Negli ultimi anni una catena transnazionale di frodi via SMS ha sfruttato il pretesto di pedaggi autostradali o spese postali arretrate per indurre le vittime a inserire dati di pagamento su siti di phishing.
Le informazioni raccolte vengono impiegate per acquistare beni di lusso o carte regalo, oppure per caricare i numeri di carta su portafogli digitali.
Le operazioni si appoggiano a una rete di “muletti” nei Paesi target, soprattutto negli Stati Uniti, e a infrastrutture di invio massivo basate su SIM farm, ambienti che ospitano box GSM/4G/5G multi-slot con decine di SIM collegate a sistemi di controllo remoto.
Queste strutture permettono di inviare migliaia di messaggi al giorno variando mittenti e numerazioni, così da aggirare parzialmente le soglie anti-spam e i filtri di rete.
Indice degli argomenti
Come funzionano le farm delle frodi via SMS
Gli operatori che gestiscono le farm possono trovarsi in Paesi diversi rispetto ai promotori della frode.
L’allestimento locale è spesso affidato a manodopera temporanea, reclutata su canali informali di messaggistica, con l’uso di locali anonimi per ridurre l’esposizione.
Dal punto di vista telco, l’attività produce burst anomali di SMS in uscita, traffico voce o dati incoerente con i profili consumer e schemi ripetitivi di link o lessico. La rotazione continua delle SIM (e non degli IMEI, che sono legati all’hardware) è uno degli indicatori principali per l’individuazione delle farm.
L’acquisizione dei dati
Il contenuto dei messaggi sfrutta leve psicologiche note: urgenza, rischio di sanzione, importo minimo e plausibilità del mittente.
I link rimandano a domini registrati con TLD economici o brand falsificati; l’hosting cambia frequentemente per eludere i blocchi.
Le pagine di phishing utilizzano kit preconfezionati reperibili in ambienti criminali, capaci di inoltrare in tempo reale credenziali e codici OTP inseriti dalle vittime.
L’obiettivo non è il pagamento del presunto debito, ma l’acquisizione dei dati necessari per associare la carta rubata a un wallet digitale sotto il controllo dell’attaccante.
I circuiti token-based
I portafogli mobili usano circuiti token-based che sostituiscono il PAN con un DPAN e richiedono una verifica al momento del provisioning. In molti casi, tale verifica si basa su OTP via SMS o chiamata, ossia sugli stessi canali compromessi dal phishing.
Quando la vittima inserisce l’OTP nel sito fraudolento, i truffatori la riutilizzano per completare l’aggiunta della carta sul proprio dispositivo.
Da quel momento possono effettuare pagamenti contactless con un token apparentemente legittimo, anche se non tutti i circuiti riducono le verifiche MFA nelle transazioni successive.
La persistenza dell’accesso dipende dalle politiche antifrode dell’issuer e dal livello di telemetria impiegato per il risk scoring.
I due canali di monetizzazione
La monetizzazione avviene soprattutto tramite due canali: acquisto di beni facilmente rivendibili o di carte regalo a basso taglio e alto volume.
I muletti sul territorio effettuano i pagamenti nei negozi fisici, utilizzando i wallet fraudolenti per superare i limiti geografici.
In alcuni casi è stato osservato l’uso sperimentale di relay NFC, strumenti che replicano a distanza un’azione di pagamento, ma si tratta di pratiche ancora marginali e non di schemi industriali consolidati.
Come difendersi dalle frodi via SMS
Sul fronte difensivo, le telco possono intervenire potenziando il rilevamento dei SIM box tramite fingerprinting radio e analisi comportamentale.
Indicatori utili sono la concentrazione anomala di MO-SMS, l’assenza di traffico voce o dati coerente e la ripetitività dei messaggi.
È consigliabile una condivisione di eventi tra carrier sullo stesso territorio per bloccare pattern cross-network e rafforzare la registrazione e la convalida delle campagne A2P, con auditing indipendente e reputazione dinamica sugli short link.
Il punto critico del provisioning nei wallet
Per gli issuer e i circuiti di pagamento, il provisioning nei wallet è il punto più critico.
Occorre integrare controlli di device-binding robusti, attestazioni hardware-backed, geolocalizzazione coerente e valutazione combinata di PAN, DPAN, IP e area di residenza.
Ogni richiesta di aggiunta carta proveniente da aree atipiche rispetto alla storia del titolare dovrebbe generare step-up su canali indipendenti dagli SMS.
È opportuno introdurre revoche automatiche dei token sospetti e blacklisting di device-ID coinvolti in frodi. Nei sistemi di autorizzazione, transazioni contactless in merchant associati a liquidità immediata (elettronica, gift card) dovrebbero attivare limiti dinamici o verifiche in cassa assistita.
Controlli dell’identità per ostacolare le frodi via Sms
I produttori di sistemi operativi e gestori di wallet dovrebbero bilanciare la facilità d’uso con controlli solidi di identità del dispositivo, integrando rilevamento di root/jailbreak, ambienti virtualizzati o schemi di controllo remoto.
Un meccanismo di “trusted device re-challenge” dopo tap sospetti o fuori area può sospendere temporaneamente il token e ridurre l’abuso sistematico di dispositivi mule.
Limiti sulle carte regalo
I merchant possono contribuire imponendo limiti più severi per l’acquisto di gift card (numero, importo, attivazione differita) e segnalando comportamenti anomali ai POS, come sequenze di pagamenti a basso importo con device simili o intervalli minimi.
La formazione del personale rimane cruciale per riconoscere muletti e tentativi ripetuti in punti vendita diversi.
Sim farm e flussi di pagamento
Per le forze dell’ordine, i punti di visibilità tecnica sono le SIM farm e i flussi di pagamento.
Le perquisizioni consentono di ottenere liste di domini, configurazioni e canali di pagamento, mentre la collaborazione con i reparti antifrode retail permette di correlare video, seriali di gift card e log di transazioni.
Anche i registrar e gli hosting provider possono essere coinvolti con ordini mirati per bloccare la propagazione dei kit di phishing.
L’evoluzione contro le frodi via SMS
Dal punto di vista sistemico, la riduzione dell’attrito per l’utente ha indebolito alcune difese strutturali. L’autenticazione via SMS, se usata nello stesso contesto del phishing, resta vulnerabile.
L’evoluzione deve puntare su meccanismi di verifica basati su attestazioni crittografiche e canali realmente indipendenti, con soglie di rischio differenziate per categoria merceologica e area geografica.
Interventi coordinati tra telco, issuer, produttori e merchant, accompagnati da campagne di consapevolezza realistiche e non colpevolizzanti, rappresentano l’unica via per ridurre volumi e impatto di queste campagne.
