smishing (Smishing) s. m. inv. La frode informatica finalizzata all'ottenimento di dati personali sensibili (password, numero di carta di credito, codice di sicurezza ecc.) e perpetrata attraverso messaggi di testo e sistemi di messaggistica (inclusi quelli delle piattaforme social media) a nome di istituti di credito, finanziarie, agenzie assicurative, in cui si invita l'utente a comunicare le informazioni riservate che lo riguardano, generalmente al fine di sottrargli denaro. ♦ È solo l'ultimo caso di Smishing (contrazione di spamming e di phishing) diffuso in Italia, segnalato dal gruppo Advanced Threatt Research di Symantech, società californiana leader nelle soluzioni per la sicurezza. (Chiara Sottocorona, Corriere della sera, 16 luglio 2007, Corriere Economia, p. 24) • Il nome smishing deriva dal mezzo attraverso cui sono inviate le comunicazioni malevole alla vittima: l’SMS appunto. Nella prassi, l’utente riceve una comunicazione dalla propria banca. Le comunicazioni riescono ad assumere un elevato tasso di verosimiglianza in modo da convincere l’utente ignaro della truffa ad eseguire le "azioni" richieste dal Cyber Criminali. Solitamente l’azione che i malintenzionati richiedono all’utente consiste nell’aggiornamento delle proprie credenziali di login. L’hacker ottiene le credenziali di accesso e allo stesso modo ottiene un’informazione cruciale, ossia: attraverso quale mezzo l’utente intende ricevere l’OTP – la password che consente l’autenticazione ai servizi online. In questo modo, il Cyber Criminale riesce – attivando illegalmente una SIM card – ad ottenere la password al posto della vittima ignara. Il passo seguente è tristemente noto: il denaro della vittima è in mano agli hacker. (Pierguido Iezzi, Foglio.it, 15 aprile 2019, Hacker News) • Ciononostante, alcuni comportamenti dell’utente vengono ancora oggi ricondotti alla colpa grave, pregiudicando la possibilità per lo stesso di ottenere un risarcimento. Si pensi, ad esempio, alla responsabilità del cliente derivante da condotte di smishing, per aver cliccato sul link ricevuto via sms, o di vishing, per aver fornito telefonicamente le password dinamiche. In tali casi, recentemente la giurisprudenza arbitrale si è ancora orientata verso l'individuazione di una condotta gravemente negligente nella custodia dei codici di accesso, circostanza che implica la responsabilità dell’utente, ai sensi dell’art. 12, comma 3, d.lgs. n. 11/2010, e che non consente di accogliere la richiesta di rimborso delle somme indebitamente sottratte. (Matteo Nuci, Treccani.it, 28 aprile 2022, Chiasmo) • Nella dimensione digitale i criminali raggiungono le vittime in diversi modi: lo «smishing» (contatto tramite sms), il «phishing» (tramite email) o il «vishing» (attraverso una telefonata). I messaggi sono generalmente dotati di un link. Cliccandovi, il cliente viene dirottato su un sito clone, identico a quelli ufficiali, sul quale viene chiesto l'inserimento delle credenziali di accesso all'account o altri dati personali. La sottrazione di denaro può avvenire anche via telefono, attraverso un finto operatore che raggira un cliente convinto di mettere in sicurezza i propri risparmi. (Lorenzo Nicolao, Corriere della sera, 22 marzo 2023, p. 41, Eventi) • Smishing: è una variante del phishing ma attraverso sms telefonici. Il telefono non riconosce il tentativo di frode, ingannato da una tecnica chiamata “sms spoofing” per manipolare l’id del mittente in modo che sembri la propria banca. (Federico Formica, Repubblica.it, 26 luglio 2024, A&F Economia).
Dall’ingl. smishing, a sua volta composto da sm(s) (ph)ishing.