Breadcrumb

Spoofing: l'apparenza inganna

Che cos'è lo spoofing?

Lo spoofing (o caller id spoofing, fake caller id, email spoofing, ecc.) è una tecnica che consiste nella falsificazione del mittente nelle comunicazioni via SMS, CHIAMATA o via EMAIL.
 

In tutti e tre i casi, la vittima vede comparire il contatto del proprio Istituto di Credito, un numero di telefono conosciuto, o qualsivoglia testo noto, quando in realtà è il criminale ad agire oscurando il proprio contatto originale. 
Un attacco di spoofing è sempre basato sull’ingegneria sociale: il truffatore, dopo aver oscurato la sua vera identità, studia la vittima e cerca di fare leva sui suoi punti di debolezza, come ad esempio la paura o l’ingenuità.

 

Come funziona?

Falsificazione del numero di telefono

Le compagnie telefoniche utilizzano un campo identificativo denominato “Calling Line IDentifier (CLI)” che consente ai propri clienti di visualizzare il numero in ingresso in caso di chiamata/sms.

Oggi quasi tutti gli smartphone sono dotati di un sistema operativo e di una linea compatibili alla visualizzazione di tale dato. Lo spoofing interviene proprio sulla manomissione del CLI (detto anche “Caller ID”).
Il frodatore modifica il proprio numero e la vittima lo vede apparire sotto il nominativo/numero di un’altra persona o istituto.

In che modo?

Esistono alcuni servizi online, o app mobile, che permettono di trasmettere chiamate con numeri e nomi impostati ad hoc.

I mezzi con cui avvengono queste tipologie di chiamate sono il VoIP (Voice over Internet Protocol) e i telefoni IP basati su VoIP.
 

In questi casi quindi, il cliente vittima di spoofing vedrà arrivare:

  • un SMS dalla Banca e, per la natura stessa di gestione degli SMS da parte dello smartphone, verrà catalogato sotto la cronologia dei messaggi già presenti dallo stesso mittente, anche se il messaggio contiene un link di phishing appositamente progettato;
  • una chiamata in ingresso dal numero dell’assistenza della Banca, ma l’interlocutore sarà il criminale stesso.

Le APP di questa tipologia state create allo scopo di proteggere la propria privacy oppure per fare scherzi telefonici, ma sono diventate terreno fertile per i frodatori, sostituiscono il vero numero da cui proviene la chiamata con un numero a scelta, oppure sostituiscono direttamente i numeri con un qualsiasi testo, rendendo la numerazione familiare e inducendo chi riceve la telefonata a rispondere e a fidarsi fin da subito dell'interlocutore.

Falsificazione dell'indirizzo di posta elettronica (E-MAIL)

 

Alla pari dello spoofing telefonico, quello delle email riguarda la falsificazione del mittente e, in particolare, consiste nella creazione e invio di mail con indirizzo mittente “contraffatto” per ingannare il destinatario.

Attenzione però!

Esistono servizi di SaaS mailing utilizzati appositamente dalle aziende per svolgere campagne pubblicitarie via email per conto della società richiedente. In questo caso, è come se l'azienda cedesse l'autorizzazione ad una società terza a inviare email per conto suo. Questo avviene grazie ad un sistema di autenticazione del mittente attraverso chiavi cifrate (invisibili al destinatario), che garantisce l’univocità e l’originalità del mittente che ha acconsentito all’utilizzo del proprio dominio.
 

E’ importante prestare molta attenzione al contenuto della mail, in quanto molte frodi avvengono proprio perché l’utente di fida del mittente.

I danni che il cliente subisce non solo solo economici, ma anche psicologici. Se viene contattato da un finto operatore e poi da un nostro vero operatore, rischia di non fidarsi e di non essere collaborativo. Ogni intervento di recupero in ambito “frodi” e “truffe” deve essere tempestivo per risultare efficace. Per questo motivo è importante sensibilizzare i clienti a prestare la massima attenzione ai contenuti dei messaggi e delle chiamate.

I danni che comporta

 

I danni che il cliente subisce non solo solo economici, ma anche psicologici. Se viene contattato da un finto operatore e poi da un nostro vero operatore, rischia di non fidarsi e di non essere collaborativo. Ogni intervento di recupero in ambito “frodi” e “truffe” deve essere tempestivo per risultare efficace. Per questo motivo è importante sensibilizzare i clienti a prestare la massima attenzione ai contenuti dei messaggi e delle chiamate.

Come difendersi

 

Se per le email basta qualche accortezza in più per rilevare un caso di falso, per quanto riguarda sms e chiamate, il destinatario non ha alcuna possibilità di difendersi.

L’unico vero strumento di difesa contro lo spoofing è prestare la massima attenzione al contenuto delle comunicazioni e diffidare sempre.
 

La Banca non chiederà mai di inserire credenziali a seguito di un click via SMS o email, né chiederà mai password, pin o codici otp via telefono.
 

Inoltre è sempre buona abitudine notare eventuali errori grammaticali, indice di una contraffazione del contenuto del messaggio.

 

Alcuni consigli:

  1. non dare per scontato che il nome letto sul telefono sia effettivamente autentico;
  2. ricordati che chiunque sul web è in grado di fingersi qualcun altro;
  3. resta sempre aggiornato: ultimamente le truffe avvengono con intensità crescente via telefono, quindi conoscere queste informazioni ti aiuta a prestare più attenzione e ridurre il rischio di frode;
  4. fai sempre attenzione ai principali segnali di riconoscimento del phishing: indirizzi email strani, allegati non attesi, senso di urgenza, link sconosciuti, messaggi sgrammaticati.

Want to stay updated?

Keep me updated