A hand holding a large fishing hook emerging from the inside of a cell phone screen, surrounded by sharp black impact lines.

Le truffe per messaggio, conosciute anche come phishing tramite SMS o smishing, sono una delle tattiche più utilizzate dai truffatori per rubare dati personali o finanziari. Sapere riconoscere un SMS fraudolento è fondamentale per prevenire furti economici, di identità o violazioni della privacy. Continua a leggere per sapere come funzionano le truffe via SMS e come proteggerti.

Sommario

    Come funzionano le truffe via SMS

    I truffatori sono persone creative, questo bisogna riconoscerglielo. E quando si parla di SMS, riescono a creare gli scenari e le tattiche più originali, convincenti e assurde che esistano. Anche così, però, molte di queste strategie rientrano in 3 possibili categorie: furti di identità, link di phishing e ingegneria sociale.

    Furti di identità: i truffatori fingono di essere un’organizzazione affidabile, come una banca, un’azienda di trasporti o un ente governativo, e provano a ingannare la vittima con un SMS urgente.

    Link di phishing: i messaggi truffa includono spesso un link a un sito web fraudolento, creato per convincere la vittima a inserire le proprie credenziali di accesso, il numero della carta di credito o altre informazioni personali identificabili (PII). 

    Ingegneria sociale: molti truffatori sfruttano gli errori umani e alcuni meccanismi psicologici di base. Facendo leva su emozioni e sentimenti come la paura, la curiosità, l’avidità, l’urgenza o addirittura l’altruismo, convincono le vittime a rivelare dati personali o inviare denaro.

    Quali sono le truffe via SMS più diffuse?

    Praticamente qualsiasi SMS falso può essere convertito in una truffa, per cui esiste un’infinità di tipi di truffe per messaggio. Concentriamoci sui 10 tipi più comuni, da cui dobbiamo imparare a difenderci:

    1. Truffe economiche e bancarie

    Il truffatore si spaccia per una banca, l’azienda di una carta di credito o un’organizzazione finanziaria. Invia un SMS falso su una presunta attività sospetta sul conto o sull’imminente sospensione della carta. I messaggi di questo tipo fanno paura e molte persone finiscono per rispondere.

    Questi messaggi spingono le vittime a cliccare su un link o a chiamare un numero di telefono, ed è proprio in quel momento che iniziano i tentativi di phishing per rubare le loro informazioni sensibili. 

    Due messaggi di testo da banche, uno legittimo e uno un tentativo di phishing, che evidenziano i segni rivelatori di frode e autenticità.

    1. Truffe dei pacchi

    Circa il 20% di tutti gli acquisti di vendita al dettaglio avviene online (e in futuro saranno sempre di più). È normale che chi fa acquisti online riceva molti messaggi sugli ordini, alcuni dei quali riguardano notifiche di consegne non avvenute o in ritardo. I truffatori adorano questo tipo di messaggi, perché sono uno degli scenari più facili da sfruttare per rubare dati personali.

    Ad esempio, potresti ricevere una finta notifica di consegna da parte delle Poste, UPS, FedEx e altre aziende di trasporti. Nel messaggio, di solito, viene indicato un problema relativo alla consegna e viene fornito un link per “risolverlo”. Dato che quasi ogni giorno aspettiamo dei pacchetti, potresti fare clic sul link, finire su un sito di phishing e inserire le informazioni che ti vengono richieste.

    1. Truffe legate a offerte e regali

    Partecipi spesso ai concorsi online? Attenzione, perché alcuni potrebbero essere delle truffe! E anche se non hai mai partecipato a un concorso, davanti a un messaggio che ti dice che hai vinto un premio in denaro, un iPhone o una vacanza pagata ai Caraibi potresti cedere anche tu alla tentazione… in fondo a tutti piacciono i regali.

    I truffatori lo sanno e ne approfittano spesso: inviano un SMS per dirti che hai vinto un concorso o il premio di una lotteria e ti chiedono di cliccare su un link per riscattare il premio. Dopo aver fatto clic, di solito, ti verrà chiesto di fornire i tuoi dati e i dettagli del conto bancario, o persino di pagare una piccola “commissione” per ricevere il premio.

    1. Truffe legate alla verifica dell’account

    Un’altra tattica molto utilizzata dai truffatori per accedere agli account e alle informazioni delle vittime è fingere di essere un’azienda famosa, come Apple, PayPal o Google, e inviare finti messaggi di verifica dell’account.

    Di solito, questi SMS contengono informazioni su attività sospette, problemi di sicurezza o un’eventuale sospensione dell’account, e chiedono al destinatario di verificarlo tramite un codice di autenticazione a due fattori (2FA) o un link che indirizza a un sito di phishing, dove vengono richieste le credenziali di accesso.

    1. Truffe del numero sbagliato

    Questa è una delle truffe più elaborate e richiede una lunga interazione con la vittima. Tutto inizia con un messaggio di testo di uno sconosciuto che sembra aver sbagliato numero di telefono.

    Il testo del messaggio può variare da un semplice “ciao, come va” a un promemoria riguardo a una riunione di lavoro. L’obiettivo è iniziare una conversazione con la vittima, conquistare la sua fiducia o incuriosirla, per poi arrivare alla parte della truffa vera e propria: chiedere informazioni personali o denaro, proporre un investimento finanziario e così via.

    1. Truffe di debiti e prestiti personali

    Con questi SMS falsi, i truffatori fingono di offrire prestiti o soluzioni per ridurre o cancellare i debiti­. Di solito, queste truffe promettono condizioni troppo belle per essere vere, ma le persone che attraversano difficoltà economiche possono cadere facilmente nel tranello.

    Per procedere con la “richiesta”, il truffatore chiede alla vittima informazioni personali, pagamenti in anticipo o altre commissioni di servizio. Il risultato finale è quasi sempre un’ulteriore perdita economica e un potenziale furto d’identità.

    1. Truffe che coinvolgono enti governativi

    A nessuno piace avere a che fare con enti governativi come l’Agenzia delle Entrate o l’INPS. Le persone si agitano ancora di più quando si parla di tasse non pagate, problemi con i sussidi o questioni simili, e i truffatori ne approfittano.

    Attraverso finti SMS che minacciano azioni legali e multe, i cybercriminali creano un senso di urgenza nella vittima. In genere, il messaggio contiene un link che permette di “risolvere” il problema, ma che in realtà espone a un attacco di phishing.

    1. Truffe dei rimborsi

    Al contrario di quando dobbiamo restituire del denaro, ricevere un rimborso è sempre una bella sensazione, e i truffatori ne approfittano spesso nelle loro truffe via SMS. Possono spacciarsi per un’attività commerciale, un ente statale o un’azienda di servizi e informarti che ti spetta un rimborso da parte loro.

    Per ottenere il rimborso, devi fare clic sul link presente nel messaggio, che ti porterà sul solito sito di phishing, dove ovviamente ti viene chiesto di inserire i tuoi dati personali o bancari.

    1. SMS di emergenza

    Questa è una delle strategie più vecchie del mondo: ricevi un messaggio da un numero sconosciuto, in cui si dice che un tuo amico o parente si è fatto male, è in pericolo o ha un problema legale. A quel punto, da brava persona quale sei, entri nel panico e la paura e la preoccupazione ti impediscono di pensare razionalmente. Il truffatore ti dice che è una questione molto urgente, che sei l’unica persona in grado di aiutarlo e ti chiede del denaro. In alcuni casi può anche chiederti di non raccontarlo a nessuno, e tu non lo fai.

    Le truffe tramite SMS di emergenza sono un ottimo esempio di quanto siano manipolabili le emozioni delle persone.

    1. SMS provenienti dal tuo stesso numero

    Questa è una delle truffe via SMS più strane che ci siano, in quanto i messaggi sembrano provenire dal tuo numero di telefono. Tramite una tattica chiamata spoofing dei numeri di telefono, i truffatori li utilizzano per inviare molti messaggi sperando di catturare l’attenzione dei destinatari.

    Generalmente, questi messaggi di testo contengono un link fraudolento che, come sempre, espone la vittima ad attacchi di phishing, malware, condivisione di dati personali e così via.

    Cosa fare se ricevi un messaggio truffa

    Gli SMS truffa non sono mai richiesti, ovvero non sono mai una risposta a un tuo messaggio, spesso contengono errori grammaticali e link sospetti. Se pensi di aver ricevuto un SMS di questo tipo, ecco cosa devi fare:

    • Non rispondere al messaggio e non fare clic sui link: parlare con il mittente e fare clic sui link possono esporti ad attacchi malware e phishing. Se pensi che alcuni di questi SMS possano essere autentici e vuoi fare una verifica, non cliccare sul link: vai direttamente sul sito ufficiale digitando l’indirizzo nel browser, accedi al tuo account e controlla le notifiche. Oppure, ti consigliamo di chiamare il numero ufficiale dell’azienda e parlare con un operatore.
    • Elimina il messaggio per evitare interazioni accidentali: cancellandolo riduci il rischio di aprirlo per sbaglio, cliccare su un link o chiamare il truffatore.
    • Blocca il numero del mittente per non ricevere più i suoi messaggi: oltre ad eliminare l’SMS, ti consigliamo di bloccare il numero per impedirgli di ricontattarti in futuro.
    • Denuncia la truffa al tuo operatore o alle autorità: alcuni operatori telefonici consentono di segnalare le truffe inoltrando il messaggio a un numero apposito. Inoltre, puoi denunciare il tentativo di truffa a un’associazione di consumatori e utenti, come il Codacons.

    Come proteggersi dalle truffe via SMS

    Vediamo alcuni consigli utili per difendersi dalle truffe tramite SMS:

    • Attiva i filtri antispam sul telefono e blocca i messaggi indesiderati: quasi tutti i telefoni hanno una funzionalità incorporata che consente di filtrare lo spam e bloccare i numeri riconosciuti come fraudolenti.
    • Aggiorna regolarmente le preferenze dei contatti per decidere chi può scriverti: modifica le impostazioni di siti web, app e servizi per restringere l’accesso al tuo numero di telefono.
    • Utilizza Alternative Number: con Alternative Number, puoi registrarti a servizi e siti senza rendere visibile il tuo vero numero di cellulare a eventuali truffatori.
    • Rimuovi il tuo numero di telefono dagli elenchi dei broker di dati: per rimuovere le tue informazioni – compreso il numero di cellulare – dai loro database, puoi utilizzare un servizio come Incogni. A proposito, Incogni è incluso nell’abbonamento a Surfshark One+: pagando una piccola quota mensile, puoi proteggere non solo il tuo numero di telefono, ma tutta la tua identità online!

    Morale della favola: i truffatori sono furbi, ma tu puoi esserlo più di loro

    I truffatori utilizzano i messaggi di testo per convincere facilmente le persone a rivelare i propri dati personali e inviare denaro. Anche se alcuni SMS sono più convincenti di altri, quasi tutti presentano dei chiari indizi di truffa. Dopo aver letto questo articolo, hai tutte le armi necessarie per combattere i truffatori: fai sempre attenzione, impara a riconoscere le loro tattiche ingannevoli e non cadrai mai vittima di una truffa via SMS.

    Proteggiti dalle minacce digitali
    con una suite di sicurezza informatica
    Scegli Surfshark
    Surfshark

    Domande frequenti

    Cosa succede se rispondo a un messaggio truffa?

    Quando rispondi a uno di questi SMS, il truffatore può iniziare una conversazione per convincerti a condividere dati sensibili, inviare denaro e così via. Inoltre, rispondendo confermi che il tuo numero di telefono è attivo e diventi un bersaglio per nuove truffe future (questo tipo di informazioni viene spesso condiviso o rivenduto tra cybercriminali).

    I truffatori possono accedere al telefono tramite un SMS?

    No, non possono accedervi direttamente attraverso un messaggio di testo, ma se fai clic su un link contenuto nell’SMS, potresti installare un malware sul dispositivo e comprometterlo.

    Aprire un SMS è sufficiente per subire un attacco di phishing?

    In generale, aprire il messaggio non è pericoloso, ma se fai clic su un link o rispondi al mittente, potresti subire un tentativo di phishing.