Spoofing SMS: cos'è, come funziona e come evitare di cadere nella trappola

La furto di identità tramite SMS e chiamate È diventata una delle truffe più pericolose e comuni che colpisce sia i privati ​​che le aziende; scopri le ultime novità Notizie sulla sicurezza informatica e sulla sicurezza informatica.

In questo articolo spiegheremo in dettaglio Cos'è l'SMS spoofing, come funziona e in che modo è correlato ad altri tipi di spoofing? (nelle chiamate, nelle e-mail, nei siti web, negli IP, nei DNS, nel GPS, ecc.), nonché i segnali per rilevarli e le misure pratiche che puoi applicare per proteggerti nella tua vita quotidiana, sia personale che professionale, e in materia di sicurezza e privacy nei programmi.

Cos'è lo spoofing e perché è così pericoloso?

Quando parliamo di spoofing, ci riferiamo a un insieme di tecniche di furto di identità Vengono utilizzate dagli aggressori per impersonare una persona, un'azienda o un'organizzazione di cui si fidano. L'obiettivo è sempre lo stesso: indurre la vittima a rivelare dati sensibili, effettuare pagamenti o compiere azioni che avvantaggiano il truffatore.

I criminali informatici combinano lo spoofing con varie forme di Phishing (inganno per rubare dati)Queste truffe possono avvenire tramite e-mail, SMS, telefonate o siti web falsi. Nel settore bancario, queste truffe si concentrano in particolare sul furto di credenziali bancarie online, dati delle carte, codici di verifica SMS (OTP) o altre informazioni personali che possono essere utilizzate per commettere frodi finanziarie o persino altri reati di furto di identità.

È importante ricordare che Gli istituti finanziari affidabili non chiedono informazioni tramite SMS, telefono o e-mail. È necessario richiedere informazioni quali nome utente e password dell'online banking, codici inviati al cellulare, numero di carta, data di scadenza o codice di sicurezza a tre cifre (CVV/CVC). Se qualcuno richiede queste informazioni tramite questi canali, è opportuno insospettirsi immediatamente.

SMS Spoofing: cos'è e come funziona

El Spoofing SMS È la tecnica che consente a un aggressore di inviare un messaggio di testo che sembra provenire da un mittente legittimo (solitamente una banca, un corriere o un'agenzia governativa), quando in realtà è stato inviato da un criminale. Questa pratica è spesso utilizzata in una variante del phishing chiamata SMiShing, in cui l'inganno arriva tramite SMS.

In pratica, il truffatore Modificare il numero o il nome del mittente che vedi sullo schermo del tuo cellulare (il campo noto come ID mittente). Grazie a questo, il messaggio fraudolento può apparire nello stesso thread di SMS in cui hai precedentemente ricevuto comunicazioni legittime dalla tua banca o da un servizio affidabile. Questa apparente continuità fa sì che l'utente abbassi la guardia.

Il contenuto di questi messaggi SMS di solito include avvisi allarmistici o urgentiQueste truffe spesso includono: addebiti non riconosciuti, imminente chiusura del conto, necessità di aggiornare le informazioni, presunti premi o rimborsi fiscali, tra le altre cose. Da lì, ti invitano a cliccare su un link o a chiamare un numero di telefono che in realtà non appartiene all'entità impersonata.

Una delle tattiche più comuni è che il messaggio contenga un collegamento a un sito web falso che imita il sito web della bancaQuesta pagina può essere quasi identica a quella reale: loghi, colori, testo simile e persino un URL molto simile. L'obiettivo è che tu inserisca le tue credenziali di online banking, i dati della tua carta e i codici che ricevi via SMS in modo che il criminale possa accedere al tuo conto.

In altri casi, l'SMS indirizza la vittima a un numero di telefono fraudolentodove un presunto “gestore” o “agente” si finge dipendente della banca, richiede dati privati ​​e guida la persona passo dopo passo nell’autorizzazione di trasferimenti o pagamenti, credendo di “risolvere un problema di sicurezza”.

Perché i falsi messaggi SMS vengono confusi con quelli ufficiali

Una delle domande più frequenti è come sia possibile che un messaggio fraudolento appaiono all'interno dello stesso thread rispetto ai messaggi SMS legittimi provenienti dalla banca. La spiegazione sta nel modo in cui i telefoni cellulari e le reti gestiscono l'identificativo del mittente.

I dispositivi raggruppano le conversazioni basandosi esclusivamente su ID mittenteQuesto campo alfanumerico non è soggetto a verifiche rigorose e a una validazione legale globale. In altre parole, la rete e i dispositivi mobili presumono che chiunque affermi di essere "Banca X" o utilizzi un numero specifico lo sia effettivamente, senza controlli rigorosi.

Questa scappatoia consente ai criminali informatici usurpare il nome di spedizione utilizzato da banche e aziendePoiché non esiste una forte autenticazione del titolare dell'alias, il terminale dell'utente mescola messaggi falsi con messaggi legittimi, creando un'apparenza di completa normalità.

Il risultato è quello anche gli utenti attenti ed esperti Potrebbero cadere nella trappola, poiché il canale e il contesto (il messaggio proveniente dalla "tua banca") sembrano del tutto autentici e il tono del messaggio gioca sulla paura, sull'urgenza o sulla sensazione di perdita finanziaria.

Spoofing dell'ID chiamante: impersonificazione nelle chiamate telefoniche

El Spoofing ID chiamante Lo spoofing telefonico è l'equivalente dello spoofing SMS, ma applicato alle chiamate. Invece di manipolare il mittente di un SMS, l'aggressore falsifica il numero che appare sull'ID chiamantePertanto, sullo schermo del cellulare potrebbe essere visualizzato il numero reale di una banca, di un ente ufficiale o addirittura di un contatto noto, anche se la chiamata proviene da un'altra fonte.

Con questa tecnica il truffatore finge di essere impiegato di banca, responsabile di conto o personale di un servizio ufficiale e contatta la vittima lamentando un problema urgente: movimenti sospetti, tentativi di accesso non autorizzati, blocco della carta, necessità di verificare immediatamente i dati, ecc.

Durante la chiamata, la persona dall'altra parte di solito chiede dati altamente sensibili: nome utente e password del digital banking, codici ricevuti via SMS, numero completo della carta, PIN, dati personali (ID, data di nascita, indirizzo) o addirittura che la vittima effettui trasferimenti "per bloccare le frodi" che in realtà vengono indirizzati a conti controllati dai criminali.

Le conseguenze possono essere gravi: accesso diretto ai conti bancariCiò include trasferimenti non autorizzati, apertura di conti a nome della vittima o furto di identità per commettere altri reati. Pertanto, se durante una chiamata ti vengono richieste informazioni di sicurezza, dovresti riagganciare e chiamare personalmente i numeri di telefono ufficiali della banca.

Per identificare un possibile caso di falsificazione dell'ID chiamante, è consigliabile verificare se Insistono sull'urgenza di effettuare un'operazione, se il tono è intimidatorio o se le domande sono insolite (ad esempio, se si chiedono password o codici completi che la banca non chiede mai al telefono).

Altri tipi molto comuni di spoofing

Sebbene lo spoofing degli SMS e quello dell'ID chiamante siano particolarmente pericolosi nel settore finanziario, esistono anche altri metodi. molte altre varianti di spoofing che cercano anche di ingannare e rubare informazioni o denaro. Comprenderli aiuta a riconoscere i modelli e a proteggersi meglio.

Spoofing delle e-mail

Nel spoofing delle e-mailL'aggressore invia email che sembrano provenire da un indirizzo legittimo: una banca, un'azienda nota o persino un contatto personale. Il trucco è falsificare il campo mittente (FROM), in modo che a prima vista il dominio sembri affidabile, anche se a un esame più attento di solito lo è. leggermente diverso dal dominio reale dell'entità (ad esempio, cambiare una lettera, aggiungere un trattino o utilizzare un'estensione diversa).

Queste e-mail di solito chiedono all'utente fornire dati personali o finanziariScaricare un allegato o cliccare su link che portano a pagine fraudolente. In molti casi, questi vengono utilizzati per installare malware (virus, trojan, keylogger) o per aprire un sito web identico a quello della banca, dove la vittima inserirà le proprie credenziali.

Spoofing di siti web o domini

El web spoofing o domain spoofing Questo metodo consiste nel creare un sito web falso che ne imita uno legittimo (banca, negozio online, ente governativo, ecc.). L'URL visualizzato nella barra degli indirizzi del browser è solitamente molto simile, ma non identico, all'URL del sito reale. Gli aggressori spesso combinano questa tecnica con lo spoofing tramite SMS o e-mail per indirizzare il traffico verso questi siti fraudolenti.

Una volta sul sito web falso, la vittima entra le tue credenziali di accesso, i dettagli della tua carta o altre informazioni riservate credendo di trovarsi sulla pagina originale. I criminali acquisiscono questi dati in tempo reale e possono utilizzarli immediatamente per accedere all'account, effettuare acquisti o svuotare il saldo.

IP Spoofing

Nel Spoofing IPIl criminale informatico falsifica l'indirizzo IP di un altro computer in modo che il sistema di destinazione creda che la connessione provenga da una fonte attendibile. In questo modo, può eludere i filtri di sicurezza, accedere a risorse riservate o sfruttare la fiducia che esiste tra le macchine sulla stessa rete.

Questo tipo di attacco è spesso utilizzato come parte di strategie più complessecome gli attacchi denial-of-service (DDoS) o le intrusioni nelle reti aziendali e possono consentire il furto di informazioni riservate se non vengono adottate adeguate misure di protezione.

Spoofing DNS

El DNS spoofing Si basa sulla manipolazione del Domain Name System (DNS), che traduce i nomi dei siti web in indirizzi IP. Gli aggressori infettano il router o il computer della vittima, oppure manipolano le risposte DNS, in modo che quando l'utente visita un sito web noto, venga reindirizzato silenziosamente a un sito dannoso. sito fraudolento controllato da loro.

Dal punto di vista dell'utente, tutto sembra normale (digita l'URL che usa sempre), ma in realtà sta entrando in un sito web manipolato dove può rubare credenziali, dati bancari o installare malware senza rendersene conto.

Spoofing GPS

El Spoofing GPS Si tratta di falsificare o manipolare il segnale di posizionamento in modo che un dispositivo creda di trovarsi in una posizione diversa da quella effettiva. Questa tecnica può essere utilizzata per ingannare i sistemi di navigazione, alterando i percorsi di trasporto, modificando i registri di posizione o addirittura commettendo frodi relative alle consegne o ai percorsi fatturati in base alla distanza.

Ad esempio, un conducente malintenzionato potrebbe utilizzare lo spoofing GPS per ingannare una piattaforma facendogli credere di aver viaggiato più chilometri di quelli reali e quindi addebitare di più, oppure deviare il trasporto verso un'altra area senza che il sistema lo rilevi immediatamente.

Attacchi Man-in-the-Middle (MitM)

Negli attacchi del tipo Man-in-the-Middle (MitM)Il criminale informatico si posiziona tra due parti comunicanti (ad esempio, un utente e un sito web) e intercetta il traffico senza che nessuno dei due se ne accorgaUn modo comune per farlo è creare una rete Wi-Fi falsa con un nome molto simile a quello di una rete Wi-Fi legittima (di un bar, un hotel, un'università, ecc.).

Se l'utente si connette a quella rete trappola, l'aggressore può catturare password, dettagli della carta, e-mail e altre informazioni sensibiliIn alcuni casi, può anche modificare il traffico per reindirizzarlo verso siti web falsi o iniettare codice dannoso.

Spoofing facciale

El falsificazione facciale Si concentra sull'inganno dei sistemi di riconoscimento facciale. L'attaccante utilizza fotografie, video o modelli del volto di un'altra persona per sbloccare i telefoni cellulari, accedere alle applicazioni bancarie o aggirare i controlli di autenticazione biometrica.

Se il sistema non dispone di meccanismi avanzati di rilevamento della vita (ad esempio, analisi della profondità, movimenti naturali o riflessi di luce), può essere ingannato e consentire accesso non autorizzato ad account e servizi molto sensibile.

Spoofing in ambito professionale e aziendale

Anche le aziende, dalle grandi multinazionali alle PMI, sono spesso bersaglio di queste tecniche di impersonificazione. In ambito professionale, gli aggressori adattano i loro messaggi a impersonare capi, colleghi, fornitori o clienti con cui l'organizzazione interagisce quotidianamente.

È comune per loro cercare di convincere i dipendenti a esibirsi pagamenti urgenti su conti controllati da criminaliPossono fornire informazioni riservate (dati dei clienti, report interni, credenziali di accesso) o scaricare documenti contenenti malware. Molte di queste truffe sono note come CEO fraud o Business Email Compromise (BEC).

Per ridurre il rischio è fondamentale formare l'intero team sulle migliori pratiche di sicurezza informatica e rafforzare i processi di convalida interna (ad esempio, richiedendo un doppio controllo per le modifiche ai conti bancari dei fornitori o per i trasferimenti di grandi dimensioni). È inoltre utile disporre di soluzioni tecniche che analizzino le e-mail, blocchino i messaggi sospetti e monitorino le attività anomale.

Alcune istituzioni finanziarie offrono servizi di sicurezza informatica specifici per le aziende, come piattaforme centralizzate che rilevano e bloccano i tentativi di phishing e spoofing, valutano il livello di rischio e forniscono formazione continua ai dipendenti per imparare a riconoscere le comunicazioni dannose.

Quadro giuridico e misure normative contro lo spoofing

L'aumento massiccio delle frodi basate sullo spoofing ha portato gli enti regolatori a approvare normative specifiche per frenare queste praticheUna delle linee d'azione è quella di obbligare gli operatori delle telecomunicazioni a rafforzare i controlli sulla numerazione utilizzata nelle chiamate e negli SMS.

Tra le misure più notevoli vi sono: obbligo di bloccare le comunicazioni con numeri contraffatti, manipolati o non assegnati e la regolamentazione dell'identificazione dei numeri utilizzati nelle chiamate di assistenza clienti e di vendita. Ciò mira a rendere più difficile l'utilizzo di alias o numeri che non corrispondono all'entità effettiva.

Tuttavia, la protezione legale e tecnica da sola non è sufficiente: resta essenziale che gli utenti Mantenere un atteggiamento critico e prudente Diffidate di qualsiasi comunicazione che richieda informazioni riservate o che vi spinga ad agire con urgenza, soprattutto se arriva tramite SMS o telefonata.

Come riconoscere ed evitare lo spoofing degli SMS e lo spoofing dell'ID chiamante

Sebbene nessun sistema sia infallibile, esistono diverse linee guida che aiutano a ridurre al minimo il rischio di cadere vittima di queste truffe. La prima è quella di sviluppare una certa “buon senso digitale”Diffidate di qualsiasi messaggio o chiamata inaspettata che chieda informazioni o che susciti un allarme.

Quando ci si trova di fronte a un messaggio di testo sospetto, la regola d'oro è Non cliccare sui link incluso nel testo e non chiamare i numeri che compaiono nel messaggio. Se sembra provenire dalla tua banca, vai direttamente al sito web ufficiale digitando l'URL nel browser o accedi all'app ufficiale e verifica se si tratta effettivamente di un avviso o di un problema.

In caso di chiamate, anche se sullo schermo vedi il numero della banca, non dovresti fornirlo. password, codici di verifica, dettagli della carta o chiavi di firmaSe insistono, riattacca e chiama tu stesso il numero del servizio clienti, che trovi indicato sul sito ufficiale o sul retro della tua carta.

Si consiglia inoltre di attivare e sfruttare la autenticazione a due fattori (2FA) in servizi critici come l'online banking, la posta elettronica o le piattaforme professionali, ma ricordando sempre che i codici inviati tramite SMS o a un'app di autenticazione non devono mai essere condivisi con nessuno, anche se la persona dichiara di essere della banca.

Infine, mantieni avere un telefono cellulare aggiornato e soluzioni di sicurezza (antivirus, antispam, filtri URL) aggiunge un ulteriore livello di protezione contro app dannose e link pericolosi, riducendo le possibilità di infezione o di reindirizzamento a siti di phishing.

Raccomandazioni generali per la protezione contro lo spoofing

Oltre a ogni canale specifico (SMS, chiamata, e-mail, sito web), esistono una serie di best practice che aiutano a proteggersi da praticamente qualsiasi tipo di spoofing. Una delle più importanti è Non condividere informazioni sensibili tramite canali non sicuri o non verificate, soprattutto se non sei stato tu a iniziare la comunicazione.

Nella posta elettronica, prima di cliccare su un collegamento o scaricare un allegato, rivedere attentamente il dominio del mittente e contenuto del messaggioFai attenzione a piccoli errori di ortografia, domini insoliti o richieste di informazioni che la tua banca non ti chiederebbe mai via email. Se qualcosa ti sembra strano, è meglio eliminare il messaggio o contattare direttamente la banca tramite un altro canale.

Quando navighi sul web, abituati a guardare il URL completo nella barra del browser e verifica che corrisponda esattamente all'indirizzo ufficiale dell'ente. Fai attenzione ai siti web i cui nomi sono troppo simili agli originali ma non identici, o che hai ricevuto tramite link in e-mail o messaggi di testo indesiderati.

Nelle reti Wi-Fi pubbliche o aperte, evitare di accedere a servizi sensibili come servizi bancari online, posta elettronica aziendale o pannelli di amministrazioneSe necessario, utilizza una VPN affidabile per crittografare la connessione e ridurre le possibilità che qualcuno intercetti il ​​tuo traffico.

Infine, tieni presente che un tono aggressivo o che cerca di metterti fretta è solitamente un brutto segno: Nessuna procedura bancaria legittima richiede decisioni immediate sotto minaccia Potresti perdere soldi in pochi minuti. Se noti tensione o tensione nel messaggio o nella chiamata, fermati, fai un respiro profondo e verifica tu stesso le informazioni.

La combinazione di conoscenza, sano scetticismo e alcune misure tecniche di base rende molto più difficile per un criminale informatico riuscire a usare tecniche di spoofing, che siano tramite SMS, chiamate, e-mail, siti web falsi o altri canali digitali.