In Svizzera si sta diffondendo una nuova forma di truffa informatica, particolarmente sofisticata: l’uso dei cosiddetti SMS blaster. Questa tecnologia permette ai criminali di raggiungere gli smartphone che si trovano nelle loro immediate vicinanze inviando messaggi SMS fraudolenti, senza conoscere i numeri di telefono o aver bisogno della rete di telefonia mobile.
Tecnicamente, un SMS blaster è una sorta di antenna di telefonia mobile. Il dispositivo emette un forte segnale che lo fa connettere automaticamente agli smartphone che si trovano nel raggio di diverse centinaia di metri, inducendone il passaggio alla rete 2G per un breve periodo di tempo. Questa rete è obsoleta e rappresenta il vero tallone d’Achille: contiene infatti una falla di sicurezza nota, grazie alla quale i malintenzionati possono trasmettere messaggi SMS ai dispositivi collegati direttamente, senza passare attraverso i filtri di verifica degli operatori di telefonia mobile.
Gli SMS inviati, peraltro, hanno un aspetto ingannevolmente autentico. Ad esempio, si presentano come comunicazioni di autorità, banche o servizi di consegna pacchi e di solito contengono un link a un sito Internet contraffatto. Lo scopo è indurre chi li riceve a inserire dati sensibili, come i dati della carta di credito o di accesso al sistema di e-banking. L’aspetto più subdolo è che i contenuti possono essere adattati alla situazione. Per esempio, in un’area con molti veicoli parcheggiati si può consegnare una presunta multa per divieto di sosta.
La criticità particolare è che questi attacchi non avvengono sui canali di comunicazione tradizionali: infatti, mentre i noti SMS di phishing vengono ormai filtrati sempre più in automatico, gli SMS blaster eludono completamente i sistemi di protezione. Allo stesso tempo, la tecnologia offre massima flessibilità, perché i criminali possono cambiare posizione, sferrare i loro attacchi in zone ben precise e ripeterli tutte le volte che lo desiderano. Dato che molti smartphone continuano a supportare il 2G, potenzialmente il problema riguarda anche i dispositivi moderni.
L’importante è fare una distinzione rispetto ai servizi di comunicazione basati su Internet: questo metodo di attacco riguarda esclusivamente gli SMS, perché sfrutta direttamente l’infrastruttura di telefonia mobile. Servizi come WhatsApp, Signal o Telegram non sono interessati da questo problema.
Misure di sicurezza
Per proteggersi da queste truffe, raccomandiamo di seguire alcuni consigli:
- Non fate mai clic su link contenuti in SMS inaspettati o sospetti.
- Digitate sempre manualmente nel browser gli indirizzi Internet di banche, autorità o fornitori di servizi, o usate l’app ufficiale.
- Non inserite informazioni sensibili come i dati della carta di credito o le credenziali d’accesso dopo aver fatto clic su un link ricevuto via SMS.
- Se possibile, disattivate la funzione 2G sullo smartphone.
- Android: su molti dispositivi, l’uso del 2G si può disattivare dalle impostazioni, in genere alla voce «Rete e internet».
- iPhone: non è prevista la possibilità di disattivare direttamente il 2G. Come alternativa, si può attivare la cosiddetta modalità di blocco in «Sicurezza e privacy», che impedisce la connessione alle reti 2G, anche se è possibile che limiti le funzionalità del dispositivo.
- Eliminate sempre i messaggi SMS sospetti e segnalateli (p. es. su www.antiphishing.ch).
- In caso di dubbio, chiedete conferma direttamente al numero di telefono ufficiale della presunta organizzazione mittente.
