Nelle ultime settimane sono state oggetto di segnalazione continue campagne di smishing provenienti da un falso mittente INPS, al punto che anche lo stesso Istituto ha comunicato un’allerta a riguardo. Il comune denominatore non riguarda solamente il vettore di attacco, ovverosia un SMS con link ad una landing page contraffatta per essere simile al portale INPS, ma anche la leva impiegata per convincere ad eseguire una serie di azioni che portano ad inserire i propri dati e documenti, o in alcuni casi a scaricare un file malevolo sul proprio dispositivo.
Il problema principale e il punto di forza dello smishing consiste in una generale e probabile minore attenzione posta dall’utilizzatore dello smartphone che lo rende maggiormente vulnerabile ed esposto a diventare vittima di cybercriminali che ordiscono campagne fraudolente ben ingegnerizzate. La leva comunemente impiegata dai vari attacchi a tema INPS riguarda la richiesta di confermare la propria identità con l’inserimento – o aggiornamento – di dati personali o caricamento di un documento di identità attraverso un portale raggiungibile da link dedicato. Questa condizione viene rappresentata come essenziale per poter attivare o proseguire l’erogazione delle prestazioni. Inizialmente, veniva comunicato il blocco di un bonifico in arrivo di importo determinato, ma successivamente la forma è diventata più sottile ed insidiosa, come ad esempio: “Per procedere all’erogazione della prestazione INPS, gentilmente confermi i suoi dati anagrafici”. Allarmante, ma non al punto tale da destare un senso di allerta che possa far pensare di essere destinatari di una forzatura. Eppure, anche una manipolazione di questo tipo è una pressione valida per indurre a compiere l’azione richiesta. Soprattutto perché la vittima ha già un senso di urgenza nel bisogno di ricevere talune prestazioni di natura assistenziale.
Il buon esito di tali campagne criminali è statistico, e deriva da un contesto caratterizzato da un’ampia presenza di bonus richiedibili (e dunque: richiesti) da parte dei cittadini nonché una vasta platea di potenziali vittime inconsapevoli di questi rischi. La consapevolezza gioca un ruolo chiave nella difesa, così come rispettare sempre la regola di pensare prima di agire. Anche con un clic, anche quando si ha uno smartphone in mano e si è impegnati a fare altro. Anzi: soprattutto in questi casi bisogna essere in grado di elevare la propria soglia di attenzione.
La risposta ad una richiesta di inserimento informazioni o di accedere ad un determinato link non deve mai consiste in un automatismo, ma essere sempre in ogni circostanza condotta come azione ragionata. Quando non è possibile, allora è bene prendersi tempo e non cedere alla tentazione che naturalmente il contesto digitale – oltre che un’azione di manipolazione esterna di cui non è sempre possibile essere consci – porta con sé.
