LOGIN
Per dare un’idea di quanto sia pericoloso lo spoofing, è sufficiente condividere una domanda fatta da centinaia di utenti sul web: cosa fare se ricevo una telefonata dal mio numero di telefono?
Ebbene, lo spoofing è una tipologia di truffa molto subdola, che permette di ottenere questo genere di risultato. Così come permette di simulare una email proveniente da mittenti inventati di sana pianta.
Lo scenario “chiamata dal mio cellulare” punta soprattutto a generare confusione nell’utente. Lo spoofing infatti spesso ha l’obiettivo di convincere la vittima a fornire spontaneamente dati personali di valore.
Conoscere lo spoofing e le sue modalità è il primo passo per imparare a difendersi in maniera efficace. Tanto dalle truffe che viaggiano via rete, tanto da quelle telefoniche e, più in generale, da quelle che utilizzano la voce.
Cos’è lo spoofing
Credits Shutterstock
Lo spoofing è un’attività illecita che si lega alla falsificazione dell’identità in forme e maniere sempre nuove. Dal punto di vista tecnico esistono categorizzazioni specifiche dello spoofing, che tengono conto tanto dei livelli del modello ISO/OSI, quanto di quelli dello stack TCP/IP.
Si può dunque parlare di spoofing a livello 2, a livello 3 e a livello 4, a seconda del caso in cui l’attacco riguardi il Network Access Layer, piuttosto che l’Internet Layer o il Transport Layer. Allo stesso modo si parla anche di ARP spoofing nel caso in cui la falsificazione riguardi l’indirizzo MAC e preveda l’invio di un messaggio ARP.
Lo spoofing considerato più pericoloso in assoluto è quello di livello 7, ovvero quello in cui l’attacco va a toccare l’Application Layer. In questo caso può capitare che la falsificazione dell’identità vada di pari passo con vere e proprie attività di social engineering.
Da un certo punto di vista, social engineering e spoofing possono essere considerati due facce della stessa medaglia. In entrambi i casi infatti un malintenzionato utilizza l’inganno per ottenere un vantaggio a danno di una vittima.
Quando si parla di spoofing si fa riferimento a varie attività illecite basate sulla falsificazione dell’identità
Lo spoofing si concentra su quelle attività, più o meno lecite, che riguardano la falsificazione: dunque cambiare il proprio indirizzo IP e il proprio server DNS, piuttosto che le proprie credenziali.
Il social engineering rivolge invece la sua attenzione verso l’utente. Si tratta infatti di tecniche illegali che spingono un utente a fornire informazioni personali sensibili.
Un esempio concreto di spoofing e social engineering è rappresentato da tutte quelle email che arrivano sotto falso nome e cercano di convincere la vittima a condividere determinate credenziali o password. Ma anche da una situazione del tipo: ricevo una chiamata dal mio cellulare.
La truffa può puntare tanto su emozioni positive come la felicità, quanto su emozioni negative come la paura. Si pensi in tal senso a quelle comunicazioni persuasive che promettono generose vincite in arrivo. Ma anche a tutti quei truffatori che si spacciano come rappresentanti delle forze dell’ordine e che provano a convincere gli utenti di avere ricevuto una multa piuttosto che un mandato di comparizione.
In entrambi i casi si tratta di bugie belle e buone, che hanno il solo obiettivo di far “sbottonare” la vittima. Fare abbassare il suo livello di attenzione e convincerla a fornire informazioni di vario genere: dalle credenziali alle password, dall’indirizzo ai dati bancari.
Come funziona lo spoofing telefonico
Credits Shutterstock
Fin qui si è soltanto accennato allo spoofing telefonico: una truffa in cui il malintenzionato riesce ad alterare il numero di telefono che viene visualizzato dalla vittima.
Questo genere di truffa viene realizzata quasi sempre utilizzando un servizio VoIP, che permette di trasmettere la telefonata su Internet. In questo modo il malintenzionato è in grado di selezionare facilmente il tipo di numero che verrà visualizzato da chi riceve la chiamata.
Lo spoofing telefonico permette di portare a termine le varie attività di social engineering cui si accennava nei capoversi precedenti. Dunque rubare informazioni sensibili, per arrecare danni più o meno gravi: dal semplice invio di spam, fino ad arrivare a veri e propri furti di denaro.
Una dicitura che spesso va di pari passo con “spoofing telefonico” è “vishing”: una crasi di “voice” e “phishing”, che indica tutte quelle attività che puntano a ingannare l’utente con la voce.
Alcuni truffatori potrebbero spacciarsi per una banca, altri per un servizio di assistenza: si tratta sempre e comunque di coperture che nascondono un tentativo di illecito. Lo stesso discorso vale per lo scenario in cui sembra che io stia ricevendo una chiamata dal mio stesso cellulare.
Come difendersi dallo spoofing telefonico
.jpg)
Credits Shutterstock
Arrivati a questo punto è finalmente possibile rispondere all’annosa domanda: cosa fare se ricevo una telefonata dal mio numero di telefono?
Per fortuna gli utenti hanno vari modi per tutelarsi
Da una parte è possibile elencare alcune soluzioni di natura tecnica. Dall’altra esistono comportamenti corretti che abbassano sensibilmente l’esposizione allo spoofing.
Innanzitutto esistono diverse app in grado di identificare e il filtrare di numeri di telefono considerati pericolosi o quanto meno poco attendibili. E spesso questo genere di software viene sviluppato direttamente dagli operatori telefonici.
Allo stesso modo gli smartphone più recenti sono dotati di funzionalità legate al blocco delle chiamate e alla creazione di liste nere in cui spostare automaticamente chiamate non gradite.
Dopodiché è sicuramente utile passare in rassegna alcuni consigli di buon senso. Il primo consiste nel non rispondere a numeri sconosciuti, specie nel caso in cui contengano prefissi poco chiari.
Questo non vuol dire perdere una chiamata potenzialmente importante. L’utente infatti ha sempre la possibilità di richiamare il numero in questione, magari dopo avere effettuato una verifica sul web.
Infine è molto importante dare il giusto valore al proprio numero di telefono. Ciò vuol dire, ad esempio, evitare di condividerlo su profili pubblici o su social network. Ma anche evitare di iscriversi a servizi che lo richiedono, senza avere letto attentamente tutto quello che c’è da sapere su sicurezza e privacy.
Per saperne di più: Sicurezza informatica: guida alla navigazione sicura sul web
