Nelle truffe “da finto operatore” la vittima è spesso convinta di aver interloquito davvero con l’intermediario per un motivo semplice: il numero visualizzato sul display coincide con quello reale ed i messaggi SMS ricevuti compaiono nella stessa conversazione dove arrivano anche comunicazioni autentiche.
Tuttavia, l’insidia si nasconde proprio qui, poichè questi indizi, che istintivamente associamo all’autenticità, possono essere costruiti artificialmente, dato che non provano l’identità di chi chiama e non garantiscono che il mittente dell’SMS sia davvero quello che dichiara di essere.
Perché il numero sul display può essere “quello reale” (caller ID spoofing)
Il numero che vedi sul display non è una “firma” che certifica chi sta chiamando: in molti casi è semplicemente un’informazione di presentazione che può essere manipolata lungo certe tratte della rete, soprattutto quando la chiamata viaggia su infrastrutture VoIP o su interconnessioni internazionali.
Proprio per questo AGCOM è intervenuta imponendo ai gestori di rete l’adozione di filtri tecnici per bloccare, prima che raggiungano gli utenti, le chiamate con identificativo del chiamante contraffatto (spoofato), in un primo momento con particolare attenzione alle chiamate provenienti dall’estero e poi estendendo l’attenzione anche alle chiamate che simulano numeri mobili.
Questi interventi sono utili perché riescono a mitigare in maniera significativa il fenomeno, ma non vanno intesi come una garanzia assoluta: i truffatori possono cambiare canali, tratte e modalità operative, e quindi la regola prudenziale resta sempre la stessa, ossia non considerare il numero visualizzato come prova dell’identità e verificare sempre il contatto tramite canali ufficiali e indipendenti.
Perché l’SMS finisce nella “chat vera” (SMS spoofing e raggruppamento dei messaggi)
L’effetto della “chat autentica” nasce da un automatismo molto semplice: molti telefoni raggruppano gli SMS in base al mittente visualizzato (sender ID).
Se arriva un messaggio con la stessa intestazione usata dall’intermediario, il dispositivo tende a inserirlo nello stesso gruppo di messaggi, anche se tecnicamente proviene da un canale diverso.
I truffatori sfruttano questa logica falsificando l’intestazione dell’SMS (sender), così da farlo apparire come proveniente dall’intermediario. In questo modo il messaggio viene inserito nella stessa conversazione dei messaggi autentici, aumenta la credibilità del contatto e si riduce la soglia di allerta; non a caso, questa tecnica è richiamata anche nei materiali di awareness sulla sicurezza.
La presenza dell’SMS nella stessa conversazione dei messaggi autentici, insomma, non è, di per sé, un indice di genuinità. Nella maggior parte dei casi dipende soltanto dal criterio di raggruppamento del telefono, che associa i messaggi allo stesso mittente visualizzato e li inserisce nello stesso gruppo (thread): è proprio questo effetto di continuità, meramente grafico, che i truffatori cercano di ottenere.
Dallo spoofing al vishing: come si completa la truffa
Di regola l’SMS induce una situazione di urgenza o emergenza (accesso sospetto, operazione da annullare, blocco imminente) e invita a chiamare un numero o a rispondere. Poi subentra il vishing: la telefonata con un sedicente addetto “antifrode” che usa un linguaggio tecnico, impone tempi stretti e porta la vittima a compiere azioni “di sicurezza” che, in realtà, servono a carpire credenziali, codici temporanei o ad ottenere autorizzazioni su app. È la combinazione tra mascheramento dell’identità e ingegneria sociale che gli stessi intermediari descrivono come struttura tipica di queste frodi: prima si rende credibile il contatto, poi si guida l’utente a fare ciò che non farebbe mai “a freddo”.
Che cosa cambia per i clienti, sul piano pratico
Quando si subisce (o si sospetta) un attacco spoofing, la regola tradizionale resta la più efficace: verificare con un canale indipendente. Se arriva un SMS “della banca” e segue una chiamata, l’approccio corretto è interrompere e contattare l’intermediario usando esclusivamente i recapiti presenti sul sito ufficiale o nell’app, non quelli indicati nel messaggio o comunicati al telefono. Se vengono chiesti codici, password o conferme “per bloccare una frode”, è opportuno fermarsi: nelle truffe da impersonificazione proprio quei passaggi sono l’obiettivo.
Sul versante della tutela successiva, è utile conservare subito ciò che si può: schermate della conversazione, orari, numeri, registro chiamate, oltre alla cronologia delle operazioni eventualmente autorizzate e alle notifiche ricevute. In molte controversie, il dato decisivo non è l’apparenza del contatto, ma la ricostruzione precisa della catena di eventi e della tempistica.
In conclusione, lo spoofing non è “magia”: è la manipolazione di informazioni di presentazione (numero chiamante, intestazione SMS) che sfrutta regole di rete e comportamenti dei dispositivi nati in un’epoca in cui l’autenticazione dei mittenti non era una priorità. Le misure tecniche introdotte riducono il rischio, ma non lo azzerano; per questo, nel dubbio, è sempre preferibile interagire con la Banca unicamente mediante i canali ufficiali.
