Sui vari forum degli operatori telefonici o gruppi di Facebook di telefonia, ultimamente si sta assistendo a domande riguardanti la possibilità che il proprio numero possa essere stato clonato. In realtà è una possibilità concreta, che in teoria può verificarsi anche in seguito ad un attacco informatico al provider. Basti pensare alla fuga di dati sensibili che ha coinvolto suo malgrado ho. mesi fa, e che ha portato ad un concreto rischio di Sim Swapping. Ma se qualcuno chiama con il tuo numero altre persone?
Quando ci si accorge che altri utenti ricevono chiamate dal proprio numero, ma che dal proprio telefono non sono però mai partite, non è necessariamente Sim Swapping (anche perché non è così facile esserne vittima). In questo caso si parla di Spoofing e ad esserne vittima chi ha ricevuto la telefonata e indirettamente il proprietario del numero di telefono sfruttato. Se si è vittima di Sim Swapping è facile da capire, perché la propria SIM non funziona più. Diversamente, in caso di Spoofing, le tecniche impiegate dai criminali sono diverse. Chi riceve la chiamata rischia di perdere denaro e le credenziali di account con informazioni sensibili. Invece chi vede il proprio numero di telefono utilizzato per queste pratiche fraudolente, rischia di essere bollato come SPAM e di ricevere chiamate da estranei, per chiedere delucidazioni su chiamate mai effettuate.
Le tecniche di spoofing: dal phishing, allo smishing, fino all’ingegneria sociale
Sono diverse le tecniche di spoofing messe in atto da utenti malintenzionati. Generalmente consistono nell’assumere l’identità di un soggetto ignaro, come ad esempio recapitare e-mail a nome di un altro, per ottenere informazioni. Bisogna però fare una distinzione: il phishing è una tecnica per carpire credenziali e informazioni sensibili attraverso false mail inviate con l’intenzione di assumere l’identità di aziende o istituti bancari; lo smishing è più o meno la medesima tecnica utilizzando però gli SMS. Lo spoofing ha luogo invece quando un utente malintenzionato assume le sembianze di un ente o un’altra persona, per carpire dalla vittima una serie di altre informazioni (o denaro) attraverso l’impiego di tecniche psicologiche e di ingegneria sociale.
Per farla estremamente breve, il criminale cerca di fare leva sulle debolezze di un soggetto per raggiungere i suoi scopi. E per farlo maschera la propria identità e gioca su elementi chiave quali autorevolezza, panico, senso di colpa, avidità, ignoranza, etc per convincere la “preda” a fornire elementi chiave utile a chi ha sferrato l’attacco. Lo spoofing può avere luogo in diversi modi; tramite l’IP, SMS, DNS, da siti Web e in questo caso, attraverso il Caller ID. In questo caso il truffatore sfrutterà servizi, anche gratuiti e disponibili anche in italiano, attraverso la tecnologia VoIP (voce tramite protocollo Internet). Il malintenzionato utilizzerà un numero di telefono a scelta per carpire informazioni all’utente che riceve la telefonata.
La tecnica di raccolta numeri di telefono
Un altro modo di raccogliere i numeri di telefono, scoperto ad aprire del 2022 da Avanan, consiste in un attacco definito proprio “Raccolta numeri di telefono“. L’ultima campagna dei malintenzionati consisteva in una falsa mail di PayPal in cui veniva richiesto di telefonare un numero per annullare un ordine. In questo modo tramite l’ID Chiamante, gli utenti ignari fornivano ai malviventi il proprio numero di telefono.
Spesso sono i call center più seccanti
Se si ricevono chiamate truffaldine, non c’è molto da fare. Alle volte l’interfaccia del proprio dispositivo dispone di software che riconosce la chiamata SPAM e la blocca. Altre volte invece si possono utilizzare app di terze parti, come ad esempio SyncMe o TrueCaller, per bloccarle. Se il malintenzionato utilizza software a sua volta per impiegare tecniche di spoofing, è possibile che cambi spesso numero e che si utilizzino combinazioni di numeri esistenti. Questo può essere un danno sia per chi riceve la chiamata, sia per lo sfortunato utente che vede “clonato” il numero (anche se non è una vera e propria clonazione della SIM), perché può essere marcato come SPAM da altri utenti ignari. In genere non è solo una tecnica di truffatori o malintenzionati, ma anche impiegata dai call center più fastidiosi. Che inoltre violano la legge, perché il numero del call center deve essere sempre verificabile, ma se chiamano dall’estero, purtroppo c’è poco da fare.
Qualcuno chiama con il tuo numero di telefono?
Una bella domanda sarebbe “E se qualcuno chiama con il tuo numero di telefono?”. Un nostro lettore ha riferito di essersi trovato in una situazione simile. In breve tempo ha ricevuto chiamate da estranei i quali gli hanno riferito di aver ricevuto più volte una sua chiamata. Telefonate che in realtà non ha mai effettuato, pur riscontrando la veridicità di quanto detto dagli utenti che l’hanno contattato. Attraverso gli screenshot del Registro delle Telefonate dei vari utenti, è emerso infatti che il suo numero di telefono è nei vari registri delle chiamate senza risposta. Sì, perché in realtà costoro hanno solo ricevuto uno squillo, senza neanche fare in tempo a rispondere. Interpellando il proprio gestore telefonico, almeno secondo quanto dichiarato dalla nostra fonte, gli è stato riferito che non si può intervenire in modo efficace, se non cambiando gratuitamente il numero di telefono.
I rischi corsi da chi subisce una temporanea clonazione del proprio numero di telefono sono diversi, tra cui la segnalazione del proprio numero di telefono come SPAM sulle app dedicate o nell’interfaccia dei vari dispositivi. Si può inoltre correre il rischio di essere segnalato su siti quali tellows e simili, ma nei casi più gravi, gli utenti esasperati dalle continue telefonate potrebbero minacciare il malcapitato di denuncia. Per questo è meglio denunciare alla Polizia Postale se si ha il sospetto che il proprio numero di telefono sia utilizzato per spoofing.
Se il numero è utilizzato per lavoro, potrebbe essere opportuno considerare un cambio del numero di telefono, per scongiurare il pericolo di vedere il proprio brand o la propria società minata nella credibilità per via dello spoofing. Su alcuni forum dei vari gestori telefonici, alcuni utenti spiegano di trovarsi nella situazione di vedere il proprio numero di telefono utilizzato impietosamente da persone senza scrupoli. Non è però un problema recente: sono diversi anni che alcuni utenti si lamentano di essere vittime indirette dello spoofing. A costoro viene consigliato di fare una denuncia alla Polizia Postale, ma alle volte rischiano di essere vittima a loro volta di denuncia, perché chi sfrutta il loro numero di telefono è particolarmente insistente. Già AGCOM aveva “suggerito” — per usare un eufemismo — alle compagnie telefoniche di vigilare sulla modifica del Caller ID. Un suggerimento ovviamente caduto nel vuoto, o dimenticato nel corso degli anni.
Come evitare di ricevere chiamate di SPAM e Spoofing
Sarebbe bene essere in primo luogo essere iscritti al Registro Pubblico delle Opposizioni. Tuttavia al momento non è un servizio ancora esteso per i numeri di telefono cellulare, che arriverà a fine luglio 2022. Un’altra buona norma, come ricorda McAfee, è evitare di diffondere a sconosciuti il proprio numero di telefono, sia sui social media, sia nelle app di dating. Anche evitare di partecipare a concorsi e lotterie online è un buon modo per salvaguardare il proprio numero dall’utilizzo di malintenzionati. Ogni volta che ci registra a servizi di questo tipo, i dati vengono ceduti ad aziende e se non si consulta bene la policy dei vari servizi o lotterie ai quali ci si iscrive, non si può conoscere l’utilizzo dei dati forniti.
Inoltre è bene fare attenzione anche al numero di telefono di chi chiama. Se il numero è simile al proprio, bisogna fare molta attenzione, perché potrebbe trattarsi di un’altra tecnica messa in atto dal truffatore per ottenere la fiducia della vittima. In ogni caso, è bene non fidarsi e interrompere la telefonata, perché potrebbero essere richiesti con l’inganno credenziali, dati sensibili, denaro e quant’altro. Come riportato infine nell’esempio precedente in cui viene descritto come i malviventi inviano una falsa mail spacciandosi per PayPal, è buona norma verificare che le e-mail provengano da indirizzi attendibili e non con lettere o caratteri confusi. In questo caso, ad esempio, sarebbe sufficiente verificare sel dal proprio account PayPal sia presente un ordine non desiderato.
Gli strumenti utili a difendersi
Gli strumenti per proteggersi, sono davvero pochi insomma. Bisogna essere sempre all’erta e gelosi del proprio numero di telefono. Tenere a mente che nessuno regala niente e che gli istituti bancari o qualsiasi altro ente, difficilmente richiederanno con insistenza le credenziali o versamenti dubbi. Ad ogni modo è sempre bene contattare, magari in loco, la persona di riferimento per verificare che il tentativo di contatto fosse autentico o meno. Poi app di terze parti o le soluzioni per il blocco dello spam da parte del produttore o del sistema operativo, possono fornire un contributo importante, seppur non definitivo. Inoltre se si ricevono chiamate da sconosciuti, è bene cecare sui motori di ricerca il numero di telefono per capire chi ne sia il proprietario e se è attendibile o SPAM. Se si ricevono mail in cui viene richiesto di chiamare un determinato numero, verificare che indirizzo e-mail del mittente e numero da chiamare siano attendibili.
Certo è che se molti colleghi o altri siti evitassero di pubblicizzare o segnalare software per dedicarsi all’attività di spoofing, il mondo della tecnologia e dell’editoria sarebbe un posto (lievemente) migliore. Se poi i gestori telefonici si impegnassero di più nel monitoraggio delle telefonate in cui il Caller ID viene alterato, il 3000 non sarebbe poi così distante.
