Il telefono vibra, il messaggio è breve, il tono è quello “ufficiale”: pacco non consegnato, verifica i dettagli. E in fondo, il link. A Siena, in questi giorni, sta girando una nuova ondata di sms-trappola che punta sulla fretta e su un gesto automatico: toccare quell’indirizzo e “sistemare” la consegna. Solo che l’indirizzo non porta da nessuna parte di legittimo: rimanda a pagine costruite ad arte per sottrarre dati e, in alcuni casi, denaro.
Il testo segnalato da diversi cittadini è simile: “Il tuo pacco non è stato consegnato con successo. Ti preghiamo di verificare i dettagli di consegna”, seguito da un collegamento internet. Il meccanismo è quello dello smishing, cioè la versione via sms del phishing: la truffa non arriva per e-mail, ma direttamente sul numero di telefono, sfruttando un canale che molti continuano a percepire come “più sicuro” e quindi meno sospetto.
L’aggancio è semplice e funziona proprio perché realistico. I corrieri e molti servizi, infatti, usano davvero gli sms per aggiornare i clienti: consegne in arrivo, giacenze, codici. I truffatori imitano quel linguaggio e lo rendono volutamente urgente: qualcosa è andato storto e devi intervenire subito. Il passaggio successivo è quasi sempre lo stesso: cliccando si finisce su un sito che sembra quello di un corriere o di un servizio di spedizione, con loghi e grafica simili, dove viene chiesto di inserire dati personali (nome, indirizzo, contatti) e spesso anche informazioni di pagamento con la scusa di “sbloccare” la consegna o pagare una piccola tariffa.
Il punto critico, spiegano gli esperti di sicurezza informatica, è la dinamica psicologica: lo smartphone è un ambiente familiare, il messaggio è corto, l’azione richiesta è immediata. E proprio l’urgenza è uno degli indicatori più tipici di queste campagne.
Come difendersi, in pratica? La regola di base è una: non cliccare sul link se non si è certi della provenienza del messaggio. Un sms può “mascherare” mittente e contenuti con una facilità molto maggiore di quanto si immagini, e bloccare a monte tutte le comunicazioni fraudolente non è semplice. Se davvero si aspetta un pacco, il controllo va fatto attraverso i canali ufficiali: l’app del corriere, l’area clienti del venditore, oppure digitando manualmente l’indirizzo del sito (senza usare il link ricevuto).
Altri segnali utili: messaggi scritti in modo approssimativo, con punteggiatura strana o italianismi poco credibili; link lunghi, pieni di caratteri casuali o con domini che non hanno nulla a che vedere con l’azienda citata; pagine che chiedono subito dati di carta o credenziali. Anche una verifica veloce può aiutare: cercare online una frase identica del messaggio spesso restituisce segnalazioni di utenti che hanno già ricevuto lo stesso sms.
Se si è cliccato per errore, meglio uscire subito dalla pagina e non inserire nulla. Se invece sono stati inseriti dati personali o bancari, è opportuno muoversi rapidamente: contattare la propria banca o l’emittente della carta per valutare il blocco, cambiare le password eventualmente coinvolte e conservare screenshot e informazioni utili. In caso di danno o tentativo di raggiro, la strada corretta è segnalare l’accaduto alle autorità competenti, così da contribuire a tracciare la campagna.
La truffa, in sostanza, gioca tutta su un equivoco: far sembrare “normale” un messaggio che normale non è. E trasformare una notifica qualunque nell’errore più costoso: un click fatto di fretta.
