
In arrivo un’altra campagna di smishing, stavolta a tema vaccinazione e relativa alle prenotazioni. Dal comunicato della polizia postale e delle comunicazioni, risultano molte segnalazioni riguardanti una campagna fraudolenta rivolta per lo più ai soggetti ultraottantenni, principali destinatari della c.d. “fase 2” del piano vaccinale.
Andando ad analizzare il contenuto, il messaggio invita a contattare un numero di telefono per ricevere informazioni o per gestire la propria prenotazione.
Ancora una volta, l’analisi del contesto è essenziale e certamente fa parte della progettazione di un attacco di phishing, diretto nei confronti di potenziali vittime estremamente vulnerabili tanto sul piano della consapevolezza, dal momento che nonostante le diffuse intenzioni di digitalizzazione ancora si è ben poco fatto nel sistema-Paese, quanto sul piano della leva emotiva. Approfondendo questo secondo aspetto, infatti, le notizie circa lo svolgimento del piano vaccinale hanno l’effetto di produrre una sorta di endorsement inconscio relativamente all’attendibilità della comunicazione, facendo venir meno l’adozione di comportamenti prudenti. Inoltre, la legittima aspettativa circa l’essere convocati per la propria vaccinazione (in quanto appartenenti a categorie prioritarie) e il correlato desiderio o la paura di aver mal gestito la propria prenotazione, giocano un ruolo fondamentale nel suscitare quanto meno quel fondamento di curiosità ed interesse che produce l’azione conseguente (contattare il numero indicato, anche rispondendo al messaggio) utile al truffatore.
È bene ricordare che gli attacchi di phishing tramite sms hanno la caratteristica di essere particolarmente insidiosi ed efficaci in ragione del vettore impiegato, dal momento che l’utente medio è generalmente meno attento alla sicurezza dei contenuti ricevuti attraverso il proprio smartphone. Le ragioni? Il pregiudizio circa la maggiore sicurezza del dispositivo rispetto ad un computer, e la modalità routinaria di impiego dello stesso, il più delle volte in contemporanea con altre attività.
La ridotta o distorta consapevolezza dei rischi di sottrazione delle proprie informazioni o di esposizione ad ulteriori pericoli relativi allo strumento del telefono cellulare, dunque, rappresenta la principale vulnerabilità per gli utenti.
È possibile riconoscere questo tentativo di phishing, riscontrando delle anomalie nella comunicazione e difendersi efficacemente? Tanto sotto il profilo del contesto quanto della genuinità del mittente, alcuni dubbi potrebbero ben sorgere, ma l’elemento di maggiore allerta si riscontra nel contenuto che invita a contattare non il proprio medico di base o la ASL competente, ma un numero che non appartiene ad alcun elenco pubblico istituzionale. È così sufficiente contattare il numero unico istituito dalla propria regione per il piano vaccinale, o il CUP, per scoprire il tentativo di frode perpetrato ai propri danni senza esserne vittima.