Lo smishing — phishing via SMS — è in questo momento la tipologia di truffa più diffusa contro i consumatori italiani. Praticamente tutti hanno ricevuto almeno un SMS di "Poste Italiane", "BRT", "DHL" o "Amazon" che annuncia un pacco bloccato. Lo schema funziona perché tutti, in qualche momento, stanno aspettando una consegna. Ecco come si svolge l'attacco completo e come bloccarlo.
L'anatomia dell'attacco
Step 1: l'SMS esca
"Il tuo pacco è in giacenza, paga 1,99€ di spese di gestione: [link]". Importi minuscoli per abbassare le difese mentali. A volte il messaggio dice che la consegna è "in attesa di conferma indirizzo" o "in attesa di pagamento doganale".
Step 2: la pagina contraffatta
Il link porta a un dominio che imita perfettamente quello del corriere o di Poste. Loghi, font, colori, tutto identico. Inserisci nome, indirizzo, numero di telefono, e i dati completi della carta di credito (numero, scadenza, CVV).
Step 3: la verifica strong customer authentication
La pagina ti mostra "stiamo verificando la transazione" e ti chiede il codice OTP che ricevi via SMS dalla tua banca. Tu pensi che sia il classico 3-D Secure per autorizzare 1,99€ e lo inserisci.
Step 4: addebito reale
In realtà i criminali stavano configurando una transazione molto più grande: spesso un wallet di pagamento (Apple Pay, Google Pay, PayPal) con la tua carta. Il codice OTP che hai dato autorizza loro a spendere centinaia o migliaia di euro nei minuti successivi.
Step 5: la chiamata di "anti-frode"
In alcuni schemi avanzati, qualche minuto dopo ricevi una telefonata. Si presenta come "ufficio anti-frode della tua banca", numero che potrebbe risultare anche dal tuo elenco contatti grazie al caller ID spoofing. Ti dice che è stata rilevata una transazione sospetta e che, per bloccarla, devi fornire ulteriori codici, fare un bonifico "sicuro" verso un conto sicuro, oppure spostare fondi su un IBAN "di garanzia". Ovviamente è ancora la truffa che continua.
Come riconoscere l'SMS truffa
- Mittente alfanumerico generico: "Poste-Info", "Sda-Verify", "DHL-Pickup". I corrieri reali usano "PosteIT", "DHL", "BRT" senza suffissi strani.
- URL sospetto: poste-italiane.cc, dhl-spedizioni.online, sda-pacchi.info. Quelli reali sono poste.it, dhl.com/it, sda.it.
- Importi tipici delle truffe: 1,99€ - 2,40€ - 3,15€. Cifre piccole per non spaventarti.
- Italiano un po' rigido o frasi tradotte male.
- Senso di urgenza: "se non paghi entro X il pacco torna al mittente".
Cosa fare quando ricevi un SMS sospetto
- Non cliccare il link. Mai. Anche se aspetti davvero un pacco.
- Se vuoi verificare, apri l'app ufficiale del corriere (DHL, BRT, Poste) o vai sul sito digitando l'indirizzo a mano. Se hai un tracking number reale, sarà visibile lì.
- Inoltra l'SMS a 7726 (servizio anti-spam dei gestori italiani).
- Cancella il messaggio.
Hai cliccato e inserito i dati: cosa fare nei primi 30 minuti
I primi minuti sono decisivi:
- Blocca subito la carta dall'app della banca o chiamando il numero verde del retro della carta.
- Cambia la password dell'home banking se l'hai inserita.
- Disattiva eventuali wallet (Apple Pay, Google Pay) che potrebbero essere stati configurati a tuo nome.
- Denuncia alla Polizia Postale: la denuncia è essenziale per qualunque rimborso bancario.
- Apri reclamo formale alla banca per chargeback delle transazioni non autorizzate.
Conclusione
Lo smishing pacchi è scientifico, automatizzato, prende di mira milioni di numeri italiani al giorno. La tua difesa è sapere che nessun corriere chiede mai pagamenti via SMS con link. Se ti capita di cliccare per sbaglio, agisci nei primi 30 minuti come descritto sopra: la differenza tra un disastro e zero perdita spesso è una telefonata fatta in tempo.