Call Spoofing: come funziona ?

Call Spoofing

Quando riceviamo una telefonata da un numero di cellulare che non è in rubrica, potrenmmo essere vittime di Call Spoofing.

Qualche definizione

In questo articolo pubblicato sulle pagine di www.sinergidea.it avevamo parlato di Call Masking. Quello che stiamo per raccontarvi è ancora più subdolo

Il caller ID spoofing è una tecnica fraudolenta che consiste nel modificare il numero del chiamante fingendo di essere un istituto bancario, un ente di beneficenza o per propinare falsi premi e concorsi al solo scopo di spingere gli interlocutori a trasferire denaro, comunicare dati personali o compromettere il dispositivo telefonico stesso. 

Di che cosa si tratta?

La crescente offerta di servizi digitali per la comunicazione vocale via web ha portato a una forte diffusione di campagne telefoniche di vario genere in cui possono insinuarsi spam e tipologie di truffe identificate come caller id spoofing o fake caller id ovvero tentativi di raggiri telefonici basati sulla falsificazione dell’identità del chiamante solitamente visualizzata sul display del telefono, impersonificando talvolta anche utenze legittime.

I truffatori spesso usano lo spoofing per fingere di chiamare da un istituto bancario, da un ente di beneficenza o per propinare falsi premi e concorsi al solo scopo di spingere gli interlocutori a trasferire denaro, comunicare dati personali o compromettere, sempre a scopo di lucro, il dispositivo telefonico stesso.

Quali sono i preircoli?

Il Calling Line IDentifier (CLI) è un identificativo che tutti i moderni telefoni e smartphone usano per mostrare, una volta letto il numero di telefono della chiamata o dell’SMS ricevuto, il relativo contatto presente nella rubrica telefonica.

Lo spoofing dell’ID del chiamante consiste proprio nel manipolare tale identificativo e purtroppo ciò è possibile farlo, anche abbastanza facilmente, tramite numerosi servizi online VoIP (Voice over Internet Protocol) o telefoni fissi IP basati su VoIP.

In particolare la falsificazione del CLI avviene spesso sui numeri mobili sia per tramite dell’utilizzo di apposite APP da installare su un device mobile utilizzato per perpretrare la truffa o utilizzando applicazione server.

Alcune tipologie di truffa di cui si può rimanere vittime

La truffa dell’ufficio riscossioni crediti, il falso supporto tecnico telefonico, le ingannevoli comunicazioni bancarie e l’invio di SMS da fonti apparentemente attendibili ne sono un triste esempio. Analizziamole nel dettaglio.

Tramite il caller id spoofing (CID spoofing) è possibile architettare truffe basate su due particolari declinazioni phishing sempre più comuni e usati: il vishing (phishing tramite chiamata vocale) e lo smishing (phishing tramite SMS, Short Messagge Service).

  • La truffa dell’ufficio di riscossione crediti. Il falso mittente di una chiamata telefonica cerca di intimorire il destinatario facendogli credere che ha un debito d’imposta arretrato da evadere oppure che deve comunicare urgentemente dei dati finanziari riservati.
  • Il falso supporto tecnico. Il chiamante dichiara di appartenere a un helpdesk noto e comunica che deve accedere da remoto al computer del destinatario per risolvere un problema tecnico, fornendo istruzioni in realtà per installare un malware o per carpire dati privati.
  • Le ingannevoli comunicazioni bancarie. La chiamata telefonica di un finto operatore di banca tramite argomentazioni fallaci persuade la vittima a fornire i codici dispositivi del proprio rapporto finanziario oppure ad accedere al proprio conto online mediante un link web artefatto.
  • L’invio di SMS da fonti apparentemente attendibili. Si potrebbe ricevere un SMS apparentemente proveniente da un contatto o un ente legittimo che con un falso pretesto invita a fare clic su di un link che in realtà potrebbe far scaricare un malware sul proprio dispositivo, eseguire l’iscrizione a un servizio a pagamento o sottrarre credenziali dirottando il malcapitato verso ulteriori pagine web di phishing.

Caller ID spoofing: come proteggersi

Per limitare il più possibile queste tipologie di chiamate, la prima cosa da fare è verificare se il proprio operatore telefonico ha un servizio che può aiutare a identificare e filtrare le chiamate di spam o procedere al blocco dei relativi numeri adoperando delle funzioni predefinite del proprio dispositivo Android/iOS. La semplice procedura da seguire per bloccare le chiamate da parte di un numero è molto simile per entrambi i sistemi operativi mobili.

L’applicazione rubrica telefonica, pur variando in base al modello del telefono e versione del relativo sistema operativo, ha integrata una funzionalità di blocco numero. Una volta selezionato il contatto da interdire è sufficiente cliccare sul menù indicato con i tre puntini oppure con l’icona i e scegliere la voce blocca numero (operazione comunque sempre reversibile).

C’è da dire però che questo metodo potrebbe non essere risolutivo, poiché i truffatori grazie allo spoofing potrebbero comunque cambiare numero di continuo. In questi casi, allora, risulta più funzionale installare delle app specifiche che filtrano il traffico (voce e SMS) legandosi a database di numeri sospetti costantemente aggiornati.

L’intervento di AGCOM e il Registro degli operatori di comunicazione

Come confermato più volte da AGCOM, sono molti i truffatori che sempre più frequentemente ricorrono al caller id spoofing per dare maggiore credibilità ai propri raggiri con lo scopo ultimo di provare a svuotare conti bancari e telefonici.

Purtroppo, questa è una tecnica abbastanza pericolosa per gli utenti, sia perché trova efficacia su ogni tipo di piattaforma (smartphone, tablet, telefoni fissi) sia perché rappresenta uno strumento legittimo la cui liceità dipende fondamentalmente dall’uso che se ne fa.

Per tali motivi, l’AGCOM negli ultimi anni ha voluto puntare i riflettori proprio sulla verifica della correttezza del “CLI” trasmesso, ammonendo anche gli stessi operatori telefonici e creando inoltre un Registro degli Operatori di Comunicazione (ROC) ovvero un servizio web che permette di risalire agli intestatari delle numerazioni telefoniche messe a disposizione del pubblico in modo ufficiale e utilizzate per i servizi di call center.

Ulteriori accorgimenti per difendersi dal Call Spoofing

È opportuno, pertanto, cercare di restare sempre aggiornati sulle varie tipologie di truffe e seguire delle buone regole pratiche di condotta:

  • condividere con molta cautela i propri dati di contatto. Evitare di pubblicare numeri di telefono personali nei profili social o di inserirli con superficialità in moduli di registrazione online;
  • non rispondere a chiamate provenienti da numeri che non si conoscono. Si potrà sempre richiamare il numero in un secondo momento per verificare la reale identità di una persona o di un’azienda;
  • leggere sempre l’informativa sulla privacy per ogni nuovo servizio a cui ci si iscrive, verificando che i dati di contatto non vengano condivisi o venduti a terzi.

Le raccomandazioni della Polizia Postale

Infine come raccomandato dalla stessa Polizia Postale inon bisogna mai abbassare il livello di guardia ma anzi occorre sempre effettuare periodicamente la scansione dei propri dispositivi con sistemi antivirus aggiornati, non cliccare su link inviati tramite SMS sospetti, non fornire mai credenziali di accesso, codici OTP via telefono o SMS.

Infine, qualora ci si accorga di pagamenti fraudolenti già effettuati, contattare immediatamente la propria banca bloccando l’accesso al conto e denunciafre quanto prima l’accaduto alle autorità competenti o rivolgendosi direttamente al proprio istituto bancario.

Che cosa può fare Sinergidea

Sinergidea si occupa da anni di tecnologie per il call e contact management.

Possiamo fornire tutte le indicazioni e la consulenza per costruire una infrastruttura tecnologica efficace e a termine di legge.