Qualcuno ha chiamato con il tuo numero? é spoofing

Spoofing: quando vieni chiamato dal tuo stesso numero

Hai ricevuto una chiamata dal tuo stesso numero, oppure un call center si è spacciato per una realtà attendibile? Probabilmente sei vittima di un tentativo di truffa attraverso la tecnica dello spoofing telefonico. Viene impiegato nascondendo il reale numero di telefono (Caller ID) da cui parte una chiamata e lo si maschera con un numero di telefono altrimenti attendibile. Può essere quello di una banca, di un erogatore di servizi o di un supporto telefonico. Lo scopo è quello di acquisire la fiducia della vittima per avanzare poi una truffa, raccogliere informazioni sensibili e così via.

Quando il truffatore chiama con il tuo numero

Sui vari forum degli operatori telefonici o gruppi di Facebook di telefonia, ultimamente si sta assistendo a domande riguardanti la possibilità che il proprio numero possa essere stato clonato. In realtà è una possibilità concreta, che in teoria può verificarsi anche in seguito ad un attacco informatico al provider. Basti pensare alla fuga di dati sensibili che ha coinvolto suo malgrado ho. mesi fa, e che ha portato ad un concreto rischio di Sim Swapping. Ma se qualcuno chiama con il tuo numero altre persone?

Quando ci si accorge che altri utenti ricevono chiamate dal proprio numero, ma che dal proprio telefono non sono però mai partite, non è necessariamente Sim Swapping (anche perché non è così facile esserne vittima). In questo caso si parla di Spoofing e ad esserne vittima chi ha ricevuto la telefonata e indirettamente il proprietario del numero di telefono sfruttato. Se si è vittima di Sim Swapping è facile da capire, perché la propria SIM non funziona più. Diversamente, in caso di Spoofing, le tecniche impiegate dai criminali sono diverse. Chi riceve la chiamata rischia di perdere denaro e le credenziali di account con informazioni sensibili. Invece chi vede il proprio numero di telefono utilizzato per queste pratiche fraudolente, rischia di essere bollato come SPAM e di ricevere chiamate da estranei, per chiedere delucidazioni su chiamate mai effettuate.

Anche la Polizia Postale vittima di spoofing

Ad ottobre 2023 anche la Polizia Postale, sulle proprie pagine ha spiegato agli utenti i rischi e le modalità di attacco dello spoofing. Di recente anche il numero della Polizia Postale è stato utilizzato per truffare le vittime prescelte. A conferma del fatto che contro questo tipo di attacco non c’è ancora un rimedio efficace, proprio il post della sezione di polizia dedicata alle telecomunicazioni. I malviventi clonano i numeri degli uffici della polizia e telefonano ai malcapitati, che vengono informati di un fantomatico attacco informatico ai loro danni. Per guadagnare la fiducia della vittima (e qui entra in gioco l’ingegneria sociale), viene spiegato di cercare il numero su Internet. Una volta appurato che si tratta di un numero vero della Polizia Postale, l’utente è propenso a fidarsi del falso agente, che ora invierà un SMS alla vittima, ora più propensa a cliccare sui link e consegnare i propri dati sensibili ai malviventi.

La tecnica applicata può essere inversa. Può essere anche inviato prima l’SMS e poi la telefonata. Quale che sia l’ordine, può essere semplice per gli utenti meno smaliziati a cadere nel tranello. Per non cadere nella truffa, se si riceve comunicazioni di questo tipo, è sempre bene richiamare la Polizia al numero di telefono (113 o 112) oppure segnalare il tentativo di truffa sul sito Web www.commissariatodips.it.

Le tecniche di spoofing: dal phishing, allo smishing, fino all’ingegneria sociale

Sono diverse le tecniche di spoofing messe in atto da utenti malintenzionati. Generalmente consistono nell’assumere l’identità di un soggetto ignaro, come ad esempio recapitare e-mail a nome di un altro, per ottenere informazioni. Bisogna però fare una distinzione: il phishing è una tecnica per carpire credenziali e informazioni sensibili attraverso false mail inviate con l’intenzione di assumere l’identità di aziende o istituti bancari; lo smishing è più o meno la medesima tecnica utilizzando però gli SMS. Lo spoofing ha luogo invece quando un utente malintenzionato assume le sembianze di un ente o un’altra persona, per carpire dalla vittima una serie di altre informazioni (o denaro) attraverso l’impiego di tecniche psicologiche e di ingegneria sociale.

Per farla estremamente breve, il criminale cerca di fare leva sulle debolezze di un soggetto per raggiungere i suoi scopi. E per farlo maschera la propria identità e gioca su elementi chiave quali autorevolezza, panico, senso di colpa, avidità, ignoranza, etc per convincere la “preda” a fornire elementi chiave utile a chi ha sferrato l’attacco. Lo spoofing può avere luogo in diversi modi; tramite l’IP, SMS, DNS, da siti Web e in questo caso, attraverso il Caller ID. In questo caso il truffatore sfrutterà servizi, anche gratuiti e disponibili anche in italiano, attraverso la tecnologia VoIP (voce tramite protocollo Internet). Il malintenzionato utilizzerà un numero di telefono a scelta per carpire informazioni all’utente che riceve la telefonata.

La tecnica di raccolta numeri di telefono

Un altro modo di raccogliere i numeri di telefono, scoperto ad aprire del 2022 da Avanan, consiste in un attacco definito proprio “Raccolta numeri di telefono“. L’ultima campagna dei malintenzionati consisteva in una falsa mail di PayPal in cui veniva richiesto di telefonare un numero per annullare un ordine. In questo modo tramite l’ID Chiamante, gli utenti ignari fornivano ai malviventi il proprio numero di telefono.

Attenzione alla raccolta numeri di telefono, di cui gli utenti di PayPal sono stati vittime ad aprile 2022.

Spesso sono i call center più seccanti

Se si ricevono chiamate truffaldine, non c’è molto da fare. Alle volte l’interfaccia del proprio dispositivo dispone di software che riconosce la chiamata SPAM e la blocca. Altre volte invece si possono utilizzare app di terze parti, come ad esempio SyncMe o TrueCaller, per bloccarle. Se il malintenzionato utilizza software a sua volta per impiegare tecniche di spoofing, è possibile che cambi spesso numero e che si utilizzino combinazioni di numeri esistenti. Questo può essere un danno sia per chi riceve la chiamata, sia per lo sfortunato utente che vede “clonato” il numero (anche se non è una vera e propria clonazione della SIM), perché può essere marcato come SPAM da altri utenti ignari. In genere non è solo una tecnica di truffatori o malintenzionati, ma anche impiegata dai call center più fastidiosi. Che inoltre violano la legge, perché il numero del call center deve essere sempre verificabile, ma se chiamano dall’estero, purtroppo c’è poco da fare. Tuttavia nel 2022 diversi call center sono stati chiusi o i responsabili condannati. Come quello chiuso per truffe telefoniche per milioni di euro, o come quello condannato per molestie

Qualcuno chiama con il tuo numero di telefono?

Una bella domanda sarebbe “E se qualcuno chiama con il tuo numero di telefono?”. Un nostro lettore ha riferito di essersi trovato in una situazione simile. In breve tempo ha ricevuto chiamate da estranei i quali gli hanno riferito di aver ricevuto più volte una sua chiamata. Telefonate che in realtà non ha mai effettuato, pur riscontrando la veridicità di quanto detto dagli utenti che l’hanno contattato. Attraverso gli screenshot del Registro delle Telefonate dei vari utenti, è emerso infatti che il suo numero di telefono è nei vari registri delle chiamate senza risposta. Sì, perché in realtà costoro hanno solo ricevuto uno squillo, senza neanche fare in tempo a rispondere. Interpellando il proprio gestore telefonico, almeno secondo quanto dichiarato dalla nostra fonte, gli è stato riferito che non si può intervenire in modo efficace, se non cambiando gratuitamente il numero di telefono.

I rischi corsi da chi subisce una temporanea clonazione del proprio numero di telefono sono diversi, tra cui la segnalazione del proprio numero di telefono come SPAM sulle app dedicate o nell’interfaccia dei vari dispositivi. Si può inoltre correre il rischio di essere segnalato su siti quali tellows e simili, ma nei casi più gravi, gli utenti esasperati dalle continue telefonate potrebbero minacciare il malcapitato di denuncia. Per questo è meglio denunciare alla Polizia Postale se si ha il sospetto che il proprio numero di telefono sia utilizzato per spoofing.

Se il numero è utilizzato per lavoro, potrebbe essere opportuno considerare un cambio del numero di telefono, per scongiurare il pericolo di vedere il proprio brand o la propria società minata nella credibilità per via dello spoofing. Su alcuni forum dei vari gestori telefonici, alcuni utenti spiegano di trovarsi nella situazione di vedere il proprio numero di telefono utilizzato impietosamente da persone senza scrupoli. Non è però un problema recente: sono diversi anni che alcuni utenti si lamentano di essere vittime indirette dello spoofing. A costoro viene consigliato di fare una denuncia alla Polizia Postale, ma alle volte rischiano di essere vittima a loro volta di denuncia, perché chi sfrutta il loro numero di telefono è particolarmente insistente. Già AGCOM aveva “suggerito” — per usare un eufemismo — alle compagnie telefoniche di vigilare sulla modifica del Caller ID. Un suggerimento ovviamente caduto nel vuoto, o dimenticato nel corso degli anni.

Come evitare di ricevere chiamate di SPAM e Spoofing

Sarebbe bene essere in primo luogo essere iscritti al Registro Pubblico delle Opposizioni. Attivo dall’estate del 2022 però non si è rivelato molto efficace, come già si aspettava uno dei principali fautori del registro per numeri mobili, a causa dei call center stranieri. Si sta pensando da qualche mese infatti un aggiornamento. L’utente non ha molte opzioni per porre un freno a questa tortura, ma può segnalare le telefonate moleste, o verificare se il call center che ha chiamato sia autentico o autorizzato.

Un’altra buona norma, come ricorda McAfee, è evitare di diffondere a sconosciuti il proprio numero di telefono, sia sui social media, sia nelle app di dating. Anche evitare di partecipare a concorsi e lotterie online è un buon modo per salvaguardare il proprio numero dall’utilizzo di malintenzionati. Ogni volta che ci registra a servizi di questo tipo, i dati vengono ceduti ad aziende e se non si consulta bene la policy dei vari servizi o lotterie ai quali ci si iscrive, non si può conoscere l’utilizzo dei dati forniti.

Inoltre è bene fare attenzione anche al numero di telefono di chi chiama. Se il numero è simile al proprio, bisogna fare molta attenzione, perché potrebbe trattarsi di un’altra tecnica messa in atto dal truffatore per ottenere la fiducia della vittima. In ogni caso, è bene non fidarsi e interrompere la telefonata, perché potrebbero essere richiesti con l’inganno credenziali, dati sensibili, denaro e quant’altro. Come riportato infine nell’esempio precedente in cui viene descritto come i malviventi inviano una falsa mail spacciandosi per PayPal, è buona norma verificare che le e-mail provengano da indirizzi attendibili e non con lettere o caratteri confusi. In questo caso, ad esempio, sarebbe sufficiente verificare sel dal proprio account PayPal sia presente un ordine non desiderato.

Gli strumenti utili a difendersi

Gli strumenti per proteggersi, sono davvero pochi insomma. Bisogna essere sempre all’erta e gelosi del proprio numero di telefono. Tenere a mente che nessuno regala niente e che gli istituti bancari o qualsiasi altro ente, difficilmente richiederanno con insistenza le credenziali o versamenti dubbi. Ad ogni modo è sempre bene contattare, magari in loco, la persona di riferimento per verificare che il tentativo di contatto fosse autentico o meno. Poi app di terze parti o le soluzioni per il blocco dello spam da parte del produttore o del sistema operativo, possono fornire un contributo importante, seppur non definitivo. Inoltre se si ricevono chiamate da sconosciuti, è bene cercare sui motori di ricerca il numero di telefono per capire chi ne sia il proprietario e se è attendibile o SPAM. Se si ricevono mail in cui viene richiesto di chiamare un determinato numero, verificare che indirizzo e-mail del mittente e numero da chiamare siano attendibili.

Il caso segnalato dalla stessa Polizia Postale, mette in evidenza un segnale inquietante e demotivante. Se anche la Polizia Postale subisce la clonazione dei numeri di telefono dei propri uffici, senza alcun possibile rimedio, significa che attualmente gli operatori e chi per essi, non hanno ancora messo a punto una tecnologia che inibisce la possibilità di clonare i numeri di telefono esistenti. Un segnale scoraggiante, anche per chi, come molti di voi, sono afflitti da questo problema da molto tempo.

Certo è che se molti colleghi o altri siti evitassero di pubblicizzare o segnalare software per dedicarsi all’attività di spoofing, il mondo della tecnologia e dell’editoria sarebbe un posto (lievemente) migliore. Se poi i gestori telefonici si impegnassero di più nel monitoraggio delle telefonate in cui il Caller ID viene alterato, il 3000 non sarebbe poi così distante.

Le nuove armi, il decreto di marzo 2024

Verso la fine di marzo 2024, il Consiglio dei Ministri ha approvato un decreto che modifica il Codice delle comunicazioni elettroniche. Ora Agcom e il Ministro delle Imprese e del Made in Italy potranno sanzionare i call center truffaldini, con un minimo di 50 mila euro di multa, fino ad un massimo di un milione di euro. Affinché venga sanzionato, un call center dovrà mettere in atto pratiche commerciali sleali, frodi oppure abusi, oppure non adeguarsi alle indicazioni previste o alle diffide. Le autorità potranno anche ordinare agli operatori di bloccare le chiamate con un numero di telefono alterato. Inoltre si potrà anche imporre limitazioni per bloccare le comunicazioni provenienti dall’estero che in modo illegittimo usano numerazione nazionale.

CONDIVIDI L’ARTICOLO O SCRIVI NEI COMMENTI SE HAI SUBITO ANCHE TU UNA TRUFFA SIMILE!



Aiutaci a crescere: lasciaci un like :)

Giornalista pubblicista, SEO Specialist, fotografo. Da sempre appassionato di tecnologia, lavoro nell'editoria dal 2010, prima come fotografo e fotoreporter, infine come giornalista. Ho scritto per PC Professionale, SportEconomy e Corriere della Sera, oltre ovviamente a Smartphonology.