Che cosa è l'SMS Spoofing?
Lo spoofing SMS è la pratica di alterare le informazioni del mittente in un messaggio di testo per farlo apparire come se provenisse da un numero di telefono o da un ID mittente diverso. A differenza degli SMS tradizionali, in cui il numero del mittente viene verificato dall'operatore, i messaggi spoofing manipolano il campo mittente, consentendo ad aggressori o operatori di marketing di impersonare entità legittime come banche, agenzie governative o aziende affidabili. Mentre alcuni tipi di spoofing hanno usi legittimi (ad esempio, le aziende che mostrano il nome dell'azienda anziché un numero), lo spoofing dannoso è una tattica comune nelle campagne di phishing (smishing), frode e spam.
Perché lo spoofing degli SMS è un problema?
Lo spoofing degli SMS comporta rischi significativi per la sicurezza e la privacy perché sfrutta la fiducia intrinseca che le persone ripongono negli ID chiamanti e nei nomi dei mittenti.
I criminali informatici utilizzano messaggi falsificati per:
- Indurre i destinatari a rivelare informazioni sensibili (ad esempio, falsi avvisi bancari che portano al furto di credenziali).
- Diffondere malware tramite link dannosi camuffati da notifiche legittime.
- Aggira i filtri antispam, poiché i messaggi falsificati spesso imitano mittenti attendibili.
- Commettere frodi finanziarie, come false notifiche di consegna o truffe sui premi.
Per le aziende, lo spoofing può danneggiare la reputazione del marchio se i clienti ricevono messaggi fraudolenti che sembrano provenire dai loro numeri ufficiali.
Come funziona lo spoofing degli SMS?
Lo spoofing sfrutta le vulnerabilità del protocollo di segnalazione SS7 (utilizzato nelle reti di telecomunicazioni) o abusa dei servizi legittimi di gateway SMS.
I metodi comuni includono:
- Spoofing dell'ID mittente alfanumerico: utilizzo del nome di un'azienda (ad esempio "YourBank") al posto di un numero di telefono, operazione consentita da alcuni gateway senza verifica.
- Exploit del protocollo SS7: manipolazione della segnalazione delle telecomunicazioni per falsificare il numero del mittente.
- Abuso di gateway: alcuni provider di SMS offrono lo spoofing come funzionalità (ad esempio per il servizio clienti), ma gli aggressori ne abusano.
- Frode sulla SIM Box: utilizzo di hardware per mascherare la vera origine dei messaggi.
Una volta falsificati, i messaggi appaiono autentici ai destinatari, rendendoli più propensi a interagire con contenuti dannosi.
Chi utilizza lo spoofing degli SMS?
- Cybercriminali: per attacchi di phishing, truffe e ingegneria sociale.
- Truffatori – Per impersonare banche, agenzie governative o servizi di consegna.
- Aziende legittime: alcune utilizzano lo spoofing per messaggi pubblicitari (ad esempio, "Amazon" al posto di un numero casuale).
- Ricercatori e hacker etici: per dimostrare le vulnerabilità delle telecomunicazioni.
Quando è diventato diffuso lo spoofing degli SMS?
Lo spoofing esiste dai primi anni 2000, ma ha acquisito notorietà negli anni 2010 con l'ascesa dello smishing (SMS phishing). Attacchi di alto profilo, come falsi avvisi dell'IRS o di banche, ne hanno evidenziato i rischi. Da allora, le autorità di regolamentazione delle telecomunicazioni hanno imposto regole più severe per la verifica dell'ID del mittente, ma lo spoofing rimane una minaccia a causa di falle legacy di SS7 e di un'applicazione non uniforme a livello globale.
SMS Spoofing vs. Caller ID Spoofing: un confronto
Sebbene entrambi manipolino le informazioni del mittente, esistono delle differenze fondamentali:
| Aspetto | Spoofing degli SMS | Spoofing dell'ID chiamante |
| Metodo | Modifica l'ID del mittente/numero di telefono dell'SMS | Falsifica il numero visualizzato del chiamante |
| Utilizzi comuni | Phishing, spam, impersonificazione | Chiamate automatiche, chiamate truffa, impersonificazione |
| Protocollo sfruttato | Vulnerabilità del gateway SS7 o SMS | Vulnerabilità VoIP/SIP |
| Difficoltà di rilevamento | Più difficile da rintracciare (nessun segnale vocale) | Più facile da segnalare (strumenti di analisi delle chiamate) |
| Risposta normativa | STIR/SHAKEN per SMS sta emergendo | STIR/SHAKEN obbligatorio per le chiamate VoIP |
Come proteggersi dallo spoofing degli SMS
- Per gli utenti:
- Verificare i messaggi inattesi contattando direttamente il mittente.
- Evita di cliccare sui link presenti nei testi non richiesti.
- Utilizzare strumenti di segnalazione dello spam (ad esempio la funzione di segnalazione di Messaggi Android).
- Per le imprese:
- Implementare firewall SMS per bloccare i messaggi falsificati.
- Registrare gli ID ufficiali del mittente presso i corrieri.
- Informa i clienti sull'aspetto dei tuoi messaggi legittimi.
- Per i vettori:
- Implementa filtri antispam basati sull'intelligenza artificiale.
- Adottare framework di autenticazione SMS (ad esempio RCS Business Messaging).
Conclusione
Lo spoofing degli SMS rimane una minaccia importante a causa della mancanza di un'autenticazione universale del mittente. Sebbene normative come STIR/SHAKEN per gli SMS siano in fase di elaborazione, potrebbe essere necessaria vigilanza e tecnologie (come la verifica basata su blockchain) per contrastarlo completamente. Per ora, scetticismo e verifica sono le migliori difese contro i messaggi falsificati.
