Tab
icon_FB_laterale
linkedin
Youtube
 
Logo BCC Udine
Intestazione

 News

 
05/12/2012
Smishing la nuova frontiera delle truffe on line
Il nuovo sistema per rubare denaro e informazioni riservate con il cellulare che viaggia con messaggi SMS.

Sgominata una banda che attraverso sms falsi inviati agli smartphone rubava user id e password e clonava carte di credito. È la nuova frontiera "artigianale" del phishing…

È un sistema molto più artigianale rispetto al phishing e ai virus trojan, e forse anche per questo è riuscito a far breccia nella buona fede di migliaia di italiani truffati. Si tratta di un nuovo tipo di frode informatica battezzata SMishing. Il nome di questo nuovo crimine spiega già tutto: SM sta infatti per sms, gli innocenti messaggini del telefonino, utilizzati dalla banda per agganciare ignari utenti truffati poi con le tecniche tipiche del phishing.

In pratica, a decine di migliaia di utenti in possesso di uno smartphone venivano inviati sms fraudolenti (addirittura trecento al minuto, grazie all'utilizzo di una gsm-box, una generatrice automatica di sms trovata nel covo al momento degli arresti).

Cosa dicevano questi sms? Chiedevano di aggiornare con urgenza i propri account, oppure promettevano ricariche premio gratuite, indicando nel corpo dell'sms un link che rimandava a pagine web fantasma di siti commerciali e di istituti di credito. Pagine del tutto simili alle originali, ma false, gestite dall'organizzazione criminale, che in questo modo immagazzinava ogni giorno migliaia di dati personali sensibili, compresi user id e password di ignari utenti. Attraverso questi dati, era semplicissimo risalire ai numeri di carte di credito abbinate agli utenti, che venivano utilizzate direttamente per acquistare online grandi lotti di materiale informatico, tablet, telefonini, macchine fotografiche, ma anche abbigliamento e ricariche telefoniche. I prodotti venivano poi rivenduti "regolarmente" sempre attraverso altri siti di e-commerce (uno di questi siti, il www.artisana.it, è stato sottoposto a sequestro), risciacquando così il bottino delle truffe che svaniva nel nulla.

Un meccanismo semplice e proprio per questo insidioso: i sistemi antivirus installati sugli smartphone non sempre indicano se il sito aperto via mobile partendo da un link ricevuto via sms corrisponda a un sito a rischio.

Ma non è finita qui. Esiste anche una forma ancora più evoluta di SMishing, si chiama Vishing (voice phishing). I cyber criminali che utilizzano questo sistema inviano un sms che chiede di comporre un numero telefonico sempre per effettuare un aggiornamento dati di qualche account (conto BancoPosta, conti correnti bancari, ecc) dove una persona reale, ma più spesso una voce pre-registrata, chiede informazioni personali e dati sensibili come la password, per entrare nel servizio online di gestione del conto corrente, della carta di credito o prepagata.