“Operazioni sisal.it 872,60 multiple, blocca al 3275272742”. Il messaggio arriva come un normale avviso della banca, compare nello stesso thread degli SMS ufficiali e riproduce perfettamente la struttura delle comunicazioni automatiche di Unicredit. La frase richiama una spesa mai effettuata, suggerisce un rischio immediato e invita a chiamare un numero mobile per bloccare l’operazione. L’obiettivo è sottrarre dati sensibili, credenziali o codici OTP tramite un falso servizio di assistenza.
Come funziona l’inganno e perché appare credibile
L’SMS sfrutta il mittente falsificato, una tecnica (lo spoofing) che permette ai truffatori di far apparire la scritta “UNICREDIT” al posto del numero reale. Nei telefoni più comuni questo espediente inserisce il messaggio nello stesso gruppo degli avvisi autentici della banca, creando un effetto visivo molto convincente. La presenza di un importo specifico e di un riferimento a sisal.it produce una percezione di verosimiglianza anche in chi non usa servizi di quel tipo.
Il testo si presenta come un alert di sicurezza con un importo elevato e la minaccia di operazioni multiple. Il numero di cellulare indicato non ha alcun legame con l’istituto bancario e costituisce il canale attraverso cui i truffatori provano a ottenere accesso ai dati del conto.
Cosa accade quando l’utente chiama il numero indicato
Dall’altra parte della linea risponde un falso operatore che si presenta come addetto alla sicurezza. La conversazione è costruita per far credere che la banca stia gestendo un’emergenza. In molti casi viene richiesto di fornire credenziali, codici OTP o autorizzare operazioni “di verifica” che in realtà avviano movimenti reali sul conto. Alcuni utenti riferiscono anche richieste di accesso remoto al telefono, con rischi aggiuntivi per documenti e app bancarie.
Perché i truffatori scelgono importi e servizi riconoscibili
Importi come 872,60 euro e riferimenti a piattaforme note servono a creare urgenza senza insospettire. L’efficacia dello schema deriva proprio dalla capacità di imitare scenari familiari e procedure di sicurezza già note agli utenti. L’uso di servizi come sisal.it rientra in questa logica: un riferimento comune rende più probabile la reazione immediata.
Le campagne di smishing più recenti mostrano una cura crescente nella forma, con testi brevi, strutturati e coerenti con le comunicazioni standard delle banche. Questo approccio aumenta la probabilità che l’utente reagisca senza verificare la fonte.
Come distinguere l’SMS falso da un vero avviso della banca
Unicredit non invita mai a chiamare numeri mobili e non chiede codici tramite telefono. Le comunicazioni ufficiali indirizzano sempre verso l’app o i contatti presenti nel sito istituzionale. Qualunque messaggio che segnala operazioni sospette e contiene numeri non riconducibili ai canali ufficiali va trattato come un tentativo di frode.
Aiutaci a crescere: lasciaci un like :)