La truffa dello spoofing è tornata, più pericolosa che mai
Una nuova campagna di telefonate truffa è in corso ed è molto pericolosa: usa la tecnica dello spoofing e sfrutta il nome della Polizia Postale per svuotare il conto delle vittime
Dalla Questura di Milano arriva un allarme specifico su una pericolosa truffa in corso. Una truffa di tipo misto, con metodi sia tradizionali che digitali e che, per come è congeniata, ha un elevato potenziale e, di conseguenza, è molto rischiosa per le vittime.
I truffatori, infatti, utilizzano la tecnica dello “spoofing” del numero di telefono per spacciarsi per operatori della Polizia Postale di Milano e per convincere le vittime a pagare del denaro.
La truffa della Polizia Postale
La truffa è molto tradizionale per il mezzo di comunicazione usato: il telefono. I truffatori, infatti, telefonano personalmente alle potenziali vittime, spacciandosi per personale della Postale di Milano e, con l’inganno, le convincono ad effettuare dei bonifici verso i loro conti correnti.
La truffa funziona perché il truffatore è reso credibile dalla parte digitale dell’operazione: grazie allo spoofing, infatti, la vittima visualizza sul suo smartphone una chiamata in entrata dal numero 0243333011, che è il vero numero della Polizia Postale di Milano e che, di conseguenza, il telefono mostra con l’indicazione “Polizia Postale Milano“.
Il finto operatore di Polizia parla con la vittima e lo avverte di un problema al suo conto, che si può risolvere solo spostando i soldi tramite dei bonifici da effettuare su conti che, naturalmente, sono controllati dal truffatore stesso. La vittima, così, svuota il suo conto da solo e resta senza il becco di un quattrino.
Come funziona lo spoofing
Lo spoofing è una tecnica di camuffamento del numero di telefono, molto spesso usata dai call center più insistenti, oltre che dai truffatori. Consiste nell’effettuare una telefonata non su rete tradizionale, ma su rete VoIP (Voice over IP, cioè chiamate tramite Internet).
Nelle chiamate VoIP la voce viene trasmessa sotto forma di dati, di bit, insieme ad altri dati accessori come il numero di telefono e il cosiddetto “Caller ID“, cioè il nome dell’utente chiamante che deve essere visualizzato sul telefono di chi riceve. Sono tutti dati che possono essere modificati a piacere, quindi chi usa questa tecnologia può simulare una chiamata da qualsiasi numero e con qualsiasi Caller ID.
Nel caso specifico i truffatori simulano una telefonata dal numero 0243333011, a cui effettivamente corrisponde il Caller ID della Polposte. Per questo motivo gli smartphone, sia Android che iPhone, non filtrano la chiamata come spam: quando controllano se ID e numero corrispondono, infatti, gli smartphone ricevono risposta positiva.
Come riconoscere la chiama truffa
A questo punto la domanda nasce spontanea: se il telefono non riconosce che il chiamante non è chi dichiara di essere, come fa l’utente a difendersi dalla truffa?
Ma non solo: il truffatore, durante la chiamata, per convincere la vittima a volte lo invita persino a connettersi a Internet e verificare che il numero da cui proviene la chiamata è effettivamente quello della Polizia Postale.
In alcuni casi il truffatore fa anche di più: prima di fare la chiamata col numero della Polposte invia un SMS dal numero della banca della vittima. L’SMS, nel quale si parla di una violazione del conto, poiché ha lo stesso numero e Caller ID della banca viene mostrato dal telefono insieme a quelli veri dell’istituto di credito.
In altri casi l’SMS sembra provenire da Poste Italiane, ma il meccanismo della truffa è lo stesso: creare panico nella potenziale vittima per poi fare la telefonata rassicurante della Polizia, che invita a fare bonifici per risolvere il problema.
La truffa è talmente efficace che sia la Polizia di Stato che il reparto di Polizia Postale e la Questura di Milano hanno tutte diramato dei comunicati stampa per avvertire la popolazione del rischio.
La Polizia invita tutti coloro che ricevono telefonate simili a non credere, mai e per nessun motivo, a chi chiede di fare dei bonifici verso conti di altre persone. Men che meno lo farebbe mai un operatore di Polizia.
E’ anche possibile avere conferma della truffa, in modo molto semplice: basta terminare la chiamata con il truffatore e richiamare lo stesso numero, che è effettivamente quello della Polizia Postale, e chiedere se la telefonata precedente proveniva effettivamente da un poliziotto.
