Spoofing, la truffa con cui ti svuoto il conto corrente con un cellulare

Quante volte abbiamo visto in televisione o al cinema scene in cui banditi con un cappuccio in testa o con il viso coperto da una mascherina (era prima del Covid) e la pistola in pugno entravano nella banca di turno gridando "Questa è una rapina!". Il nostro mondo completamente digitalizzato sta creando un problema per sceneggiatori e Registi. Non vedremo mai più gli assalti alla diligenza stile film Western o colpi elaborati come nei blockbuster a la Fast n Furious.

Le rapine in banche non saranno più fatte, anzi, non vengono più fatte con la pistola in pugno, passamontagna e la macchina accesa fuori con il palo che controlla la strada, pronto per una fuga rocambolesca. Cosa è successo, abbiamo completamente debellato il crimine? Purtroppo no, ma grazie alle ultime tecniche di Criminal Hacking, presto i classici "attrezzi del mestiere" potrebbero solo essere un cellulare, un PC e un pizzico di ingegnosità.

Questo perché, nonostante solitamente il livello di sicurezza dei nostri conti corrente sia molto alto, questo ha poco significato se siamo noi a "offrire" inconsapevolmente i nostri accessi ai criminali.

Come? Si tratta dello spoofing (dall'inglese spoof o parodia/imitazione), una tecnica di Criminal Hacking che combina dati rubati, sms e telefonate per entrare nel nostro conto corrente e prontamente svuotarlo.Ai malviventi occorrono tre dati: • codice utente, • Pin • accesso "virtuale" al nostro smartphone.

Non ci sono più i rapinatori di una volta.

Il primo step è quello di scegliere la propria vittima. Per farlo i criminali avranno bisogno di un nome, un numero di telefono e del nome della banca presso la quale sono depositati i soldi.

Come ottengono tutto questo? Sfortunatamente, a causa delle numerose fughe di dati, data Breach o data leak che hanno interessato alcuni istituti di credito, piattaforme di eCommerce e/o qualsiasi sistema che prevedeva l'inserimento dei dati di conto corrente, molte dei nostri dati sensibili, come quelli di cui necessitano i truffatori, sono già in rete.

Molte di queste informazioni sono completamente disponibili con una semplice ricerca su Google.Provate a cercare "download collection1"; avrete a disposizione milioni di email e password.

Altre informazioni, quelle di maggiore valore sono invece disponibili navigando sul Dark Web, quella parte "oscura di internet", non accessibile dal nostro browser di fiducia dove avvengono queste compravendite.

Le informazioni, spesso disponibili per pochi dollari, vengono acquistate in blocco e con queste in mano si da inizio alla seconda fase.

Tutto ha inizio tramite un innocente sms che giunge sul telefono della vittima. Questo è in tutto e per tutto simile a quello della nostra banca, dal wording al numero stesso da cui arriva che ci sembra familiare, se non proprio identico a quello della nostra banca. È qui che entra in gioco lo Spoofing vero e proprio, un meccanismo che permette al criminale di falsificare l'identità e il mittente di un messaggio – in questo caso l'istituto di credito –.

Lo Spoofing è la L'arma delle Rapine in Banca

Il messaggio recapitato al nostro cellulare solitamente ci avverte di qualche imminente pericolo con un testo creato a regola d'arte per trasmettere urgenza e criticità della situazione. Può essere, per esempio, una notifica che ci segnala che c'è stata attività sospetta attorno al nostro account o che è stato rilevato un accesso anomalo da un luogo sperduto.Assieme al testo viene solitamente allegato un link. Questo ci porta sulla pagina di login del nostro home banking, dove noi ignari inseriamo le nostre credenziali pronti a fare un reset password o intervenire per bloccare la fantomatica attività sospetta.

Ottenute queste credenziali all'aggressore manca solo l'ultimo tassello: lo smartphone stesso.

Per ottenerlo fanno una chiamata direttamente sul telefono della vittima. Anche questa chiamata sarà assolutamente insospettabile all'apparenza.Il numero che apparirà sul display, infatti, sarà proprio quello della nostra filiale o almeno quello della banca (sempre tramite la stessa tecnica).

I siti di Spoofing, infatti, offrono infatti anche dei software in grado di compiere questo "inganno".

In passato, lo spoofing dell'ID chiamate, richiedeva una conoscenza avanzata delle apparecchiature telefoniche che poteva essere piuttosto costosa.Tuttavia, grazie a software open source (come Asterisk o FreeSWITCH), è oggi possibile per i criminali impersonare qualsiasi numero di telefono con costi e sforzi minimi.Per chi non avesse esperienza di questi software, nessun problema, sempre Google ci dà una mano. E' sufficiente cercare su Google "spoofing app" e troveremo una lista di applicazioni user friendly a disposizione. Uno dei componenti della banda, a questo punto, chiama e chiede alla vittima di leggere i messaggi che il sistema sta inviando sul suo smartphone.

Les jeux sont faits

Il gioco è fatto. Proprio in quel momento ci stanno infatti rubando i codici con cui disattiveranno il nostro telefono e attiveranno le funzioni comando sul loro. Anzi, la beffa è che alla vittima arriverà pure l'sms che lo informa del nuovo smartphone da cui è ora attivo il servizio. Ora i malviventi hanno tutte le credenziali. Gli resta solo l'ultima opera: svuotare il conto corrente in fretta e furia.

Di norma i soldi vengono spostati entro poco tempo o su carte prepagate intestate a nullatenenti e su c/c internazionali. Eppure basterebbe ricordare una semplicissima regola: quella per cui una banca non chiede mai al proprio cliente di confermare le sue credenziali tramite sms.
E nel dubbio dovremmo essere noi a chiamare la banca ai suoi numeri ufficiali, anziché essere noi a rispondere alle loro pseudo-chiamate!
L'aspetto positivo? Non avremo più il rischio di essere presi in ostaggio, a parte il rischio lockdown