Alzi la mano chi non ha mai ricevuto una telefonata sospetta. Magari dal numero della propria banca, o da un presunto ufficio riscossioni, o ancora da un servizio tecnico che promette di risolvere problemi che non sapevamo nemmeno di avere. La tentazione di rispondere è forte, soprattutto quando sul display compare un numero che sembra legittimo, magari persino familiare. Ma c’è un problema: quel numero potrebbe non essere reale. Si chiama caller ID spoofing, o in italiano più prosaico falsificazione dell’identificativo del chiamante, ed è diventata una delle armi preferite dai truffatori digitali. Una tecnica tanto semplice quanto insidiosa che sfrutta una vulnerabilità intrinseca dei moderni sistemi telefonici: la facilità con cui è possibile manipolare le informazioni che appaiono sul display quando riceviamo una chiamata o un SMS.
Il Calling Line IDentifier, abbreviato in CLI, è quell’identificativo che permette ai nostri smartphone di mostrarci chi ci sta chiamando. Quando riceviamo una telefonata, il sistema legge il numero e, se presente in rubrica, ci mostra il nome del contatto. Semplice, affidabile, trasparente. O almeno così crediamo. Perché in realtà questo meccanismo può essere aggirato con una facilità disarmante, soprattutto nell’era dei servizi VoIP, la telefonia via Internet. Esistono infatti numerosi servizi online, app scaricabili dagli store e telefoni fissi IP che permettono di trasmettere chiamate impostando a piacimento il numero visualizzato dal destinatario. Non servono competenze da hacker esperti: basta un minimo di dimestichezza tecnologica e la volontà di ingannare qualcuno. In ambiente mobile la situazione è ancora più critica, con applicazioni dedicate facilmente reperibili che offrono questa possibilità a chiunque.
Ma a cosa serve falsificare un numero di telefono. Gli obiettivi sono sempre gli stessi: denaro, dati personali, accesso ai dispositivi delle vittime. I criminal hacker orchestrano campagne elaborate basate su due varianti del classico phishing: il vishing, ovvero il phishing vocale tramite chiamata telefonica, e lo smishing, che sfrutta invece gli SMS come vettore d’attacco. Le truffe più comuni seguono copioni collaudati. C’è quella dell’ufficio di riscossione crediti, dove un finto operatore intimorisce la vittima sostenendo che ha debiti fiscali arretrati da saldare immediatamente, naturalmente comunicando dati sensibili o effettuando un bonifico urgente. Poi c’è il falso supporto tecnico: qualcuno che dichiara di appartenere all’helpdesk di una grande azienda tecnologica e che necessita di accedere da remoto al computer per risolvere un problema inesistente. In realtà, le istruzioni fornite servono per installare trojan o spyware sul dispositivo della vittima.
Le comunicazioni bancarie fasulle rappresentano forse lo scenario più pericoloso. Un presunto operatore della banca contatta il cliente con un pretesto urgente: un movimento sospetto sul conto, una nuova procedura di sicurezza da attivare, un rimborso da confermare. L’obiettivo è sempre lo stesso: ottenere i codici dispositivi del rapporto finanziario oppure convincere la vittima ad accedere al proprio conto online tramite un link contraffatto che in realtà conduce a una pagina di phishing. Gli SMS meritano un discorso a parte. Ricevere un messaggio apparentemente proveniente da un contatto conosciuto o da un ente legittimo abbassa drasticamente le difese. Un link cliccato senza troppa riflessione può scaricare malware sul dispositivo, attivare abbonamenti a pagamento non richiesti o sottrarre credenziali reindirizzando verso ulteriori pagine web fraudolente.
La domanda sorge spontanea: come possiamo difenderci da una minaccia che letteralmente si nasconde dietro un’apparenza di legittimità. La prima linea di difesa è la consapevolezza. Sapere che il numero visualizzato sul display può essere contraffatto cambia radicalmente il nostro approccio alle telefonate inattese. Nessuna banca, nessun ente pubblico, nessun servizio tecnico legittimo chiederà mai dati sensibili, password o codici di accesso tramite una telefonata non programmata. Sul fronte tecnico, molti operatori telefonici offrono servizi che aiutano a identificare e filtrare le chiamate di spam. Vale la pena verificare se il proprio gestore dispone di queste funzionalità e attivarle. Sia Android che iOS integrano funzioni native per bloccare numeri specifici e segnalare chiamate sospette, strumenti che andrebbero utilizzati sistematicamente.
Quando riceviamo una chiamata da un numero che dichiara di appartenere alla nostra banca o a un ente ufficiale, la procedura più sicura è sempre la stessa: riagganciare e richiamare autonomamente utilizzando i numeri di contatto ufficiali reperibili sul sito web dell’istituzione o sui documenti cartacei ricevuti. Sì, può sembrare paranoico, ma in un panorama dove la falsificazione dell’identità telefonica è tecnicamente banale, la paranoia diventa sana prudenza. Gli SMS meritano la stessa diffidenza. Link accorciati, richieste urgenti, promesse di premi o rimborsi: sono tutti campanelli d’allarme che dovrebbero indurci a verificare autonomamente l’informazione attraverso canali ufficiali prima di compiere qualsiasi azione.
Il caller ID spoofing rappresenta l’ennesima dimostrazione di come la tecnologia possa essere piegata a scopi malevoli sfruttando la fiducia che riponiamo nei sistemi che usiamo quotidianamente. Quel numero sul display, così rassicurante nella sua familiarità, potrebbe essere nient’altro che un travestimento digitale indossato da qualcuno che ha intenzioni tutt’altro che benevole. E finché i sistemi telefonici non integreranno meccanismi di verifica più robusti, l’unica vera protezione rimane quella più antica: il dubbio metodico e la verifica indipendente.
