Caller ID spoofing: cos’è e come funziona la truffa telefonica del falso numero chiamante - Cyber Security 360

TELEFONATE FAKE

Caller ID spoofing: cos’è e come funziona la truffa telefonica del falso numero chiamante

Il caller ID spoofing è una tecnica fraudolenta che consiste nel modificare il numero del chiamante fingendo di essere un istituto bancario, un ente di beneficenza o per propinare falsi premi e concorsi al solo scopo di spingere gli interlocutori a trasferire denaro, comunicare dati personali o compromettere il dispositivo telefonico stesso. Ecco come difendersi

22 Dic 2020
L
Salvatore Lombardo

Funzionario informatico, Esperto ICT, Socio Clusit e autore

La crescente offerta di servizi digitali per la comunicazione vocale via web ha portato a una forte diffusione di campagne telefoniche di vario genere in cui possono insinuarsi spam e tipologie di truffe identificate come caller id spoofing o fake caller id ovvero tentativi di raggiri telefonici basati sulla falsificazione dell’identità del chiamante solitamente visualizzata sul display del telefono, impersonificando talvolta anche utenze legittime.

I truffatori spesso usano lo spoofing per fingere di chiamare da un istituto bancario, da un ente di beneficenza o per propinare falsi premi e concorsi al solo scopo di spingere gli interlocutori a trasferire denaro, comunicare dati personali o compromettere, sempre a scopo di lucro, il dispositivo telefonico stesso.

Caller ID spoofing: i pericoli dello spoofing telefonico

Il Calling Line IDentifier (CLI) è un identificativo che tutti i moderni telefoni e smartphone usano per mostrare, una volta letto il numero di telefono della chiamata o dell’SMS ricevuto, il relativo contatto presente nella rubrica telefonica.

WEBINAR
Approccio Zero Trust: quanto è importante in un progetto di security? Scoprilo nel live
Sicurezza
Cybersecurity

Lo spoofing dell’ID del chiamante consiste proprio nel manipolare tale identificativo e purtroppo ciò è possibile farlo, anche abbastanza facilmente, tramite numerosi servizi online VoIP (Voice over Internet Protocol) o telefoni fissi IP basati su VoIP.

In particolare, per i criminal hacker risulta ancora più semplice fare spoofing in ambiente mobile. Infatti, numerose sono le app (basta fare una ricerca sugli store) con servizi capaci di trasmettere chiamate con numeri e nomi impostati ad hoc.

Alcune tipologie di truffa

Tramite il caller id spoofing (CID spoofing) è possibile architettare truffe basate su due particolari declinazioni di phishing, sempre più comuni e usati: il vishing (phishing tramite chiamata vocale) e lo smishing (phishing tramite SMS, Short Messagge Service).

La truffa dell’ufficio riscossioni crediti, il falso supporto tecnico telefonico, le ingannevoli comunicazioni bancarie e l’invio di SMS da fonti apparentemente attendibili ne sono un triste esempio. Analizziamole nel dettaglio.

  • La truffa dell’ufficio di riscossione crediti. Il falso mittente di una chiamata telefonica cerca di intimorire il destinatario facendogli credere che ha un debito d’imposta arretrato da evadere oppure che deve comunicare urgentemente dei dati finanziari riservati.
  • Il falso supporto tecnico. Il chiamante dichiara di appartenere a un helpdesk noto e comunica che deve accedere da remoto al computer del destinatario per risolvere un problema tecnico, fornendo istruzioni in realtà per installare un malware (trojan o spyware) o per carpire dati privati.
  • Le ingannevoli comunicazioni bancarie. La chiamata telefonica di un finto operatore di banca tramite argomentazioni fallaci persuade la vittima a fornire i codici dispositivi del proprio rapporto finanziario oppure ad accedere al proprio conto online mediante un link web artefatto.
  • L’invio di SMS da fonti apparentemente attendibili. Si potrebbe ricevere un SMS apparentemente proveniente da un contatto o un ente legittimo che con un falso pretesto invita a fare clic su di un link che in realtà potrebbe far scaricare un malware sul proprio dispositivo, eseguire l’iscrizione a un servizio a pagamento o sottrarre credenziali dirottando il malcapitato verso ulteriori pagine web di phishing.

Caller ID spoofing: come proteggersi

Per limitare il più possibile queste tipologie di chiamate, la prima cosa da fare è verificare se il proprio operatore telefonico ha un servizio che può aiutare a identificare e filtrare le chiamate di spam o procedere al blocco dei relativi numeri adoperando delle funzioni predefinite del proprio dispositivo Android/iOS. La semplice procedura da seguire per bloccare le chiamate da parte di un numero è molto simile per entrambi i sistemi operativi mobili.

L’applicazione rubrica telefonica, pur variando in base al modello del telefono e versione del relativo sistema operativo, ha integrata una funzionalità di blocco numero. Una volta selezionato il contatto da interdire è sufficiente cliccare sul menù indicato con i tre puntini oppure con l’icona i e scegliere la voce blocca numero (operazione comunque sempre reversibile).

C’è da dire però che questo metodo potrebbe non essere risolutivo, poiché i truffatori grazie allo spoofing potrebbero comunque cambiare numero di continuo. In questi casi, allora, risulta più funzionale installare delle app specifiche che filtrano il traffico (voce e SMS) legandosi a database di numeri sospetti costantemente aggiornati.

L’intervento di AGCOM e il Registro degli operatori di comunicazione

Come confermato più volte da AGCOM, sono molti i truffatori che sempre più frequentemente ricorrono al caller id spoofing per dare maggiore credibilità ai propri raggiri con lo scopo ultimo di provare a svuotare conti bancari e telefonici.

Purtroppo, questa è una tecnica abbastanza pericolosa per gli utenti, sia perché trova efficacia su ogni tipo di piattaforma (smartphone, tablet, telefoni fissi) sia perché rappresenta uno strumento legittimo la cui liceità dipende fondamentalmente dall’uso che se ne fa.

Per tali motivi, l’AGCOM negli ultimi anni ha voluto puntare i riflettori proprio sulla verifica della correttezza del “CLI” trasmesso, ammonendo anche gli stessi operatori telefonici e creando inoltre un Registro degli Operatori di Comunicazione (ROC) ovvero un servizio web che permette di risalire agli intestatari delle numerazioni telefoniche messe a disposizione del pubblico in modo ufficiale e utilizzate per i servizi di call center.

Ulteriori accorgimenti per difendersi dal caller ID spoofing

Durante il periodo pandemico in corso, queste truffe hanno avuto un incremento notevole in ragione del contingentamento degli accessi fisici e lo svolgimento del lavoro in modalità agile che hanno finito con l’intensificare, di fatto, anche i rapporti via telefono.

È opportuno, pertanto, cercare di restare sempre aggiornati sulle varie tipologie di truffe e seguire delle buone regole pratiche di condotta:

  • condividere con molta cautela i propri dati di contatto. Evitare di pubblicare numeri di telefono personali nei profili social o di inserirli con superficialità in moduli di registrazione online;
  • non rispondere a chiamate provenienti da numeri che non si conoscono. Si potrà sempre richiamare il numero in un secondo momento per verificare la reale identità di una persona o di un’azienda;
  • leggere sempre l’informativa sulla privacy per ogni nuovo servizio a cui ci si iscrive, verificando che i dati di contatto non vengano condivisi o venduti a terzi.

Le raccomandazioni della Polizia Postale

Infine come raccomandato dalla stessa Polizia Postale in occasione della recente operazione investigativa “ALIAS” che ha sgominato un gruppo criminale dedito a frodi subdole di questo tipo in ambito bancario, non bisogna mai abbassare il livello di guardia ma anzi occorre sempre effettuare periodicamente la scansione dei propri dispositivi con sistemi antivirus aggiornati, non cliccare su link inviati tramite SMS sospetti, non fornire mai credenziali di accesso, codici OTP via telefono o SMS.

Infine, qualora ci si accorga di pagamenti fraudolenti già effettuati, contattare immediatamente la propria banca bloccando l’accesso al conto e denunciare quanto prima l’accaduto alle autorità competenti.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4