Fidarsi di una mail apparentemente genuina che ci chiede di cliccare per confermare i dati e i codici bancari? Ormai ci cade solo qualche inguaribile imbranato. Ma la tecnologia del phishing (la pesca alle vittime più o meno innocenti degli imbrogli via web) avanza. La nuova frontiera delle truffe telematiche si chiama “caller id spoofing”. L’imbroglione ci manda un sms, un messaggio WhatsApp o semplicemente ci chiama al telefono. Sul nostro display compare proprio il numero della banca, del nostro istituto finanziario, di un ente benefico o di una società che conosciamo benissimo e con la quale abbiamo rapporti consolidati. Rispondiamo, ci fidiamo, eseguiamo. Può essere un imbroglio. Avviene con una procedura davvero raffinata, che a volte si combina con un altro trucco tecnologico di ultimissima generazione: la clonazione del nostro numero di cellulare (o più precisamente il suo trasferimento, magari momentaneo e per il solo tempo necessario all’imbroglio) su una Sim in mano al truffatore, che potrà così sostituirsi a noi anche nell’ok finale di un’operazione bancaria, simulando le ormai diffusissime procedure di sicurezza che prevedono la generazione di un pin “usa e getta”. Ma come funziona nei dettagli la nuova tecnica fraudolenta? Come riconoscerla? Come difendersi?
Spoofing e sim swap
Per modificare il numero del chiamante che appare sul nostro display presentandosi come il nostro istituto bancario che ha bisogno di una verifica, o magari un ente di beneficenza che ci chiede un contributo, gli imbroglioni ricorrono a procedure consentite dai sistemi di centralino IP- VoIP (quelli che usano solo la rete Internet e non i vecchi sistemi telefonici anche per le chiamate voce) manipolabili con normali applicazioni commerciali accessibili anche ai non professionisti: chiunque lo può verificare facendo una normale ricerca sugli store Internet. La procedura è relativamente facile, tant’è che cominciano ad usarla anche imbroglioni non particolarmente padroni della tecnologia, e perfino un po’ pasticcioni.
Un esempio: una società che vende apparecchi domestici per la depurazione dell’acqua si mascherava nelle scorse settimane dietro al numero telefonico di un ristorante-pizzeria della provincia di Napoli. Che nesso ci fosse tra le due cose non è dato sapere. Più inquietanti sono altri due esempi di truffe “spoofing” messe in atto negli ultimi mesi. Il primo riguarda un furto di credenziali per collegarsi ai siti delle Poste italiane, in particolare quelli connessi a PostePay (servizi bancari). In un SMS imbroglioni di turno informano gli utenti di un problema con i dati anagrafici del loro account, invitando a ripeterli o a correggerli cliccando su un link che mostra una schermata apparentemente verosimile. Per avere il tempo di agire i criminali invitano a non accedere all’account, che sarebbe rimasto bloccato per alcune ore finché l’errore non fosse stato corretto. Molto simile nella sua dinamica l’imbroglio effettuato sotto le mentite spoglie dell’Agenzia delle Entrate tramite fantomatico “ufficio riscossione crediti”, che invita (anche qui mascherandosi dietro un numero telefonico più che verosimile che compare sul display) a sanare in forma agevolata un debito di imposta arretrato comunicando i nostri dati finanziari riservati o cliccando un apposito link che ci sarà stato inviato all’indirizzo di posta elettronica che avremo incautamente indicato al nostro interlocutore.
In tutti questi casi c’è in agguato anche il secondo trucco, il “sim swap”, ovvero la sostituzione magari momentanea della nostra Sim, permettendo all’imbroglione di validare direttamente i nostri pagamenti a suo favore. Una pratica che fortunatamente è possibile solo se il truffatore è in possesso del codice seriale della Sim da clonare, che teoricamente dovrebbe essere gelosamente custodito dal nostro operatore di tlc. Teoricamente, perché nei mesi scorsi è balzata ali onori delle cronache più di una fuga di questi elenchi, caduti poi in mano ai criminali. In qualche caso gli operatori telefonici più scrupolosi hanno immediatamente informato i clienti, rigenerando da remoto il codice seriale della sim o sostituendola fisicamente. Ma nessuno esclude che qualche elenco possa essere tuttora in circolazione, a disposizione degli imbroglioni.
Come scoprire il trucco e cosa fare
Prima regola: mai fornire i nostri dati personali rispondendo direttamente ad una richiesta, sia essa una telefonata, una mail, un sms, un messaggio WhatsApp. Nella consapevolezza delle truffe che circolano nessuna banca minimamente seria chiederebbe conferma dei dati personali via telefono. La contromossa i questo caso è banale ed efficace: richiamate voi la vostra banca chiedendo conferme, delucidazioni e indicazioni in caso di accertato tentativo di frode. Identica cautela è doverosa anche per fronteggiare la raffica di telefonate che ognuno di noi riceve per convincerci a cambiare gestore di telecomunicazioni o dei servizi energetici.
Seconda regola: verifichiamo comunque con certezza l’identità di chi ci contatta passando al setaccio indirizzo da cui ci viene inviata alla mail, o a maggior ragione il numero telefonico che vediamo comparire nel display. Per verificare l’autenticità della mail ricevuta, o del messaggio sms o WhatsApp che contiene un link sospetto, chi è esperto in tecnologie informatiche ha molte armi a disposizione, a partire dalla verifica dei certificati digitali che accompagnano i messaggi complessi. I comuni mortali a cui è dedicato questo tutorial devono arrangiarsi con procedure meno sofisticate. Come?
Possono fare innanzitutto un controllo grossolano definendo con il mouse l’indirizzo mail che ci compare con il mouse per poi copiarlo un file di word con la modalità “mantieni solo il testo”: se l’indirizzo che compare dopo l’operazione è diverso vuole dire che si tratta di una mail mascherata e quindi ingannevole. Ma anche se compare tale e quale non possiamo stare tranquilli. In questo caso mandiamo noi una mail allo stesso indirizzo, che compileremo accuratamente per esteso (niente “taglia e incolla”, specie in questo caso) nel nostro programma di posta elettronica, chiedendo conferma del contatto ricevuto.
Per controllare l’autenticità il numero telefonico che ci compare sul display la procedura è facile e immediata: richiamiamo noi lo stesso numero, possibilmente da un cellulare (per evitare qualunque remotissima manipolazione della nostra linea fissa dalla centralina di zona). La risposta rivelerà immediatamente come stanno le cose.
Nel caso la nostra prima linea di difesa non abbia immediatamente rivelato una truffa vogliamo vagliare la proposta che ci vogliono propinare? Chiediamo comunque che ci venga formulata per iscritto via Mail o via posta ordinaria, senza però fornire alcun riferimento: se ci hanno chiamato devono avere anche il nostro indirizzo o la nostra mail, altrimenti con buona probabilità si tratta appunto di truffatori o comunque della pletora di dealer che lavorano a provvigione usando troppo spesso pratiche scorrette.
Buona regola imporrebbe persino attenzione nel pronunciare alcuni termini durante una conversazione con il nostro non ben identificato interlocutore: la semplice parola “sì” può essere estrapolata (accade anche questo) per confezionare un assenso vocale alla proposta di un contratto per l’invio di un bene o per il cambio di gestore. E nel frattempo valutate seriamente se iscriverti al registro delle opposizioni a qualunque chiamata commerciale, che a giorni dovrebbe essere finalmente esteso anche ai cellulari, come dispone un provvedimento legislativo varato nel gennaio scorso.
Ultima raccomandazione: se avere sufficienti indizi di una truffa o un tentativo di truffa telematica denunciate direttamente alle autorità di Polizia. Potete farlo anche via web.
