Spoofing: come funziona, di cosa si tratta e come difendersi

Scritto da

Redazione Pianetacellulare

3 Aprile 2024

Risultano in aumento le comunicazioni via e-mail e SMS che inducono il destinatario a fornire informazioni personali ad un mittente che in realtà non è chi dice di essere: è spoofing.

scritta Spoofing SMS su lavagna con gesso — Spoofing, in aumento l’invio di false comunicazioni via SMS – PianetaCellulare.it (credit: stoatphoto/shutterstock)

Come in più occasioni abbiamo avuto modo di scrivere, c’è chi è a favore e chi contrario alle innovazioni che l’Intelligenza Artificiale sta creando. Perché, come ogni cosa nuova, c’è chi ne fa un uso consapevole e volto a creare servizi e prodotti che possano tornare utili alla società. In altri casi, invece, ci sono malintenzionati che sfruttano una novità per prendere in giro le persone e approfittarsene con lo scopo di guadagnare denaro. L’avvento dell’IA ha portato ad un aumento di malintenzionati che hanno scelto di utilizzare questa nuova tecnologia per creare nuovi modi per truffare le persone. Situazioni del genere capitano perché i governi e gli organi competenti in materia non riescono a stare al passo con la diffusione pubblica delle nuove tecnologie, trovandosi con il dover regolamentare l’utilizzo di qualcosa di nuovo quando ormai è già sul mercato.

A titolo di esempio abbiamo avuto modo di riportare in precedenza come dei malintenzionati siano in grado di utilizzare la tecnica del deep fake per replicare con l’intelligenza artificiale l’immagine e la voce di personaggi famosi per truffare le persone facendogli credere che il volto noto sia promotore di servizi che riescono a fare guadagnare un sacco di soldi in poco tempo. Contenuti falsi – ma riconoscibili – che poi finiscono per diffondersi attraverso campagne pubblicitarie e post sui social. Ci sono però diversi altri metodi che i malintenzionati utilizzano per mietere vittime, come il phishing, ma spicca più di recente la tecnica dello spoofing. Ma di cosa si tratta e, soprattutto, come ci si può difendere?

Spoofing, di cosa si tratta

Se andiamo a guardare la definizione di Spoofing nell’archivio del Computer Emergency Response Team dell’Agenzia per l’Italia Digitale leggiamo quanto segue:

“Lo spoofing è una tipologia di attacco informatico comunemente utilizzata insieme al Social Engineering per falsificare l’identità di un utente, di un dispositivo all’interno di una rete, il mittente di un messaggio di posta elettronica o un certificato.
Sfruttando questa tecnica l’attaccante potrà impersonare un host o un utente con lo scopo di sottrarre dati sensibili, commettere reati celando – in parte – la propria identità, o indurre il destinatario della comunicazione a fornire informazioni credendo di cederle all’utente o all’host reale.”

Concetto di spoofing con persona incappucciata senza volto — I malintenzionati usano lo spoofing per falsificare l’identità del mittente delle comunicazioni – PianetaCellulare.it (credit: Bits And Splits/shutterstock)

La tecnica dello spoofing viene comunemente utilizzata dai malintenzionati – detti spoofer – che fanno finta di essere una persona o un’azienda per farsi dare dalle loro vittime delle informazioni personali. Per esempio, un malintenzionato che invia una comunicazione alla vittima fingendosi la sua banca. E’ più frequente l’utilizzo di questa tecnica tramite e-mail. Tuttavia, come nota IlMessaggero, gli spoofer sono sempre alla ricerca di modi nuovi per mettere sotto pressione le potenziali vittime e farle cadere nella trappola, ad esempio portandole a non pensare troppo su cosa sta succedendo per non dare loro il tempo di pensare al fatto che possa trattarsi di una truffa.
Ed è così che si starebbe diffondendo lo spoofing via SMS. Da quanto appreso, lo spoofer invia alla potenziale vittima un messaggino in cui allarma di un movimento sospetto registrato nel proprio conto bancario (o postale), con l’aggiunta dell’informazione che arriverà una chiamata da parte di un operatore incaricato ad analizzare il caso per incrementare la confusione nella mente della vittima e spingerla a fidarsi della veridicità della comunicazione. Ma, in realtà, tutto è falso.

Come difendersi e accorgersi

Il portale web dell’Agenzia per l’Italia Digitale conferma che lo spoofing è più frequente per mezzo di posta elettronica, ma è anche vero che online sta diventando sempre più frequente leggere di utenti che chiedono lumi in merito a strani SMS ricevuti da mittenti che si spacciano per una banca. Il primo consiglio per difendersi da tutto questo è diffidare da e-mail e SMS che menzionano al fatto di provenire dalla propria banca. Se, poi, tali messaggi contengono parole sensazionalistiche o di allarmismo troppo accentuato, anziché entrare in uno stato di panico meglio fare un bel respiro, pensare un attimo e usare il buon senso. Per esempio, se si ha un conto corrente postale e nella comunicazione si fa riferimento ad un conto bancario è già segnale che si tratta di una truffa.
In secondo luogo, evitare le comunicazioni con inviti espliciti, come ‘cliccare qui‘ o ‘premere qui‘ per aggiornare i dati personali o per cambiare la password del proprio account bancario o postale. In generale, evitare di premere in collegamenti che rimanderebbero ad una pagina esterna.
Se poi si sa che la propria banca non invia comunicazioni via e-mail o SMS, diffidare da qualunque messaggio ricevuto tramite questi mezzi.

Nel caso di dubbi…

Nel caso di dubbi si consiglia di contattare direttamente l’assistenza della propria banca, non utilizzando contatti presenti nella comunicazione ricevuta ma andando nella sezione ‘contatti’ del sito web ufficiale della propria banca. Eventualmente, se si desidera cambiare la password del proprio account bancario o postale, farlo esclusivamente tramite il pulsante ‘hai dimenticato il nome utente o la password?‘ che si può trovare nella homepage o nella pagina di accesso del sito web della propria banca, collegandosi ad esso manualmente (digitando il sito web nella barra degli indirizzi del browser o cercando su Google) e no cliccando collegamenti contenuti in comunicazioni ricevute.