Cos’è lo smishing?
Ogni giorno riceviamo decine di messaggi sul telefono: notifiche bancarie, avvisi di consegna, comunicazioni da enti pubblici. La maggior parte sono legittimi, ma alcuni nascondono una minaccia sempre più diffusa. Lo smishing – termine che unisce SMS e phishing – è una forma di attacco informatico che sfrutta proprio questa abitudine quotidiana per ingannare le vittime, inducendole a rivelare dati sensibili o a cliccare su link malevoli.
A differenza di altri tipi di truffe digitali, lo smishing colpisce su un canale che tendiamo a percepire come più affidabile: il messaggio di testo. Sul telefono abbassiamo la guardia più facilmente che davanti a un’email sospetta, e i cybercriminali lo sanno bene. Capire come funziona e come riconoscerlo è il primo passo per non caderne vittima.
Definizione e significato
Il termine smishing nasce dalla combinazione di due parole: SMS e phishing. Si tratta di una tecnica di attacco informatico in cui i criminali inviano messaggi di testo fraudolenti, progettati per sembrare comunicazioni ufficiali di banche, corrieri, enti governativi o grandi aziende. L’obiettivo è sempre lo stesso: spingere il destinatario a compiere un’azione – cliccare su un link, chiamare un numero, fornire dati personali – che consenta all’attaccante di sottrarre informazioni o denaro.
La diffusione dello smishing è cresciuta in modo significativo negli ultimi anni, parallelamente all’aumento dell’uso degli smartphone per gestire operazioni bancarie, acquisti online e comunicazioni con la pubblica amministrazione. Secondo i dati del Proofpoint State of the Phish Report 2023, oltre il 76% delle organizzazioni a livello globale ha subito attacchi di smishing, con un incremento costante anno su anno. In Italia, il fenomeno è ulteriormente amplificato dalla diffusione capillare dei servizi digitali e dall’abitudine a ricevere comunicazioni via SMS da istituti bancari e servizi di spedizione.
Qual è la differenza tra smishing e phishing?
Lo smishing e il phishing condividono la stessa logica di fondo: ingannare la vittima spacciandosi per un’entità affidabile per sottrarre dati o denaro. La differenza sta nel canale utilizzato. Il phishing tradizionale avviene via email, un mezzo su cui negli anni gli utenti hanno sviluppato una certa consapevolezza: filtri antispam, indicatori visivi di sicurezza, abitudine a verificare il mittente. Lo smishing, invece, arriva via SMS, un canale che storicamente ha tassi di apertura altissimi – si stima che circa il 98% dei messaggi di testo venga aperto, contro il 20-30% delle email.
Questo rende lo smishing particolarmente insidioso. Lo schermo ridotto del telefono limita la visibilità dei dettagli sospetti: il mittente appare come un nome o un numero breve, l’URL eventualmente mostrato è spesso abbreviato o troncato, e il messaggio arriva in un contesto in cui ci aspettiamo comunicazioni brevi e dirette. Gli attacchi di phishing via email lasciano più tracce e si prestano a una verifica più agevole; lo smishing sfrutta la rapidità con cui tendiamo a rispondere a un SMS, soprattutto quando il messaggio comunica urgenza o pericolo.
| Smishing e phishing a confronto | ||
| Phishing (email) | Smishing (SMS) | |
| Canale | Messaggio di testo (SMS) | |
| Tasso di apertura medio | 20–30% | Fino al 98% |
| Visibilità del mittente | Indirizzo email completo visibile | Spesso solo nome o numero breve |
| URL visibile | Link testuale, spesso verificabile | Spesso abbreviato o troncato |
| Filtri di protezione | Antispam evoluti e diffusi | Limitati sugli SMS |
| Percezione dell’utente | Crescente diffidenza | Canale percepito come affidabile |
Come avviene un attacco di smishing?
Un attacco di smishing segue uno schema abbastanza preciso, anche se le varianti sono numerose. Il punto di partenza è sempre un messaggio che cattura l’attenzione e, soprattutto, che convince il destinatario ad agire immediatamente. La costruzione di questo messaggio è tutt’altro che casuale: dietro c’è un lavoro di analisi dei comportamenti, delle aspettative e delle paure delle vittime potenziali.
Messaggi fraudolenti e link malevoli
I messaggi fraudolenti utilizzati nello smishing imitano con grande cura le comunicazioni di organizzazioni note. Il logo, il tono, persino il numero mittente possono essere falsificati attraverso tecniche di spoofing, rendendo il messaggio praticamente indistinguibile dall’originale. Un classico esempio è il falso SMS bancario: “Abbiamo rilevato un accesso sospetto al suo conto. Clicchi qui per verificare la sua identità”. Oppure la finta notifica di consegna: “Il tuo pacco non può essere consegnato. Aggiorna i tuoi dati entro 24 ore”.
Il link contenuto nel messaggio porta quasi sempre a un sito web clone, progettato per replicare fedelmente l’aspetto del sito legittimo. Una volta lì, l’utente viene invitato a inserire credenziali, dati della carta di credito o informazioni personali, che finiscono direttamente nelle mani dell’attaccante. In alcuni casi, il semplice clic sul link può essere sufficiente a installare un malware sul dispositivo, sfruttando vulnerabilità del browser mobile. Proprio per questo, la crittografia dei dati trasmessi – riconoscibile dal prefisso HTTPS nell’URL – è una delle prime cose da verificare prima di inserire qualsiasi informazione su un sito raggiunto tramite SMS.
Tecniche di ingegneria sociale
Al cuore di ogni attacco di smishing c’è l’ingegneria sociale: l’arte di manipolare il comportamento umano facendo leva su emozioni come la paura, l’urgenza o la curiosità. I cybercriminali studiano i meccanismi psicologici che spingono le persone ad agire senza riflettere e li incorporano sistematicamente nei propri messaggi.
Il senso di urgenza è la leva più usata: “entro 24 ore”, “il suo account verrà sospeso”, “azione richiesta immediatamente” sono formule pensate per azzerare il tempo di valutazione critica. La paura di perdere denaro, di subire conseguenze legali o di vedere compromesso un account spinge molte persone a cliccare prima di pensare. Altrettanto efficace è la promessa di un vantaggio – un rimborso fiscale, un premio, un’offerta esclusiva – che fa leva sulla curiosità e sull’interesse personale.
In alcune campagne di smishing più sofisticate, gli attaccanti personalizzano i messaggi usando informazioni parzialmente reali sulla vittima – nome, nome della banca, luogo di residenza – ottenute da precedenti violazioni di dati o da fonti pubbliche. Questo approccio, noto come spear smishing, aumenta enormemente la credibilità del messaggio e la probabilità che la vittima abbocchi.
Quali sono i rischi per gli utenti?
Le conseguenze di un attacco di smishing possono essere gravi e durature. Non si tratta solo di una singola transazione fraudolenta: i dati sottratti spesso alimentano catene di attacchi successivi, rendendo la vittima vulnerabile nel tempo.
Furto di dati personali
Il furto di dati personali è l’obiettivo più comune degli attacchi di smishing. Le informazioni sottratte – credenziali bancarie, codici OTP, numeri di carta di credito, dati anagrafici, copie di documenti d’identità – vengono utilizzate direttamente per accedere ai conti della vittima oppure rivendute nel dark web, dove alimentano un mercato sommerso di identità digitali compromesse.
Un caso emblematico è quello del cosiddetto SIM swapping: i criminali, dopo aver ottenuto i dati personali della vittima tramite smishing, contattano l’operatore telefonico fingendosi il titolare del numero per trasferire la SIM su un dispositivo in loro possesso. A quel punto ricevono tutti i messaggi, inclusi i codici OTP usati per autenticare i pagamenti e gli accessi bancari, svuotando i conti nel giro di poche ore. Si tratta di uno degli attacchi più dannosi tra quelli che originano da un singolo SMS.
Truffe e frodi digitali
Accanto al furto di dati, lo smishing viene usato anche per perpetrare truffe dirette. In questi casi l’obiettivo non è sottrarre credenziali, ma convincere la vittima a effettuare un bonifico, a ricaricare una carta prepagata o a fornire un codice che autorizza una transazione. È il caso delle truffe che simulano richieste di aiuto da parte di familiari in difficoltà, delle finte comunicazioni dell’Agenzia delle Entrate con rimborsi fiscali da riscuotere, o degli SMS che annunciano premi e vincite da ritirare previo pagamento di piccole spese di spedizione.
Le frodi digitali originate dallo smishing sono spesso difficili da perseguire perché i criminali operano da giurisdizioni diverse, usano numeri temporanei o VoIP e cancellano rapidamente i siti clone. Per la vittima, recuperare le somme perse o ripristinare la propria identità digitale può richiedere mesi, con un impatto significativo non solo economico ma anche psicologico.
Come difendersi dallo smishing?
La difesa più efficace contro lo smishing parte dalla consapevolezza: capire come funziona un attacco è già metà della protezione. Ma la consapevolezza da sola non basta: occorre tradurla in comportamenti concreti e abitudini stabili.
Riconoscere i messaggi sospetti
Il primo passo per difendersi dallo smishing è imparare a leggere i segnali di allarme nei messaggi fraudolenti. Un SMS legittimo da una banca o da un ente pubblico non chiede mai di inserire credenziali, codici PIN o dati della carta tramite un link. Allo stesso modo, nessun corriere richiede il pagamento di spese aggiuntive via SMS per sbloccare una consegna: sono pretesti classici dello smishing.
L’urgenza esasperata è uno dei segnali più affidabili: se un messaggio insiste perché si agisca “immediatamente” o “entro poche ore”, è quasi sempre un tentativo di attacco. Vale la pena fermarsi, non cliccare, e verificare direttamente sul sito ufficiale dell’ente – digitando l’indirizzo nel browser, mai seguendo il link nel messaggio – o chiamando il numero di assistenza ufficiale. Anche i mittenti vanno osservati con attenzione: un numero non riconosciuto, un nome leggermente diverso da quello atteso o un numero estero per un servizio italiano sono tutti indicatori di possibile frode.
Comportamenti sicuri da adottare
Oltre al riconoscimento dei segnali di allarme, alcune buone pratiche riducono significativamente il rischio di cadere vittima di un attacco di phishing SMS:
- Non cliccare mai su link ricevuti via SMS da mittenti sconosciuti o inattesi, anche quando il messaggio sembra convincente. Se si ritiene che possa essere autentico, raggiungere il servizio digitando manualmente l’indirizzo nel browser o usando l’app ufficiale.
- Mantenere aggiornati sistema operativo e app del telefono, per ridurre le vulnerabilità che i link malevoli possono sfruttare per installare malware.
- Attivare l’autenticazione a due fattori su tutti i servizi importanti – banca, email, cloud – così da aggiungere un livello di protezione anche in caso di furto delle credenziali.
- Segnalare i messaggi sospetti all’operatore telefonico e alle autorità competenti, come la Polizia Postale in Italia: ogni segnalazione contribuisce a bloccare più rapidamente i numeri fraudolenti.
- In contesti aziendali, investire nella formazione periodica del personale sulle tecniche di ingegneria sociale e sulle modalità degli attacchi di phishing: l’anello più vulnerabile di qualsiasi sistema di sicurezza rimane quello umano.
In un mondo in cui telefono e identità digitale sono ormai inscindibili, lo smishing rappresenta una minaccia concreta e in continua evoluzione. Riconoscerla, saperla leggere e adottare comportamenti consapevoli è oggi parte integrante di una cultura della sicurezza che riguarda tutti: privati cittadini, aziende e chi gestisce infrastrutture critiche.