LA TRUFFA DELL’SMS SPOOFING: MODALITA’ DI ATTACCO, FASI ESECUTIVE E POSSIBILI DIFESE.
15044
post-template-default,single,single-post,postid-15044,single-format-standard,bridge-core-3.1.3,qode-page-transition-enabled,ajax_fade,page_not_loaded,,qode-theme-ver-30.2,qode-theme-bridge,qode_header_in_grid,wpb-js-composer js-comp-ver-7.4,vc_responsive

20 Lug LA TRUFFA DELL’SMS SPOOFING: MODALITA’ DI ATTACCO, FASI ESECUTIVE E POSSIBILI DIFESE.

Posted at 12:43h in News, Truffe telematiche by
59 Likes

L’attacco sms spoofing è una forma di phishing attack in grado di ingannare la vittima attraverso il camuffamento del numero mittente del messaggio.

La maggiore capacità decettiva della frode informatica in esame è legata proprio al mezzo di comunicazione impiegato nella sua esecuzione, l’sms, capace di generare minore diffidenza nel pubblico di utenti rispetto ad altro mezzo di comunicazione quale ad esempio una comunicazione mail, notoriamente ormai legata alle più risalenti forme di phishing.

Gli elementi che caratterizzano l’attacco spoofing sono l’alterazione dell’ID mittente del messaggio e la capacità del medesimo di far inserire l’sms nella chat del cellulare della vittima nella quale sono presenti gli sms originali provenienti dall’intermediario. Più precisante la giurisprudenza dell’Arbitro Bancario lo descrive come un attacco “che consiste nella manipolazione dei dati relativi al mittente di un messaggio per far sì che esso appaia provenire da un soggetto differente – in questo caso, dall’intermediario – rimpiazzando il numero originario con un testo alfanumerico (ossia quello utilizzato dall’intermediario per i propri messaggi genuini). In tal modo, il truffatore può inviare SMS-civetta che sembrano provenienti da numeri o contatti legittimi.”1

E’ quindi netta la capacità di tale frode di creare un’ effettiva intromissione dell’hacker nel canale di comunicazione scelto proprio dal prestatore di servizi di pagamento per la comunicazione dei codici OTP (One Time Password) utili alla disposizione di operazioni di pagamento con modalità telematiche.

Un aspetto, quest’ultimo, capace di incrementare l’affidamento della vittima nella comunicazione fraudolenta e indurla a seguire le indicazioni contenute nel messaggio.

Una conclusione che trova aperta conferma anche nella lettura che il Collegio di Coordinamento dell’Arbitro Bancario ha offerto di tale fenomeno affermandone la maggiore capacità di ingannare l’utente di servizi di pagamento poichè In sostanza, il messaggio truffaldino verrebbe visualizzato negli smartphone insieme a precedenti messaggi legittimi provenienti effettivamente dal PSP, aumentando la probabilità che il messaggio stesso venga considerato genuino (segnalazione tratta da “2018 Payment Threats and Fraud Trends Report”, pubblicato in data 1/12/2018 dall’European Payments Council (EPC))2

Nelle sue fasi esecutive l’attacco viene finalizzato dall’hacker attraverso l’invio dell’sms con ID mittente camuffato e contente al suo interno un falso testo di alert, nel quale viene richiesta al destinatario una azione correttiva al (falso) problema comunicato. A tale scopo l’sms contiene un link, nella cui stringa spesso si rilevano riferimenti all’intermediario o a normative di disciplina del mercato dei pagamenti quali la protezione dei dati o la direttiva PSD.

Una volta cliccato il link la vittima sarà dirottata verso una fake page nella quale le verranno richiesti e raccolti i dati utili all’accesso al proprio servizio di pagamento.

A tale attacco spesso si associano anche chiamate telefoniche nelle quali il sedicente operatore tenta di persuadere la vittima a seguire le indicazioni indicate nell’sms oppure richiede direttamente codici e dati all’ignaro interlocutore.

Un attacco che quindi, presenta una elevata capacità di generare affidamento in chi lo riceve sia per le caratteristiche dell’sms sia perchè il medesimo si incasella tra quelli autentici ricevuti dal proprio prestatore di servizi. Evidente, infine, la capacità di tale frode di sfruttare sistemi di comunicazione che solitamente impiegano tempi di reazione brevi (sms, telefonata) e, soprattutto, di coinvolgere nella loro esecuzione numerazioni telefoniche degli utenti spesso collegate a servizi di pagamento.

Le possibili difese avverso tali forme di attacco sono quelle legate ad un attento esame delle comunicazioni ricevute. Occorre infatti fare attenzione al form dell’sms ricevuto, esaminare con attenzione il mittente e, soprattutto il link in esso allegato. Infine occorre sempre tenere presente ciò che numerose campagne di informazione poste in essere dai prestatori di servizi di pagamento hanno evidenziato e cioè che questi ultimi non chiedono mai password o codici ai propri clienti né con tali modalità nè con altre.

Qualora si incorra in tale frode occorre immediatamente disconoscere le operazioni eventualmente eseguite a mezzo di tale frode presso il proprio intermediario e sporgere denuncia presso le competenti autorità. E’ poi utile valutare le possibilità di rimborso delle stesse attraverso un esame degli eventi che hanno caratterizzato la frode poiché sull’elevata complessità dell’attacco in questione si è pronunciata favorevolmente sia la giurisprudenza dell’Arbitro Bancario che quella ordinaria.

Avv. Francesco Cocchi

1ABF, Collegio di Bologna, decisione n.7048/2020.

2ABF, Collegio di Coordinamento, decisione n. 22745/2019.

Tags:
,