Black Friday: attenzione alle truffe e agli SMS letali

Smishing, SMS spoofing, SIM swapping: termini sconosciuti alla maggior parte di noi, ma che identificano le tecniche più utilizzate dai truffatori del cyberspazio che scatenano le proprie offensive in concomitanza dei maggiori eventi che accadono nel mondo Internet, primo tra tutti il Black Friday, catalizzatore delle migliori occasioni di e-Commerce  che ormai si avvicendano lungo quasi tutto il mese di novembre.

In parziale soccorso dei potenziali acquirenti, arrivano le precauzioni fornite da Infobip, la piattaforma globale di comunicazione cloud, che si è concentrata sulle insidie che arrivano prevalentemente via SMS. In occasione della decima edizione dell’European Cybersecurity Month, uno dei principali eventi a livello europeo contro la criminalità informatica, Infobip ha presentato una panoramica sui metodi più innovativi utilizzati dai truffatori attraverso gli SMS, accompagnandola con le indicazioni su come riconoscere le minacce e sulle azioni da intraprendere per proteggersene sia a livello di acquirenti, sia a livello di operatori telefonici. 

Oggi, gli SmartPhone sono divenuti centrali nella vita quotidiana di una gran parte della gente che controlla di avere il proprio in tasca prima di uscire di casa, ancor prima delle chiavi e del portafoglio. Così, gli SMS sono divenuti, assieme a Whatsapp, uno dei canali di comunicazione più utilizzati sia per le comunicazioni personali, sia per le aziende non tanto e non solo per promuovere i propri prodotti, ma per gestirne le operazioni di acquisto. Di conseguenza, gli SMS sono divenuti anche un consistente veicolo di truffe perpetrate dai criminali informatici che continuano a sfornarne nuovi impieghi per estorcere denaro e informazioni personali ai malcapitati.

A tal proposito si incrociano due fenomeni: un consistente incremento dei volumi di traffico e acquisti direttamente collegabili all'e-Commerce, grazie anche al lungo periodo di isolamento delle persone provocato dalla pandemia Covid che si scontra con la crescita delle insidie che giorno dopo giorno si materializzano sui canali digitali, capaci di compromettere la fiducia degli acquirenti. La convenienza e la comodità dell'e-Commerce, con consegne a domicilio sempre più efficienti e rapide, rischia così di scontrarsi con il timore di esser truffati, con un danno sia per gli operatori commerciali, sia per gli utenti, spesso con la involontaria complicità degli operatori telefonici e dei canali digitali.

Le nuove tecniche usate dai truffatori che usano gli SMS come loro arma letale

Al di là del classico spam, ovvero dell'invio massiccio di messaggi più o meno truffaldini che ormai chiunque conosce e sa come affrontare, di recente sono state rilevate nuove tecniche più raffinate e insidiose che è bene conoscere per difendersene:

• Smishing: le potenziali vittime vengono contattare via SMS dai criminali che cercano di indurle a fornire informazioni personali o bancarie, oppure a cliccare su link che scaricano malware sui telefoni. Gli attacchi più sofisticati utilizzano tecniche di social engineering attraverso le quali raccolgono dati personali delle vittime designate - tipo i siti di commercio frequentati, gli amici, le banche delle quali sono clienti - così da carpirne meglio la fiducia e di conseguenza i dati cercati. Dopo di che confezionano degli SMS mirati, falsi ma molto realistici, che inducono i destinatari a giudicarli veritieri e quindi a rispondervi positivamente..
• SMS spoofing: in questo caso, il mittente di un messaggio viene camuffato mostrando al destinatario un testo alfanumerico anzichè un numero di cellulare. A differenza di quello che si può pensare, non è illegale e può essere utilizzato anche per applicazioni valide. Un esempio sono i bulk service message inviati ai clienti per avvisarli della disponibilità di download della fattura in seguito a una transazione appena avvenuta, gli alert via SMS per comunicazioni importanti da aziende o enti governativi e i Whistle-blowing per denunciare in modo anonimo comportamenti scorretti di persone o aziende. L’SMS spoofing spesso viene utilizzato dai truffatori per imitare messaggi di aziende legittime come banche, società di spedizioni, uffici delle imposte e persino il datore di lavoro, nel caso di attacchi mirati. Non rendendosi conto della frode, i destinatari rischiano di cliccare sui link, scaricando così il malware sul proprio telefono o venendo reindirizzarti a pagine false progettate per esfiltrare dati sensibili. Un'altra tattica è utilizzare l'SMS spoofing per falsificare le conferme di pagamento per l'acquisto di articoli costosi da privati o aziende: i truffatori si offrono di pagare tramite bonifico bancario, ma invece di effettuare il pagamento, falsificano il messaggio di conferma da parte della banca con il riferimento corretto e l'importo esatto. Questa frode è particolarmente diffusa sulle pagine di compravendita che non prevedono controlli di identità rigorosi.
• SIM swapping: è un processo che i truffatori sfruttano per impadronirsi dei numeri di cellulare di altre persone, contattando il provider e utilizzando alcune semplici tattiche di social engineering per fingersi il legittimo intestatario del numero telefonico. Una volta rubato l’account, il criminale ha accesso a tutti i dati personali della vittima e alla sua casella e-mail e può ricevere le notifiche 2FA necessarie per cambiare le password di banca e carte di credito. I servizi di rilevamento utilizzano una serie di fattori per segnalare i tentativi di appropriazione andati a buon fine ma anche quelli non riusciti, controllando, ad esempio, il registro IMSI per verificare eventuali modifiche della data di attivazione della SIM.

Se da un lato gli utenti debbono porre molta attenzione a questo genere di messaggi per difendersene, dall'altro gli operatori di telecomunicazioni debbono attrezzrsi per rilevare e prevenire le frodi via SMS perpetrate a danno dei propri clienti. Cosa che oggi diventa sempre più semplice e conveniente grazie ai firewall SMS che, oltre a fornire il link a un database costantemente aggiornato di numeri e URL dannosi, rilevano in modo proattivo le minacce sfruttando le capacità offerte dal machine learning. In tal modo diventa anche possibile rilevare i MSISDN che non sono "clienti reali" in base al riconoscimento della SIM box che è in grado di fornire un'analisi della reputazione MSISDN.

Al proposito, Vittorio D’Alessio, Country Manager Italy di Infobip, ha rassicurato gli operatori e gli utenti sulle effettive possibilità di prevenire e difendersi efficacemente da questi criminali: "In un report che abbiamo pubblicato recentemente, abbiamo documentato che grazie ad un nostro firewall è stato possibile rilevare alcune nuove tipologie di frodi che si stavano diffondendo a livello globale. Il nostro firewall ha, infatti, identificato uno stile insolito nel contenuto degli SMS che non sembrava essere né traffico A2P, né messaggistica P2P legittima ma nemmeno spam, poiché i messaggi sono stati ricondotti a mittenti legittim. Le indagini hanno dimostrato che il traffico veniva instradato attraverso una particolare applicazione di terze parti in grado di aggirare le tariffe internazionali per i messaggi. A questo punto, abbiamo allertato gli operatori di telefonia mobile consentendo loro di intervenire tempestivamente per proteggere le proprie attività e i propri clienti. Nello stesso tempo, abbiamo aggiornato le capacità del nostro firewall SMS mettendolo in grado di rilevare e bloccare automaticamente questi messaggi. Una soluzione che si è dimostrata estremamente accurata, con meno dello 0,1% di falsi positivi”.

La difesa contro la criminalità informatica va quindi portate avanti su entrambi i fronti, così come va fatto anche nel mondo reale: gli utenti debbono stare atttenti a non abboccare agli inganni dei truffatori che incontrano sulla soglia di casa, per strada o attraverso il web o il loro cellulare. Nel contempo, gli operatori telefonici e internet, alla stessa stregua della Polizia che dovrà organizzarsi e attrezzarsi per proteggere le potenziali vittime delle truffe e bloccare i criminali dopo averli individuati.