Che cos'è lo spoofing degli SMS?

L'SMS spoofing consiste nell'alterare le informazioni del mittente a scopo fraudolento, come il numero di telefono e il nome del contatto. Un messaggio falso non può essere risposto o bloccato. Lo spoofing si basa interamente sull'impersonificazione.

Ricevete un messaggio da una persona che credete di conoscere, ma a un'analisi più attenta qualcosa non quadra. Il nome e il numero di cellulare non sono identici a quelli presenti negli elenchi dei contatti, ma solo simili.

Gli attacchi alla sicurezza informatica sono in rapido aumento. Il phishing e le frodi simili, come lo spoofing, sono stati il tipo di crimine informatico più diffuso segnalato all'Internet Crime Complaint Center degli Stati Uniti nel 2021. Internet Crime Complaint Center statunitense nel 2021, colpendo quasi 324 mila persone.

Interessante? Forse sì. Per quanto entusiasmante possa sembrare, questa capacità è indubbiamente dannosa se usata in modo scorretto.

Come funziona lo spoofing degli SMS?

Si potrebbe pensare che lo spoofing degli SMS sia un problema del XXI secolo, ma si potrebbe rimanere sorpresi nell'apprendere che le sue origini risalgono a molti decenni fa. Nel 1271 un comandante egiziano di nome Sultan Baybars riuscì a conquistare il potente Krak des Chevaliers consegnando ai cavalieri assediati una lettera contraffatta del loro comandante e ordinando loro di sottomettersi. Alla fine i cavalieri si arresero e scoprirono che la lettera era falsa.

Lo spoofing degli SMS funziona mascherando il numero di telefono del vero mittente in un messaggio SMS, in modo che sembri provenire da un dispositivo diverso. Questo può avvenire in due modi:

  • È possibile inviare un messaggio SMS dal telefono della vittima a qualcuno con cui si vuole comunicare. In questo modo il destinatario penserà che il messaggio provenga da una persona conosciuta, come un amico o un collega.
  • È possibile inviare un messaggio SMS dal numero di telefono di un'altra persona a qualcuno con cui si vuole comunicare. In questo modo il destinatario sarà indotto a pensare che il messaggio provenga da un'altra persona, ad esempio un amico o un collega.

Smishing e SMS Spoofing: Qual è la differenza?

L'SMS spoofing e lo smishing sono due tipi di truffe che utilizzano i messaggi di testo per ottenere informazioni sensibili da vittime ignare. Entrambi si basano su tecniche di social engineering, ma si differenziano per il modo in cui prendono di mira l'utente.

Spoofing di SMS

L'SMS spoofing si verifica quando un hacker invia un messaggio SMS da un numero irriconoscibile. Il messaggio può sembrare proveniente da una persona conosciuta o da un'azienda o un'organizzazione di cui ci si fida. Questi attacchi mirano a indurre l'utente a rispondere o a cliccare su un link che scaricherà malware sul telefono o sul computer.

Smishing

Lo smishing è simile allo spoofing di SMS, ma gli hacker inviano e-mail false con link dannosi incorporati invece di utilizzare i messaggi di testo. Se si fa clic sul link, questo tenta di installare malware sul dispositivo o di portare l'utente a un sito Web fasullo in cui vengono richieste informazioni personali come numeri di carte di credito e numeri di previdenza sociale.

Che cos'è un vettore di attacco SMS Spoofing?

I vettori di attacco SMS spoofing fingono di essere messaggi provenienti da una fonte affidabile per indurre gli utenti di telefonia mobile a rivelare le proprie informazioni personali. Per diffondere questo attacco viene solitamente utilizzato un messaggio di posta elettronica con un link o un file eseguibile. Non appena viene premuto il pulsante, l'aggressore può accedere ai messaggi della vittima e inviarli a suo nome.

Affinché le vittime forniscano, inviino o divulghino prontamente informazioni riservate, è necessario far credere loro di parlare con un amico o un familiare fidato. Questa tecnica può impersonare più persone contemporaneamente, a seconda del numero di destinatari simultanei e del vettore di attacco spoofing.

Tipi di SMS Spoofing

Esistono diversi tipi di SMS spoofing, tra cui:

ID mittente falsi

Il tipo più comune di spoofing consiste nel sostituire il vero ID del mittente con un altro numero o nome. In questo modo i truffatori possono apparire come un'altra persona, come la banca o la società di carte di credito, e indurvi a fornire informazioni personali o a scaricare software dannoso. Possono anche falsificare l'ID del chiamante effettuando chiamate false oltre ai messaggi di testo.

Messaggi massivi non richiesti (UBM)

Gli UBM sono messaggi non richiesti che sembrano provenire da una persona conosciuta ma che invece provengono da una fonte sconosciuta. Questi messaggi possono includere link a siti web dannosi, attacchi di phishing e altre truffe progettate per rubare informazioni personali dai dispositivi mobili.

Molestie

Questo tipo di spoofing di SMS comporta solitamente l'invio di messaggi minacciosi o inappropriati ad altre persone. Viene spesso utilizzato da stalker, bulli e cyberbulli che vogliono intimidire le loro vittime. Alcuni molestatori utilizzano questo metodo per cercare di estorcere denaro alle loro vittime, minacciandole di conseguenze se non pagano.

Trasferimenti di denaro falsi

Potrebbe trattarsi dell'invio di un'e-mail in cui si afferma di aver vinto un premio e si chiede di trasferire del denaro su un conto per devolverlo in beneficenza, ad esempio. Oppure potrebbe trattarsi di una truffa più sinistra, in cui gli hacker cercano di rubare le vostre informazioni personali sostenendo che avete vinto un premio, ma poi vi chiedono le coordinate bancarie per poterlo depositare sul vostro conto.

Spionaggio aziendale

In questo attacco, un hacker invia un messaggio SMS al vostro cellulare con un link a un sito web dannoso. Quando si fa clic su tale link, si viene reindirizzati a un altro sito e si rubano le informazioni personali e le credenziali, che l'aggressore può utilizzare per accedere alle risorse aziendali o per sottrarre denaro all'utente.

Spoofing di SMS: Quali sono gli usi legittimi?

Gli usi legittimi dello spoofing degli SMS comprendono i servizi di messaggistica di massa, i messaggi ufficiali e la protezione dell'identità.

Servizi di messaggistica di massa

Gli SMS spoofing possono inviare messaggi di massa a più destinatari contemporaneamente. Questo è particolarmente utile per le aziende che vogliono raggiungere i clienti in modo economico.

Messaggi ufficiali

Anche le agenzie governative utilizzano lo spoofing degli SMS per inviare notifiche importanti come scadenze fiscali o avvisi di disastri naturali. Quando si inviano questi messaggi, devono provenire da una fonte ufficiale, in modo che le persone sappiano che sono legittimi e non truffaldini.

Protezione dell'identità

Aziende come Equifax utilizzano questa tecnologia per proteggere l'identità dei propri clienti. Supponiamo che qualcuno provi a chiamarvi o a mandarvi un'e-mail fingendo di essere di Equifax con un numero di richiamata. In questo caso, potete facilmente verificare se si tratta di un numero reale o meno, chiamando il numero sul vostro telefono piuttosto che inserire informazioni personali al telefono o su Internet.

Cosa devono fare gli utenti per proteggersi dallo spoofing degli SMS?

  • Diffidate dei messaggi non richiesti che ricevete sul vostro dispositivo mobile e non aprite i link in essi contenuti. Se aprite un link, assicuratevi di visitare l'effettivo sito web da cui proviene digitando l'URL nel vostro browser.
  • Non rispondete ai messaggi di testo che vi chiedono informazioni personali come numeri di conto o password. Se ricevete uno di questi messaggi, cancellatelo immediatamente senza rispondere.
  • Contattare il proprio fornitore di servizi mobili se si riceve un messaggio SMS che richiede denaro o informazioni personali.

Conclusione

Nessuno è completamente al sicuro dallo spoofing. Dovreste sempre segnalare i truffatori che vi molestano o che utilizzano il vostro numero per lo spoofing al vostro operatore e alle forze dell'ordine, in modo che possano scoprire l'origine dei messaggi. In questo modo è possibile evitare lo spoofing degli SMS in futuro. Per assicurarsi di non ricevere più SMS dal truffatore, è possibile utilizzare i blocchi degli SMS scaricabili.

Inoltre, è necessario essere consapevoli e difendersi da altri rischi di spoofing, tra cui lo spoofing delle e-mail e gli attacchi diretti di spoofing del dominio che potrebbero danneggiare la vostra reputazione. Consultate la nostra guida completa alla sicurezza dello spoofing delle e-mail per essere al sicuro da attacchi futuri.