La parola spoofing è un contenitore all’interno del quale ci sono diverse tecniche: email, telefonate ma anche messaggi inviato tramite app di messagistica istantanea come Wahtsapp o semplici SMS (in questo si parla di smishing, una delle tante declinazioni delle tecniche di spoofing).
Tecniche che assumono una varietà sempre più ampia con l’unico intento di rubare informazioni sensibili (il cosiddetto phishing) o avere accesso ai conti bancari. Ecco cosa c’è da sapere e come difendersi.
Le tante facce dello spoofing
Una volta contattato dai malintenzionati, il destinatario non si pone problemi, almeno non subito, perché pensa di essere stato contattato da una persona o un’organizzazione che gli è nota. La realtà però è diversa.
C’è l’IP spoofing, ovvero la tecnica con cui i malintenzionati convincono la vittima a visitare un sito, per esempio quella della propria banca, trasmettendogli però un link che conduce a una copia esatta del sito originale. Dopo avere chiesto alla preda designata di effettuare la procedura di identificazione, inserendo nome utente e password, che i malintenzionati riescono a leggere in tempo reale, convincono il loro interlocutore con una scusa – di norma legata al problema per il quali la vittima viene contatta dal sedicente istituto bancario – a comunicargli il codice di accesso rilasciato mediante un apposito dispositivo oppure per messaggio e il gioco è fatto. I malfattori hanno pieno accesso al conto della preda e possono disporre del suo denaro. Un’azione rapida e pulita.
Lo stesso metodo può essere usato per fare in modo che la vittima rilasci informazioni delicate e, tra queste, figurano informazioni apparentemente innocue tra le quali, per esempio, il nome del proprio istituto bancario o il proprio numero di telefono che poi viene venduto a terzi oppure utilizzato per tentare di estorcere denaro.
Un esempio
Supponiamo di avere un conto corrente presso il bancoxy, nome di fantasia. Dei malintenzionati, tramite tecniche di spoofing, possono mandare email che sembrano spedite proprio dal servizio di assistenza dell’istituto di credito. Ne mandano a decine di migliaia di destinatari alla cieca, a questo punto devono verificarsi due situazioni concatenate tra loro. La prima è che il destinatario di tali email abbia davvero una relazione bancaria con il bancoxy, la seconda è che il destinatario abbocchi all’amo e risponda all’email che, normalmente, richiede alla preda di fare un’azione precisa come, per esempio, indicare alcune informazioni nella risposta oppure contattare un numero di telefono. Si tratta di email in cui, il conto corrente del destinatario, è oggetto di una situazione particolare alla quale solitamente occorre porre rimedio con estrema urgenza: un blocco amministrativo, un bonifico corposo fatto a un soggetto estraneo o un prelievo dubbio effettuato a un bancomat.
Questa tecnica ha un’incidenza di successo bassa (ma il fatto che viene iterata nel tempo significa che i malfattori la trovano redditizia) perché il destinatario, come detto, deve avere davvero avere rapporti con il bancoxy e deve cascare nella trappola. Se, con un’attività di spoofing svolta in precedenza, i criminali sono già in possesso del nome dell’istituto bancario della vittima designata e anche del suo numero di telefono, contattarlo facendo apparire sul display del suo smartphone la “caller ID” (l’identificativo del chiamante) della sua banca diventa relativamente facile. A questo punto l’incidenza di successo può salire.
Va da sé che questo è un esempio e che i malintenzionati non mirano soltanto ai conti correnti ma possono indurre le vittime a rilasciare loro qualsiasi tipo di informazione.
Come riconoscere lo spoofing e come proteggersi
Ci sono diversi modi e rispondono tutti alla medesima logica. Se è vero che occorre essere utenti con un minimo di esperienza per controllare l’effettivo indirizzo email di un mittente, è altrettanto vero che la norma di non rispondere mai a email o messaggi mediante i quali ci vengono chieste informazioni sensibili è applicabile anche dai meno avvezzi all’uso di strumenti digitali.
Se davvero il nostro conto bancario fosse oggetto di una situazione critica e, in assenza di una nostra risposta, questo potrebbe essere bloccato, nessuna banca chiederebbe mai informazioni sensibili via email o messaggio. Se, facendo leva soprattutto sull’urgenza della situazione, fossimo contattati dalla banca per telefono, varrebbe comunque la pena di prendere un minuto in più, interrompere la telefonata e chiamare la banca per controllare che l’urgenza sia effettiva e che la telefonata ricevuta sia stata davvero fatta dal nostro istituto di credito.
Allo stesso modo, benché apparentemente inviati da mittenti noti, mai cliccare sui link che riceviamo via sms, messaggio istantaneo o email se questi conducono a siti che non conosciamo o della cui identità non siamo certi. Basta copiare il link e incollarlo in una sandbox, un servizio che verifica la bontà dei link al nostro posto. Ci sono sandbox gratuite come Websense o Checkphis.
Inoltre mai comunicare dati sensibili online anche a persone che veramente conosciamo. Se, in situazioni contingenti, è necessario trasmettere credenziali di servizi online a un parente o a un famigliare, si possono usare alcuni semplici accorgimenti: comunicargli il nome utente a voce per telefono e inviargli la password per email o per messaggio. Questo ha in realtà poco a che vedere con lo spoofing ma rimane una buona abitudine comportamentale, un principio da applicare in ogni caso.
Le regole generali sono tre: mai comunicare per telefono, per email o messaggio ciò che comunicheremmo con discrezione a un nostro caro fisicamente presente (numeri di documenti di identità, codici di accesso, numeri di telefono, eccetera) e, se per un motivo reale fosse necessario procedere in tal senso, dividere le informazioni da comunicare e trasmetterle secondo modalità differenti.
La seconda regola è non farsi prendere dalla fretta. Se davvero la nostra banca o un nostro fornitore di energia ci dovesse comunicare un disguido, probabilmente non lo farebbe pochi minuti prima che questo diventi un danno irreparabile.
Per la terza semplice regola serve un esempio: non di rado si ricevono email da corrieri che invitano a cliccare su un link.
Se anche stessimo davvero attendendo un pacco da quello stesso corriere, vale la pena controllare che il numero della spedizione sia davvero il nostro e, nel dubbio, immettere in una sandbox il link che ci è stato trasmesso. La fretta non paga quasi mai nella vita offline, tanto meno nella vita online.
- dal lunedì al venerdì dalle ore 10:00 alle ore 20:00
- sabato, domenica e festivi dalle ore 10:00 alle ore 18:00.