Con un falso SMS che richiede di seguire un link di verifica della carta di credito ricaricabile PostePay di Poste Italiane, una nuova campagna di SMSishing sarebbe al centro di una truffa perpetrata ai danni dei consumatori. Come avviene e cosa fare per evitare il tranello. 
Le dinamiche sono simili a quelle di mille altri tentativi di frode a mezzo telematico/informatico che prendono come bersaglio, da ormai più di un ventennio, i clienti di servizi finanziari e istituti di credito.
L’ultimo in ordine di tempo sarebbe stato segnalato dallo CSIRT Computer Security Incident Response Team) e riguarderebbe una nuova truffa informatica divulgata tramite SMS. Per questo si parlerebbe di smishing.
In particolare, il messaggio recapitato conterrebbe una richiesta di verifica della carta PostePay di Poste Italiane che reindirizzerebbe ad una risorsa online costruita appositamente dagli autori della frode.
Se da una parte i più smaliziati potrebbero percepire immediatamente le finalità malevole dell’SMS, gli utenti meno esperti potrebbero cliccare sul link indicato e procedere all’inserimento di dati personali e codici bancari.
Come funziona la nuova truffa dell’SMS PostePay e come tutelarsi per evitare sottrazione di denaro o dati personali.
La truffa, come evidenzia lo CSIRT, parte da un SMS di richiesta di verifica della PostePay che invita l’utente a cliccare su un link. Il collegamento porta l’ignaro consumatore su un falso sito delle Poste Italiane. Perfettamente replicato.
Qui, all’utente viene richiesto di immettere login, password, estremi della carta di credito ricaricabile e, in seguito, anche il codice OTP (One Time Password). Per permettere, probabilmente, ai malintenzionati di ottenere l’autorizzazione ad effettuare un pagamento in quello stesso momento.
LEGGI ANCHE >>> Clubhouse perde colpi: eccolo su Android e senza inviti
Ma è a questo punto che il malfattore, fingendo un errore di inserimento/accettazione del codice OTP, farà ripetere svariate volte l’immissione della chiave univoca appena generata prima di “convalidare” la verifica della carta. Meccanismo che consentirà al criminale di ripetere più transazioni nell’arco di poco tempo con l’inconsapevole beneplacito del consumatore.
POTREBBE INTERESSARTI >>> Ecco la truffa via SMS sul pacco in consegna: attenzione a questi particolari
Come tutelarsi? Lo stesso CSIRT consiglia di porre sempre attenzione ai portali che richiedono l’inserimento di dati personali o di credenziali bancarie, anche se recanti loghi e fattezze di noti portali aziendali. In particolar modo se a queste pagine si arriva tramite un link ricevuto da una mail o da un messaggio via chat o tramite SMS; anche se provenienti da mittenti attendibili, il computer remoto potrebbe essere stato compromesso da qualche virus informatico.
