Un sms proveniente da una fonte apparentemente sicura che invece non lo era affatto, un clic e il conto corrente immediatamente prosciugato. Si chiama smishing la tecnica con cui un uomo di Torre Annunziata ma residente a Fermo nelle Marche, ora in stato di arresto, in probabile associazione con altre quattro persone ora indagate, prosciugavano in pochi secondi conti correnti bancari di poveri malcapitati che non hanno fatto nulla di più che rispondere a quel messaggio fatale per i propri messaggi.
Un arresto e quattro denunce per la truffa dello smishing: come funzionava
I carabinieri del Comando Provinciale di Roma, sezione cyber investigation del Nucleo Operativo hanno avviato le indagini, coordinate dalla Procura di Ancora, che hanno portato alla scoperta della truffa del valore quasi tre centinaia di migliaia di euro, grazie alla denuncia di una delle vittime di questa banda dello smishing. Un uomo residente ha Roma si è rivolto infatti alle forze dell’ordine raccontando di aver notato un ammanco di 27000 euro dal suo conto corrente bancario, dopo aver risposto all’ sms, apparentemente proveniente dall’istituto di credito di cui è cliente.
Uno schema che nasconde una sofisticata truffa informatica, di cui si sono scoperte, in breve tempo, oltre al cittadino romano la cui denuncia ha dato l’avvio alle indagini, altre diciotto vittime, per un bottino totale che ammonta alla notevole somma di 280000 mila euro.
La tecnica della banda dello smishing era efficace e non lasciava nulla al caso a parte forse, la scelta delle vittime, apparentemente pescate senza particolari caratteristiche in comune, d’altronde, per i malintenzionati, l’unico requisito necessario era che i papabili truffati fossero in possesso di un cellulare e titolari di conti bancari.
Gli sms inviati dai truffatori potevano essere facilmente scambiati per messaggi autentici originati dagli istituti di credito, nel messaggio le vittime venivano invitate ad accedere urgentemente al proprio conto online. Da quel momento le porte dei propri depositi bancari erano aperte alla banda dello smishing che avendo via libera prelevava il denaro e lo dirottava su conti intestati a persone compiacenti ai quali poi rimaneva una “provvigione” di circa il 15% del bottino rubato.
Dopo la prima denuncia, grazie al ricorso a sofisticate tecniche di digital forensics i carabinieri sono stati in grado di ricostruire i dettagli della tecnica utilizzata dalla banda e arrivare all’arresto di quello che è sospettato essere il capo, e a denunciare altre quattro persone che avrebbero agito in associazione nell’ambito della medesima truffa. Tutti gli indagati sono stati sottoposti a perquisizioni personali, domiciliari e informatiche alla ricerca di ogni elemento utile per far luce sulla truffa informatica a base di sms.
Smishing, come difendersi dalla truffa degli sms che svuota il conto corrente
Come gli altri tipi di reati e frodi informatiche anche lo smishing è un fenomeno in crescita, una tecnica a cui sempre più spesso ricorrono i malintenzionati alla ricerca di soldi facili, che permette di sfruttare a scopo criminale gli strumenti tecnologici che tutti usiamo quotidianamente.
Lo smishing in particolare è la truffa che sceglie l’sms o un messaggio di testo scambiato su social o piattaforme, per superare le barriere virtuali innalzate a difesa dei propri conti correnti e patrimoni, rappresentati da credenziali di accesso, pin e password di conti online o carte di credito.
I messaggi che arrivano alle vittime sono spesso apparentemente in tutto e per tutto somiglianti a quelli generalmente inviati dagli istituto di credito. All’interno in genere si trova un link su cui si viene invitati a cliccare per accedere al proprio profilo, in un messaggio che sottolinea spesso il carattere di urgenza della richiesta. Nel momento in cui vengono inserite le proprie credenziali, queste vengono usate dai truffatori per gestire a proprio piacimento i conti in cui sono stati fatti entrare. A volte, vengono usati stratagemmi diversi, come link che rimandano a moduli online dove si richiede di inserire dati sensibili come codice fiscale, pin, password.
Sul sito del garante della privacy si possono trovare le linee guida e i suggerimenti per difendersi da questo tipo di frodi, ma in linea generale è importante non cliccare su link inseriti in messaggi di provenienza dubbia e tanto meno scaricare eventuali allegati. Se i messaggi sembrano veri, come accade sempre più spesso, è bene ricordarsi che nessun operatore bancario chiederebbe mai a un proprio cliente di inserire le proprie credenziali direttamente su un sms o un messaggio in chat.