Spoofing telefonico o Caller ID spoofing: cos'è e come difendersi

Quanti di noi, rispondendo a una telefonata del numero della nostra banca, esiterebbero a fornire informazioni personali? È proprio su questo che contano i cybercriminali specializzati nello spoofing telefonico. Vediamo di che si tratta.

Che si intende per spoofing telefonico?

Detto anche Caller ID spoofing, lo spoofing telefonico è una tecnica che consiste nell'effettuare telefonate o inviare messaggi che all'apparenza arrivano da numeri di telefono noti al destinatario, come quello della banca, il numero di assistenza del proprio operatore telefonico e così via. In questo senso, è stretto parente delle tecniche di vishing e smishing.

Facciamo un paio di esempi:

• un utente riceve una telefonata dal numero della propria banca, in cui gli viene chiesto di confermare i dati della propria carta di credito in seguito ad alcune operazioni sospette;
• un SMS proveniente all'apparenza dall'azienda con cui il destinatario ha un contratto per una fornitura di energia elettrica, contenente un link da cliccare per inviare il pagamento di una bolletta non saldata.

In entrambi i casi, a effettuare le richieste sono dei cybercriminali specializzati nel mascherare l'ID del chiamante (o del mittente dell’SMS). Ma come?

Come avviene lo spoofing?

Lo spoofing telefonico si basa sull'utilizzo di servizi VoIP (Voice over Internet Protocol), grazie ai quali le telefonate vengono effettuate tramite internet e il mittente ha la possibilità di scegliere il numero di telefono da mostrare al destinatario. Si tratta di sistemi utilizzati comunemente in moltissimi ambiti, ad esempio nei call center, e che purtroppo possono anche essere impiegati a scopo truffaldino.

Come difendersi dallo spoofing telefonico

Le tecniche di spoofing tramite mascheramento del Caller ID non sono passate inosservate alle autorità e in particolare all'AGCOM, che negli ultimi tempi ha cercato di limitarle. Tuttavia, quando le chiamate provengono dall'estero può essere più complesso bloccarle, ed è per questo che il caller ID spoofing è oggi una delle tecniche di phishing più pericolose e difficili da smascherare per le potenziali vittime.

Tuttavia, ci sono alcuni principi che possiamo applicare per proteggerci:

• Se riceviamo un SMS che ci richiede di cliccare su un link, dobbiamo controllare con attenzione l'URL, ovvero l'indirizzo web su cui ci viene chiesto di cliccare. Lo conosciamo? È davvero l'indirizzo dell'azienda che dice di essere, o gli assomiglia soltanto? Se invece l'SMS ci chiede di rispondere inviando dei dati personali o finanziari, è sempre meglio non farlo.
• In caso di chiamate vocali in cui ci viene chiesto di condividere delle informazioni personali o bancarie, ad esempio da qualcuno che sostiene di essere la nostra banca, dobbiamo chiudere la telefonata e chiamare noi l'azienda/banca/ente in questione, utilizzando un contatto ufficiale (chiamando il numero verde, o magari utilizzando la nostra app di home banking).

La protezione dei nostri dati è fondamentale per non essere vittima di furti d'identità e frodi creditizie. Per farlo, puoi dotarti di una protezione in più grazie a IDENTIKIT, il servizio sdi Mister Credit che intercetta i tentativi di frode e ti avvisa se sei vittima di furto d'identità.