Che cos'è lo spoofing degli SMS?
di
Tempo di lettura: 6 min
L'SMS spoofing consiste nell'alterare le informazioni del mittente a scopo fraudolento, come il numero di telefono e il nome del contatto. Un testo contraffatto non può essere risposto o bloccato. L'SMS spoofing si basa interamente sull'impersonificazione.
Ricevete un messaggio di testo falso da una persona che credete di conoscere, ma a un'analisi più attenta qualcosa non quadra. Il nome e il numero di cellulare non sono identici a quelli presenti negli elenchi dei contatti, ma solo simili.
Gli attacchi alla sicurezza informatica sono in rapido aumento. Il phishing e le frodi simili, come lo spoofing, sono stati il tipo di crimine informatico più diffuso segnalato all'Internet Crime Complaint Center degli Stati Uniti nel 2021. Internet Crime Complaint Center statunitense nel 2021, colpendo quasi 324 mila persone.
Interessante? Forse sì. Per quanto entusiasmante possa sembrare, questa capacità è indubbiamente dannosa se usata in modo scorretto.
I punti chiave da prendere in considerazione
- L'SMS spoofing consiste nell'alterare le informazioni del mittente per impersonare una fonte legittima a fini fraudolenti.
- L'aumento degli attacchi di cybersicurezza evidenzia i pericoli dello spoofing e dello smishing degli SMS, tecniche comuni utilizzate dai criminali informatici.
- Gli usi legittimi degli SMS spoofing includono la messaggistica di massa per le aziende e le comunicazioni ufficiali delle agenzie governative.
- Per proteggersi dallo spoofing degli SMS, gli utenti devono prestare attenzione ai messaggi non richiesti e astenersi dall'aprire link o fornire informazioni personali.
- La segnalazione di episodi di spoofing agli operatori di telefonia mobile e alle forze dell'ordine può contribuire a ridurre l'impatto di questi attacchi in futuro.
Come funziona lo spoofing degli SMS?
Si potrebbe pensare che lo spoofing degli SMS sia un problema del XXI secolo, ma si potrebbe rimanere sorpresi nell'apprendere che le sue origini risalgono a molti decenni fa. Nel 1271 un comandante egiziano di nome Sultan Baybars riuscì a conquistare il potente Krak des Chevaliers consegnando ai cavalieri assediati una lettera contraffatta del loro comandante e ordinando loro di sottomettersi. Alla fine i cavalieri si arresero e scoprirono che la lettera era falsa.
Lo spoofing degli SMS funziona mascherando il numero di telefono del vero mittente in un messaggio di testo SMS, in modo che sembri provenire da un dispositivo diverso. Esistono due modi per farlo:
- È possibile inviare un messaggio SMS dal telefono della vittima a qualcuno con cui si vuole comunicare. In questo modo il destinatario penserà che il messaggio provenga da una persona conosciuta, come un amico o un collega.
- È possibile inviare un messaggio SMS dal numero di telefono di un'altra persona a qualcuno con cui si vuole comunicare. In questo modo il destinatario sarà indotto a pensare che il messaggio provenga da un'altra persona, ad esempio un amico o un collega.
Semplificate la sicurezza con PowerDMARC!
Smishing e SMS Spoofing: Qual è la differenza?
L'SMS spoofing e lo smishing sono due tipi di truffe che utilizzano messaggi di testo contraffatti per ottenere informazioni sensibili da vittime ignare. Entrambi si basano su tecniche di ingegneria sociale, ma si differenziano per il modo in cui prendono di mira l'utente.
Spoofing di SMS
L'SMS spoofing si verifica quando un hacker invia un messaggio SMS da un numero irriconoscibile. Il messaggio può sembrare proveniente da una persona conosciuta o da un'azienda o un'organizzazione di cui ci si fida. Questi attacchi mirano a indurre l'utente a rispondere o a cliccare su un link che scaricherà malware sul telefono o sul computer.
Smishing
Lo smishing è simile allo spoofing di SMS, ma gli hacker inviano e-mail false con link dannosi incorporati invece di utilizzare i messaggi di testo. Se si fa clic sul link, questo tenta di installare malware sul dispositivo o di portare l'utente a un sito Web fasullo in cui vengono richieste informazioni personali come numeri di carte di credito e numeri di previdenza sociale.
Che cos'è un vettore di attacco SMS Spoofing?
I vettori di attacco SMS spoofing fingono di essere messaggi provenienti da una fonte affidabile per indurre gli utenti di telefonia mobile a rivelare le proprie informazioni personali. Per diffondere questo attacco viene solitamente utilizzato un messaggio di posta elettronica con un link o un file eseguibile. Non appena viene premuto il pulsante, l'aggressore può accedere ai messaggi della vittima e inviarli a suo nome. Un modo per evitarlo è accettare messaggi solo da aziende fidate che utilizzano un gateway SMS e una piattaforma di email marketing affidabili.
Affinché le vittime forniscano, inviino o divulghino prontamente informazioni riservate, è necessario far credere loro di parlare con un amico o un familiare fidato. Questa tecnica può impersonare più persone contemporaneamente, a seconda del numero di destinatari simultanei e del vettore di attacco spoofing.
Tipi di SMS Spoofing
Esistono diversi tipi di SMS spoofing, tra cui:
1. ID mittente falsi
Il tipo più comune di spoofing consiste nel sostituire il vero ID del mittente con un altro numero o nome. In questo modo i malintenzionati possono impersonare entità come la banca o la società di carte di credito, inducendovi con l'inganno a divulgare informazioni personali o a scaricare software dannoso. Possono anche falsificare l'ID del chiamante effettuando chiamate false, oltre a falsificare i messaggi di testo.
2. Messaggi massivi non richiesti (UBM)
Gli UBM sono messaggi non richiesti che sembrano provenire da una persona conosciuta ma che invece provengono da una fonte sconosciuta. Questi messaggi possono includere link a siti web dannosi, attacchi di phishing e altre truffe progettate per rubare informazioni personali dai dispositivi mobili.
3. Molestie
Questo tipo di spoofing SMS di solito comporta l'invio di messaggi minacciosi o inappropriati ad altre persone. Alcuni molestatori utilizzano questo metodo per cercare di estorcere denaro alle loro vittime, minacciandole di conseguenze se non pagano.
4. Trasferimenti di denaro falsi
Potrebbe trattarsi dell'invio di un'e-mail in cui si afferma di aver vinto un premio e si chiede di trasferire del denaro su un conto per devolverlo in beneficenza, ad esempio. Oppure potrebbe trattarsi di una truffa più sinistra, in cui gli hacker cercano di rubare le vostre informazioni personali sostenendo che avete vinto un premio, ma poi vi chiedono le coordinate bancarie per poterlo depositare sul vostro conto.
5. Spionaggio aziendale
In questo attacco, un hacker invia un messaggio SMS al vostro cellulare con un link a un sito web dannoso. Quando si fa clic su tale link, si viene reindirizzati a un altro sito e si rubano le informazioni personali e le credenziali, che l'aggressore può utilizzare per accedere alle risorse aziendali o per sottrarre denaro all'utente.
Spoofing di SMS: Quali sono gli usi legittimi?
Gli usi legittimi dello spoofing degli SMS comprendono i servizi di messaggistica di massa, i messaggi ufficiali e la protezione dell'identità.
Servizi di messaggistica di massa
Lo spoofing di SMS può inviare messaggi di massa a più destinatari contemporaneamente. Ciò è particolarmente utile per le aziende che desiderano utilizzare un software per SMS di massa per raggiungere i clienti in modo economico.
Messaggi ufficiali
Anche le agenzie governative utilizzano lo spoofing degli SMS per inviare notifiche importanti come scadenze fiscali o avvisi di disastri naturali. Quando si inviano questi messaggi, devono provenire da una fonte ufficiale, in modo che le persone sappiano che sono legittimi e non truffaldini.
Protezione dell'identità
Aziende come Equifax utilizzano questa tecnologia per proteggere l'identità dei propri clienti. Supponiamo che qualcuno provi a chiamarvi o a mandarvi un'e-mail fingendo di essere di Equifax con un numero di richiamata. In questo caso, potete facilmente verificare se si tratta di un numero reale o meno, chiamando il numero sul vostro telefono piuttosto che inserire informazioni personali al telefono o su Internet.
Cosa devono fare gli utenti per proteggersi dallo spoofing degli SMS?
- Diffidate dei messaggi di testo non richiesti che ricevete sul vostro dispositivo mobile e non aprite i link in essi contenuti. Se aprite un link, assicuratevi di visitare l'effettivo sito web da cui proviene digitando l'URL nel vostro browser. Per garantire l'autenticità delle comunicazioni, l'implementazione di un'efficace verifica dell'ID del mittente è fondamentale per stabilire una connessione sicura tra mittente e destinatario.
- Non rispondete ai messaggi di testo che vi chiedono informazioni personali come numeri di conto o password. Se ricevete uno di questi messaggi, cancellatelo immediatamente senza rispondere.
- Contattare il proprio fornitore di servizi mobili se si riceve un messaggio SMS che richiede denaro o informazioni personali.
Conclusione
Nessuno è completamente al sicuro dallo spoofing. Dovreste sempre segnalare i truffatori che vi molestano o che utilizzano il vostro numero per lo spoofing al vostro operatore e alle forze dell'ordine, in modo che possano scoprire l'origine dei messaggi. In questo modo è possibile evitare lo spoofing degli SMS in futuro. Per assicurarsi di non ricevere più SMS dal truffatore, è possibile utilizzare i blocchi degli SMS scaricabili.
Inoltre, è necessario essere consapevoli e difendersi da altri rischi di spoofing, tra cui lo spoofing delle e-mail e gli attacchi diretti di spoofing del dominio che potrebbero danneggiare la vostra reputazione. Consultate la nostra guida completa alla sicurezza dello spoofing delle e-mail per essere al sicuro da attacchi futuri.
Esperto di sicurezza dei domini e delle e-mail presso PowerDMARC
Ahona è la Marketing Manager di PowerDMARC, con oltre 5 anni di esperienza nella scrittura di argomenti di cybersecurity, specializzata in sicurezza dei domini e delle e-mail. Ahona ha conseguito una laurea in Giornalismo e Comunicazione, consolidando la sua carriera nel settore della sicurezza dal 2019.
Ultimi messaggi di Ahona Rudra (vedi tutti)
