Capita a tutti. Sei alla scrivania, magari nel bel mezzo di una riunione cruciale, o stai guidando in città. Lo schermo si illumina: un SMS. “Il tuo pacco è bloccato. Paga 1,99€ di dazi o non verrà consegnato.” Istintivamente, pensi a quell’acquisto fatto online la settimana scorsa. La fretta e la distrazione sono il carburante perfetto per i cybercriminali che, utilizzando lo smishing (phishing via SMS), hanno affinato una delle truffe più pervasive del momento, spesso usando loghi di Poste Italiane, SDA o GLS.
La Polizia Postale, in Italia, riceve segnalazioni quotidiane su questi tentativi di frode. Non si tratta più solo di messaggi scritti male, pieni di refusi grossolani. La grammatica è migliorata e l’inganno è sottile, studiato per colpire la nostra abitudine di fare shopping online. La Redazione ha analizzato centinaia di segnalazioni per distillare i tre segnali d’allarme più nascosti, quelli che vanno oltre la semplice verifica del mittente.
Il ricatto del costo irrisorio (sotto i 2 euro)
Perché i truffatori chiedono sempre cifre piccole, come 0,99€ o 1,99€? È una strategia psicologica brillante. Se chiedessero 50 euro, l’allarme si accenderebbe subito. Ma un costo così basso non giustifica il tempo speso a chiamare il corriere o a cercare sul sito ufficiale. Il costo non sembra un furto, ma una seccatura da risolvere rapidamente. Clicchi, inserisci i dati della carta per quel misero importo, e in quel momento i criminali hanno ottenuto tutto ciò che serve per svuotarti il conto. Questa è la prima bandiera rossa, spesso ignorata per pigrizia.
L’analisi del dominio: la coda che non torna
Il cuore di ogni attacco *smishing* è il link. La maggior parte degli utenti verifica che nel testo compaia “Poste Italiane” o “SDA”. Ma è la parte finale del link, il TLD (Top-Level Domain), che devi osservare con maggiore attenzione. Se il corriere è italiano e sta operando a livello nazionale, è altamente probabile che il link legittimo finisca con .it o .com.
I messaggi fasulli, invece, spesso usano domini esotici come .xyz, .info, o sequenze alfanumeriche che non hanno alcun senso logico. Se vedi un link mascherato, ti consigliamo di non cliccare e di cercare il numero di tracking originale sul sito ufficiale del corriere, come descritto in questa guida sulla sicurezza online [Link all’approfondimento sulle frodi informatiche].
La genericità del tracking e il mittente camuffato
I corrieri veri, quando hanno un problema con la spedizione (come dazi doganali, anche se questi vengono di solito comunicati prima), tendono a inviare comunicazioni altamente specifiche, includendo spesso il codice di tracciamento completo o almeno le ultime cifre. Le truffe, al contrario, sono progettate per essere universali e vengono spedite a tappeto.
Usano mittenti che imitano vagamente il nome della società (es. “PosteIT” invece di “Poste Italiane”), o non specificano affatto a quale spedizione si riferiscono. Se non stavi aspettando *quel* pacco specifico e il codice di tracking fornito non corrisponde a nulla che hai in transito, l’SMS è quasi certamente una frode.
Cosa fare in caso di ricezione
Se ricevi un SMS sospetto, non eliminarlo subito. Se possibile, inoltralo al servizio clienti ufficiale del corriere (molti hanno numeri dedicati alle segnalazioni di frode) e, soprattutto, fai una segnalazione formale alla Polizia Postale, fornendo lo screenshot e il numero di telefono del mittente. Ricorda sempre: nessun corriere ti chiederà mai di pagare dazi irrisori tramite un link improvviso in un SMS per sbloccare la spedizione.
Il verdetto della Redazione
I truffatori giocano sulla nostra fretta. Mantenere il sangue freddo, analizzare l’URL prima di cliccare e diffidare di qualsiasi richiesta di pagamento inferiore ai 5 euro per sbloccare una consegna sono i migliori antidoti per evitare di cadere nella rete dello smishing.
. Proteggi i tuoi dati dai tentativi di frode.){kind=link}