Quello che vedete qui a fianco (cliccate per ingrandire) è il testo di un SMS che mi è arrivato ieri. Più precisamente, il messaggio arrivato ieri è l’ultimo; quelli sopra sono messaggi genuini delle Poste (ed è per quello che ho cancellato il mio nome utente…)
Anche se non usassi Messaggi di Google, non mi sarei mai sognato di cliccare su un URL shortener, naturalmente. Quello che però è preoccupante, almeno per come la vedo io, è che il messaggio è arrivato senza indicare il numero di telefono ma con lo stesso nome alfanumerico usato dalle Poste, cosa che può trarre in inganno gli utenti meno scafati. Dite quello che volete, ma secondo me usare stringhe alfanumeriche come mittente non è una grande idea.
Due-tre settimane fa circa mi è arrivato un SMS simile, che puntava ad un sito registrato su un dominio del Pakistan (una volta risolto lo shortener). Il sito di phishing era veramente fatto bene, url a parte. Una replica 1:1 di quello di poste con il minimo di modifiche necessarie per cambiare ed intercettare la login (nota:ho lavorato anche per Poste). Se si fosse mascherata l’URL, chiunque ci sarebbe cascato, dato che chi lo aveva fatto aveva salvato l’intero sito originale e modificato solo una piccola parte.
La cosa francamente più preoccupante, almeno nel mio caso, è che mi è arrivato sul furbofono d’ufficio che uso esclusivamente per lavoro e che non è registrato ad alcun servizio “esterno”.
Per esperienza so anche che questi SMS vengono originati da SMS gateway di reputazione estremamente dubbia, e che per mia personale opinione dovrebbero essere bannati da qualsiasi provider serio.
sono ragionevolmente convinto che questi phishing vadano a strascico, quindi non importa se tu il numero non lo usi.