Foto di Linoleum Creative Collective.

Una nuova ondata di truffe via SMS, nota come smishing, sta colpendo gli italiani sfruttando la fiducia nel sistema sanitario pubblico. I cybercriminali stanno inviando messaggi falsi che sembrano provenire dall'ASL (Azienda Sanitaria Locale) e invitano gli utenti a cliccare su un link per «prenotare una visita» o «aggiornare i dati sanitari». In realtà questi SMS conducono a siti malevoli che installano malware o rubano credenziali bancarie, con l'obiettivo di svuotare i conti correnti delle vittime. La truffa rappresenta l'ennesima evoluzione delle frodi digitali che sfruttano marchi fidati come banche, corrieri o enti pubblici per ingannare gli utenti meno attenti.

Il meccanismo della truffa è ben rodato: il messaggio spesso è inviato da numeri che sembrano autentici grazie a tecniche di spoofing; utilizza sempre un linguaggio allarmistico per spingere l'utente ad agire rapidamente. Per esempio, il testo potrebbe recitare: «ASL: La sua prenotazione sanitaria scade oggi. Aggiorni i dati qui», fornendo poi un link su cui cliccare. Chi ci casca viene reindirizzato su un sito falso, progettato per imitare il portale ufficiale dell'ASL; qui viene chiesto di inserire dati personali, codici di accesso bancari o di scaricare un'app malevola. Il malware più comune in queste truffe è un trojan bancario come SpyNote: esso consente ai truffatori di intercettare SMS, rubare credenziali e autorizzare bonifici non autorizzati.

Questa truffa non è un caso isolato. Campagne simili sfruttano nomi di enti fidati come l'INPS, l'Agenzia delle Entrate o Telepass per indurre le vittime a fornire dati sensibili. E' particolarmente insidiosa la tecnica di spoofing che maschera il numero del mittente per farlo sembrare ufficiale; nel caso più recente, l'SMS sembra provenire dall'ASL e sfrutta la generale fiducia nel sistema sanitario.

Le autorità, tra cui la Polizia Postale e il Garante Privacy, ricordano che cosa fare per proteggersi: non cliccare su link ricevuti da numeri sconosciuti o sospetti, non scaricare allegati e non fornire dati personali. In caso di sospetto è utile segnalare immediatamente l'SMS all'ente dal quale dice di provenire e alla Polizia Postale; nel caso ci si sia accorti troppo tardi della truffa, vanno cambiate tutte le password associate agli account compromessi.

Articoli raccomandati:

Il phishing dello SPID che ti ruba la pensione e lo stipendio

La misteriosa ''raccomandata elettronica'' da TIM

Dopo videochat con una bella ragazza, ora mi ricatta con le mie immagini intime

Attenzione ai "servizi di recupero criptovalute"

Il panorama delle truffe del tipo smishing è in continua evoluzione. Secondo un rapporto di Kaspersky del 2024, gli attacchi via SMS sono aumentati del 30% in Europa e sfruttano la maggiore fiducia che gli utenti ripongono nei messaggi rispetto alle email. La facilità di accesso ai dati personali tramite i social amplifica il rischio: i truffatori sfruttano informazioni pubbliche per rendere i messaggi più convincenti e personalizzati.

Per approfondire:

Bitdefender spiega cosa c'è dietro l'assurdo spam degli Illuminati

Come fanno i truffatori a rubare soldi dai conti correnti?

Smishing, la minaccia arriva via SMS

Le parole di Internet: smishing

Consigliamo la lettura di:

Smishing, i consigli per non cadere nel tranello

Tenet, occhio ai fake che svuotano il conto in banca

Affitti online: la truffa dell'ispezione anti-pandemia

Il ransomware che si spaccia per l'app Immuni