La nuova delibera dell’Agcom (Autorità per le Garanzie nelle Comunicazioni) rappresenta un passo decisivo per contrastare finalmente il fenomeno dello smishing: sono le truffe effettuate con gli SMS che sembrano provenire da Poste Italiane o da istituti bancari italiani, inducendo ignare vittime a cadere nella trappola dei cyber criminali.
L’Authority, invece, mette uno stop ai messaggi dall’estero che si fingono appunto Poste o banche, per rubare credenziali preziose, con cui svuotare i conti veri. “Dal punto di vista tecnico questa delibera di Agcom è davvero rivoluzionaria“, commenta Paolo Dal Checco, consulente informatico forense, “perché risolve un problema che rileviamo quotidianamente nelle attività di perizia informatica in ambito di truffe online e sui conti bancari basate su phishing e vishing“.
Ecco i punti di forza delle nuove regole dell’Authority italiana. E come risolvere il problema dello spoofing.
Cambio SIM, in vigore le nuove regole AGCOM contro le truffe: tutti i dettagli
Indice degli argomenti
Delibera Agcom contro lo smishing: stop agli alias truffaldini
L’Agcom ha messo sul tavolo un nuovo regolamento, destinato a contrastare più efficacemente la truffa degli SMS spediti sui cellulari degli utenti attraverso gli alias.
L’SMS porta il nome di un brand o di un’azienda, anche quando l’utente non ha salvato in rubrica il numero di telefono da cui l’SMS è spedito. Le aziende possono così spedire ai clienti i codici per l’autenticazione a due fattori o altre comunicazioni.
Gli alias hanno dunque un utilizzo legittimo. Tuttavia possono trarre in inganno gli utenti. “La possibilità di fare ‘SMS spoofing’, utilizzando alias di terzi con il fine d’impersonarli”, spiega Dal Checco, “miete infatti vittime ogni giorno, proprio perché permette ai malintenzionati d’inviare messaggi SMS a nome di terzi (banche, eCommerce eccetera) inserendo tali messaggi nel flusso di quelli inviati dai veri mittenti, così che il ricevente sia portato a credervi”.
I clienti che ricevono gli SMS truffaldini sono indotti a digitare su un link che invece di atterrare sulla pagina ufficiale, li reindirizza a una pagina malevola, creata ad arte. In questa pagina d’atterraggio, l’ignara vittima inserisce le credenziali di accesso a un conto corrente o ad altri servizi.
Mascherandosi da Poste Italiane o da banca, i cyber criminali sono infatti nelle condizioni di rubare credenziali preziose, con cui svuotare i conti veri.
“Le misure proposte da Agcom impedirebbero questo utilizzo indiscriminato degli alias“, sottolinea Dal Checco, “così che soltanto i mittenti originari siano autorizzati a usare il proprio nome come mittente degli SMS e, inoltre, impedendo l’utilizzo di servizi esteri che permettono di abusare dei nomi di altri“.
Le criticità ancora aperte
Tuttavia rimane ancora aperto un problema. Quello “dello spoofing (ovvero della impersonificazione) del chiamante”, mette in guardia Dal Checco, “che rende possibile a oggi fare telefonate mostrando al destinatario un numero a proprio piacimento come mittente della chiamata“.
“Questa tecnica”, continua l’esperto di cyber security, “viene spesso ampiamente utilizzata per chiamare correntisti fingendosi banche o centri di assistenza o, ancora più di frequente, impiegata per fare chiamate di marketing (proposte di contratti luce, gas, telefonia, trading, investimenti eccetera) evitando di essere riconosciuti come ‘molesti’ dalle App che valutano le chiamate in ingresso”.
“È sufficiente, infatti, per i call center, impostare numeri presi casualmente dalla rubrica come mittenti e fare centinaia o migliaia di telefonate che quindi, i riceventi, non riconosceranno come moleste o fraudolente vedendo un numero di telefono ‘normale'”, evidenzia Dal Checco.
“Non di rado mi viene richiesta consulenza informatica forense da persone che iniziano a ricevere decine di telefonate da persone che riferiscono di aver trovato chiamate non risposte dal loro numero e la spiegazione è proprio questa”, conclude Dal Checco: “Qualcuno ha fatto spoofing della loro utenza telefonica per fare telemarketing. Confidiamo, quindi, che anche su questo piano l’Agcom intervenga, prima o poi per rendere la vita più difficile a chi abusa della tecnologia per commettere truffe o svolgere pratiche commerciali scorrette”.
Come proteggersi
Il fattore umano è sempre l’elemento più esposto. Cadere nel phishing (via email), smishing (via SMS), QRishing e vishing dipende dal nostro livello d’attenzione. Se è basso, tendiamo a dimenticarci come lo smartphone sia un potente vettore d’infezione. L’arma di difesa è dunque la consapevolezza.
La postura di sicurezza è l’approccio giusto: comportamenti prudenziali ogni volta cxhe si riceve un messaggio. Occorre telefonare al numero (certo e verificato) della propria banca e controllare i messaggi ricevuti nell’app ufficiale, se si teme di aver ricevuto messaggi truffaldini. Mai cliccare su link provenienti anche da canali apparentemente ufficiali: la truffa è sempre dietro l’angolo. Nessuna banca chiederà mai agli utenti di immettere credenziali su link inviati via SMS.
