Una nuova sofisticata campagna smishing sta prendendo di mira gli utenti italiani dei servizi bancari online, sfruttando una truffa SMS particolarmente ostica. Grazie a tecniche avanzate di ingegneria sociale, i truffatori inducono le vittime a rivelare informazioni sensibili o a installare malware sui propri dispositivi.
Il modus operandi di questa frode digitale si basa su un presunto addebito non autorizzato di 5.000 euro. Un importo calibrato per generare il massimo allarme, ma senza risultare immediatamente implausibile. Così i cybercriminali riescono successivamente a mettere le mani sui risparmi delle vittime ignare di tutto.
Anatomia della nuova truffa smishing svuota conto
Il nuovo attacco smishing che sta diffondendo questa pericolosa truffa svuota conto si articola in diverse fasi:
- Distribuzione: tutto inizia con l’invio massivo di messaggi fraudolenti via SMS;
- Contenuto: il messaggio contiene la notifica di un addebito non autorizzato di 5.000 euro sul conto corrente della vittima;
- Call-to-Action: dopo l’avviso si nota l’inclusione di un link malevolo o di un numero telefonico fornito per “bloccare” l’operazione;
- Vettore di infezione: questo link e il numero telefonico possono portare a pagine di phishing o al download di malware.
Questa campagna si distingue per alcuni elementi tecnici rilevanti, che rendono la truffa smishing svuota conto particolarmente insidiosa:
- Spoofing dell’identità: gli attaccanti utilizzano tecniche di falsificazione del mittente per apparire come comunicazioni ufficiali bancarie;
- Ingegneria sociale avanzata: in questi attacchi è solito lo sfruttamento di trigger psicologici come urgenza e paura per indurre azioni impulsive;
- Infrastruttura dinamica: vengono sfruttati domini e server che cambiano rapidamente per eludere i sistemi di sicurezza.
Con questa strategia i truffatori riescono non solo a finalizzare il furto dell’identità della vittima, ma riescono anche ad accedere al suo conto corrente avviando prelievi non autorizzati del denaro depositato.
Come proteggersi
Risulta indispensabile mitigare il rischio associato a questa campagna smishing che veicola la truffa dell’addebito di 5.000€ sul conto, tramite alcune misure di sicurezza e best practices:
- Autenticazione multi-fattore (MFA): implementazione obbligatoria per tutte le operazioni bancarie online;
- Educazione degli utenti: formazione continua sulle tecniche di phishing e sui protocolli di sicurezza;
- Sistemi di rilevamento avanzati: utilizzo di soluzioni anti-phishing basate su machine learning;
- Protocolli di verifica: adozione di procedure personali per la verifica delle comunicazioni bancarie.