spoofing telefonico

Spoofing telefonico, cos’è e come bloccare il problema

Il termine spoofing deriva dall’inglese “spoof” che significa “inganno” o “manipolazione“, e si tratta di una tecnica di attacco conosciuta.
La tecnologia maggiormente diffusa coinvolge lo sfruttamento del telefono, mobile e fisso, rappresentando di conseguenza la tecnica più conosciuta.
Da qui nasce il termine spoofing telefonico.

Conosciuto anche come truffa telefonica, questo termine indica quando un malintenzionato effettua chiamate (o invia SMS truffaldini) alle proprie vittime, fingendosi qualcuno che non è.

L’obiettivo dell’attaccante è spingere la vittima a rivelare informazioni sensibili oppure, a farle compiere un’azione a suo sfavore, come farle effettuare dei pagamenti.

Per riuscire nell’inganno, spesso i malintenzionati si nascondono dietro false identità, sfruttando la notorietà e l’autorevolezza di alcune aziende famose. Un classico esempio di spoofing telefonico sono gli SMS provenienti dai finti account di Poste italiane, banche e compagnie telefoniche.

Oppure, possono fingere di essere il supporto tecnico di un’azienda, o da un ente per la riscossione di alcune imposte.

Oltre che uno strumento truffaldino, lo spoofing telefonico è diventato recentemente un’arma per il telemarketing aggressivo: una nuova tipologia di spoofing che si sta diffondendo a macchia d’olio, in risposta alle nuove tutele contro di esso.

Sommario

Spoofing telefonico, tutti i rischi

Lo spoofing telefonico viene utilizzato dai truffatori per spingere i destinatari a trasferire denaro, dati personali o entrambe le cose.
Le persone anziane sono le vittime predilette di questi attacchi, considerato che nella maggioranza dei casi che ignorano l’esistenza di questo pericolo.

Come si svolge un attacco di spoofing telefonico, citando l’esempio di una proviene dall’ufficio delle imposte?

Colui che chiama cerca di spaventare il destinatario, sottoponendogli le seguenti problematiche:

  • Un debito da saldare per imposte arretrate;

  • Comunicazione immediata di dati finanziari riservati.

Un altro genere di truffa spoofing assai diffusa è la chiamata proveniente da un falso supporto tecnico: all’esordio della telefonata il soggetto dichiara di appartenere a un’azienda nota, potendo affermare alla vittima che è necessario l‘accesso da remoto ad un suo dispositivo, per risolvere un problema tecnico.

L’ultima frontiera del telemarketing aggressivo

Lo spoofing viene utilizzato dai cybercriminali ma non solo.
Parliamo di una pratica che viene impiegata come strumento di telemarketing aggressivo, chiamato anche Call ID Spoofing.

Alcuni call center di dubbia affidabilità utilizzano software per poter celare la propria identità, tramite numeri di cellulare fasulli e inesistenti, aggirando così i blocchi e spingendoci a rispondere nostro malgrado.

L’utilizzo di un numero falso o inesistente poi, oltre che ingannare gli utenti, lo fa di conseguenza verso i filtri anti-spam di app e sistemi, che non riescono a distinguere i numeri di cellulare veri da quelli fasi.

In questo modo, telefonate che dovrebbero essere bloccate riescono ugualmente ad arrivare.

Spoofing telefonico come risolvere il problema

Questo fenomeno non è nuovo per l’ambiente cybersecurity: nel 2019 l’Autorità Garante delle comunicazioni (AGCOM) aveva emesso una diffida formale contro tutti gli operatori che adottano questa tecnica ingannevole.

In risposta a numerosi esposti presentati da aziende, professionisti e cittadini, AGCOM ha chiesto agli operatori di telecomunicazioni di vigilare sull’utilizzo per finalità illecite dello spoofing telefonico.

AGCOM sta lavorando a un provvedimento per realizzare un sistema di vigilanza preventivo, obbligatorio per le società di telecomunicazioni, con l’obiettivo di proteggere gli utenti dai metodi di camuffamento del numero.

Quali sono le altre soluzioni adottate di recente?

  • Il registro dei numeri degli operatori di call center, permettendo di risalirne al nome sulla base delle informazioni dichiarate dalle stesse società al Registro degli Operatori di Comunicazione (ROC).

    Se la numerazione inserita non è stata dichiarata al ROC, la ricerca non produrrà alcun risultato.

    Per questo motivo, ad oggi, in molti casi non viene restituito responso.

  • La differenziazione fisica dei fasci di interconnessione tra operatori. Lungo, costoso e complesso.

  • L’uso di un protocollo informatico (Stir/Shaken), tecnologia già promossa dalle autorità americane contro questo fenomeno.

    Gli operatori hanno fatto notare che questa soluzione è fattibile solo se il protocollo diventa standard mondiale su tutti gli apparati usati.

  • Soluzioni basate su blockchain per certificare la validità della chiamata.

    Andrebbero però sviluppate, testate e adottate: fattibile solo nel medio-lungo periodo. Approvato da operatori delle più famose compagnie telefoniche.

  • Con la mediazione di AGCOM, alcuni operatori mandano lunghe liste di segnalazioni, fatte dagli utenti, di numeri fasulli: vengono analizzate per capire da quale operatore si originano, arrivando così al soggetto colpevole.

    Una procedura che si può adottare subito, ma potrebbe essere solo in parte efficace data la vastità del fenomeno.

  • Nell’immediato sono fattibili soluzioni che prevedono accordi tra operatori, come gestire le segnalazioni, da parte degli utenti, di telefonate contraffatte e così bloccarle in origine.

Identificare spoofing ID

Risulta complesso identificare una chiamata in arrivo truffaldina.
Questo perché un display ID, chiamante falsificato, mostrerebbe un numero diverso, rispetto a quello del telefono da cui è stata avviata la chiamata.

Solitamente, l’identificazione del chiamante o “ID chiamante” permette di identificare il mittente direttamente dal display, prima di rispondere alla chiamata.

Ci sono alcuni modelli di Smartphone Android come il OnePlus, i quali integrano la versione Premium di TrueCaller, famosa app di identificazione numeri.

Questo potrebbe essere una buona soluzione per individuare e neutralizzare le numerazioni pericolose.
TrueCaller è un’app di identificazione dello spoofing che potete installare anche sul vostro smartphone.
Il numero e/o il nome del chiamante vengono visualizzati sul telefono così facendo sarete sempre in grado di riconoscere le chiamare indesiderate.

Utilizzando lo spoofing dell’ID chiamante, gli attaccanti:

  • Possono modificare il numero di telefono, senza problemi e in totale libertà.
  • Possono modificare il nome trasmesso, come informazioni dell’ID chiamante.

Il mio numero di telefono è oggetto di spoofing?

Se ricevete chiamate da numero sconosciuti e SMS ingannevoli, senza dubbio, il vostro numero di telefono è vittima di spoofing telefonico.

I truffatori utilizzano numeri di telefono legittimi per camuffare le loro truffe.

Se siete ripetutamente presi di mira dalle campagne di spoofing telefonico potreste considerare questi pochi ma semplici consigli:

  • Potrebbe essere opportuno considerare un cambio del numero di telefono, per scongiurare il pericolo di vedere il proprio brand o la propria società minata nella credibilità per via dello spoofing.
  • Fare denuncia alla Polizia Postale.

Come tutelarsi dallo spoofing

  • Se non riconoscete il numero di una chiamata in arrivo, non rispondere.
  • Sarebbe bene iscriversi al Registro Pubblico delle Opposizioni.
  • Se sentite un solo squillo, non richiamare il numero.
  • Evitate di comunicare il vostro numero di telefono online. Se non è un campo obbligatorio in un modulo online, non compilarlo.
  • Rimuovete il vostro numero di telefono dai profili dei social media.
  • Bloccate manualmente sul telefono i numeri associati alle chiamate indesiderate.
  • Seguite l’istinto: se qualcuno che ci chiama detiene un tono di voce strano, o chiede informazioni personali, riagganciate.
  • Se si ricevono mail in cui viene richiesto di chiamare un determinato numero, verificare che indirizzo e-mail del mittente e numero da chiamare siano attendibili.
  • Evitate di partecipare a giochi a premi o lotterie online: questi siti spesso vendono i dati personali, come i numeri di telefono.

Chi è Onorato Informatica?

Azienda specializzata in sicurezza informatica da oltre 15 anni, certificata ISO 9001 e 27001

Onorato Informatica è un’azienda informatica, specializzata in sicurezza informatica, da oltre 15 anni.
Forniamo servizi di Vulnerability Assessment e Penetration Test a oltre 4500 clienti in tutta Italia.

Ci occupiamo di Cyber Security dalle nostre sedi di Mantova, Parma, Milano e Los Angeles. Siamo un’azienda certificata ISO 9001ISO 27001 e azienda etica.

Se vuoi conoscere i servizi di sicurezza informatica e sapere come possiamo aiutarti, contattaci.