per esempio chiedono di collegarsi per sbloccare il nostro conto o per metterci in regola con la nostra situazione bancaria.
3. Richiesta di codici e informazioni. Una volta che abbiamo abboccato alla richiesta di cliccare sul link, arriva il terzo e ultimo passaggio. Ovvero l’invito a inserire dati e codici personali. Col pretesto di aggiornare i nostri dati anagrafici oppure di controllare posizioni o presunte transazioni effettuate.

Phishing

Vediamo allora nel dettaglio le singole truffe. Cominciamo dal phishing, la truffa via posta elettronica. I phisher sono in grado di creare email quasi identiche a quelle istituzionali di siti anche molto conosciuti. In questa maniera attirano nella loro rete ignari utenti.

Come fare a valutare se un’email è attendibile o meno? Anche in questo caso basta seguire attentamente poche semplici regole. Ecco a cosa dobbiamo fare attenzione:

1. Indirizzo email del mittente sospetto. Dobbiamo sospettare puzza di bruciato quando ci vediamo recapitare email con mittenti molto lunghi, con caratteri strani, insoliti, che noi non abbiamo, anche nel caso l’indirizzo possa sembrare effettivamente quello della nostra banca.
2. Errori nel testo del messaggio. I phisher spesso e volentieri non fanno altro che modificare i messaggi inviati dalle aziende per inserire al loro interno dei nuovi testi e il famoso link che serve da “esca” per farci finire sul sito fraudolento. Dato che i phisher talvolta operano fuori dall’Italia, all’interno di questi messaggi possiamo trovare evidenti errori grammaticali, traduzioni sbagliate o improbabili, errori di formattazione. Anche un piccolo errore deve farci mettere in allerta.
3. Link a pagine esterne. Le banche nelle loro comunicazioni istituzionali non inseriscono MAI link a pagine o a app esterne dove all’utente si richiede di inserire credenziali d’accesso o i propri dati sensibili.
4. Altri generi di errori. Occorre fare attenzione alla presenza della ragione sociale della banca. Controllare che la mail la riporti in maniera corretta. Per verificarlo basta fare un confronto con quella riportata sul sito ufficiale della banca.

Smishing

La parola smishing deriva dalla combinazione tra due parole: sms e phishing. La differenza, rispetto al phishing, è che i truffatori in questo caso cercano di impossessarsi dei nostri dati personali, finanziari o di sicurezza attraverso un sms.

Come funziona lo smishing? La truffa, come detto, viaggia via sms. Il messaggio generalmente ci chiederà, anche questa volta, di cliccare su un link oppure di chiamare un numero di telefono. Sempre per aggiornare, riattivare o verificare il nostro account. Ma anche in questo caso il link ci indirizzerà su un finto sito web e il numero di telefono farà capo a un truffatore che fingerà di essere un operatore della banca. Ovviamente si tratta di un impiegato fasullo.

Come nel caso del phishing, la cosa importante da fare è… non fare niente. Ovvero non assecondare le richieste dei truffatori cliccando su qualche link, aprendo allegati o immagini ricevuti da sms non richiesti. Mai fare operazioni come queste senza prima aver verificato l’attendibilità del mittente.

Mai avere fretta e prendersi tutto il tempo necessario per fare i controlli appropriati prima di rispondere. E soprattutto mai rispondere a un sms che ci chiede pin o password del conto o qualunque altra nostra credenziale di sicurezza. Se pensiamo di aver risposto a un tentativo di smishing fornendo i nostri dati bancari, dobbiamo subito contattare la banca.

Vishing

La parola vishing invece nasce combinando le parole voice e phishing. In questo caso siamo davanti a una truffa telefonica. I truffatori cercano di spingere la vittima a trasmettere loro dati personali, finanziari o di sicurezza o a versare loro del denaro.

Per evitare di cadere nella trappola dobbiamo fare attenzione alle chiamate telefoniche indesiderate. Se rispondiamo, segniamoci il numero dal quale abbiamo ricevuto la telefonata avvisando che lo richiameremo. C’è un modo molto semplice per verificare le loro identità: cercare il numero di telefono dell’organizzazione e contattarla direttamente.

Inutile fare riferimento al numero di telefono indicato dal truffatore: quasi sicuramente è fasullo o contraffatto. Se ti chiedi come possono avere trovato il tuo numero, può darsi che lo abbiano recuperato online (per esempio sui social). Anche in questo caso, mai condividere il numero PIN della nostra carta di credito o di debito. E tanto meno la password del nostro online banking. Se pensiamo che si tratti di una finta telefonata, la cosa migliore da fare è segnalare la cosa alla banca.

Phishing, vishing e smishing, come evitarli?

Per evitare di cadere in una di queste truffe basta seguire delle semplici precauzioni.

1. Accertarsi del mittente della comunicazione. Per evitare brutte sorprese va sempre verificata l’attendibilità del mittente di email, sms o messaggi WhatsApp. Se si nutre un dubbio sulla provenienza dei messaggi, la cosa da fare è non rispondere mai, tantomeno cliccare su link o allegati. Quanto alle comunicazioni sospette, meglio cancellarle.
2. Non dare informazioni al telefono. Mai comunicare a qualcuno i nostri codici di sicurezza o altre informazioni riservate. Al limite possiamo farci indicare un numero di telefono fisso rintracciabile per verificare l’identità del nostro interlocutore.
3. Digitare l’indirizzo della banca nel browser. Altra cosa per evitare di incappare in siti truffaldini è digitare direttamente nel browser l’url del sito della banca, evitando di cercarlo su motori di ricerca che potrebbero indirizzarci verso siti fasulli creati ad arte dai truffatori.

Cosa fare se siamo stati vittima di una di queste truffe

Se per caso abbiamo ricevuto email con richieste di dati personali (per es. numero di conto, password o carta di credito) la cosa da fare è contattare la banca. E se per sbaglio dovessimo aver comunicato i codici della banca online dopo un messaggio di phishing il consiglio è quello di cambiare immediatamente il codice pin informando la banca per sapere se ci sono stati tentativi di accesso fraudolenti e bloccare l’utenza.

Altra cosa utile è fare una scansione antivirus e non accedere di nuovo finché non siamo sicuri che il computer non sia stato infettato da un virus.