Mondo
I cybercriminali, come se ce ne fosse il bisogno, sentono l’esigenza di dimostrare di saper stare al passo coi tempi e, vista la crescente diffusione della telefonia su internet, hanno pensato bene di dedicare le loro attenzioni anche a questa nuova tecnologia.
Si sa, quello della frode è un mestiere gravoso, ma spammer e virus writer – che non si lasciano scoraggiare facilmente – hanno già affilato le armi per trarre, anche loro, i massimi vantaggi dalla convergenza delle reti.
E così, per scuotersi un po’ dalla monotonia degli attacchi mirati ai box di posta elettronica hanno messo a punto nuovi schemi criminosi per mettere in subbuglio anche il mondo della telefonia mobile e del VoIP.
Nelle scorse settimane, gli esperti in sicurezza hanno individuato un nuovo tipo di attacco phishing che, invece di dirottare le vittime verso un sito internet fraudolento, fornisce loro un numero telefonico cui chiamare per risolvere fantomatici problemi all’account del celebre servizio di pagamento online PayPal.
Nell’email si legge infatti che l’account PayPal è stato oggetto di attività fraudolenta e il destinatario viene invitato a chiamare un numero telefonico per verificare i dettagli.
All’altro capo, una voce registrata invita a digitare le 16 cifre che compongono il codice segreto della carta di credito e, per aumentare la sensazione di veridicità dell’operazione, se il numero digitato è sbagliato, viene richiesto di reinserirlo. A questo punto, la frittata è fatta: tutti i dati sono passati nelle mani dei criminali informatici!
Per questo tipo di truffe, i criminali utilizzano i cosiddetti ‘war dialer‘, approfittando di una prassi ormai consolidata tra le società di carte di credito che utilizzano come procedura standard la richiesta via telefono delle 16 cifre che compongono il codice delle carte di credito, prima di passare la chiamata a un addetto.
Appena scoperta la truffa, PayPal ha immediatamente allertato le forze dell’ordine e i service provider coinvolti per risolvere il problema, ma il caso spiegano gli esperti IDC – “non è che il primo di quella che molto probabilmente sarà una lunga serie”.
Secondo Websense, un altro paio di casi si sono già verificati nelle scorse settimane, coinvolgendo il famoso sito d’aste online eBay e la banca americana Santa Barbara Bank & Trust.
Se finora gli artisti dello scam hanno risparmiato le reti telefoniche a causa degli alti costi e della tracciabilità delle telefonate, essi possono ora anche approfittare della grande diffusione del VoIP per mettere a segno colpi di più vasta portata, usando la stessa tecnologia utilizzata per lo spam via email.
“Oggi è molto semplice creare un account VoIP con un provider online e un sistema interattivo di risposta vocale”, ha spiegato David Endler, direttore security research di TippingPoint.
Questi sistemi sono destinati a proliferare come i falsi siti sui quali si è finora basata l’offensiva dei phisher e daranno la possibilità ai criminale di effettuare un numero illimitato di chiamate a una frazione del costo richiesto da una simile attività sulle reti telefoniche tradizionali.
Allo stesso tempo, la gente tende a fidarsi molto di più di un numero telefonico che di una email.
“Le minacce rivolte ai cellulari sono anche più pericolose perché coloro che creano i virus hanno imparato molto dalle loro esperienze in ambito PC. Ciò significa che gli attacchi più pericolosi si verificheranno con poco rumore e il massimo danno” ha commentato Paul Cuss, amministratore delegato di SmartTrust.
Del resto, secondo molti osservatori, è solo questione di tempo perché il VoIP sia tanto diffuso quanto le eMail, mentre gli spammer, sempre al passo coi tempi, hanno già abbracciato lo “spim“, ovvero lo spam sui sistemi di messaggeria istantanea, che rappresenta già il 10% del traffico instant-messaging.
Lo “spit” (spam sulle linee telefoniche) è dunque dietro l’angolo: di sicuro, i famigerati telemarketer non si faranno sfuggire l’occasione di inondare gli utenti con i loro messaggi spazzatura, data la profittabilità e la semplicità dell’operazione.
Ma allora, come fare per difendere il proprio telefonino dalle invasioni esterne?
Molti esperti raccomandano lo stesso buon senso richiesto per tenersi alla larga da problemi online: non dare mai informazioni personali a fonti non conosciute e assicurarsi che il numero di telefono che componiamo per verificare informazioni personali relative al nostro conto corrente o a un account sia stato fornito da fonti ufficiali.
“Se qualcuno chiama senza una nostra esplicita richiesta, il consiglio numero 1 è di rispondere ‘grazie, non mi interessa’”, ha aggiunto Michael Gough, autore del libro Skype Me!.
Secure Computing raccomanda anche – quando si riceve una telefonata da qualcuno che si spaccia per rappresentante di una banca o di una società di carte di credito – di riattaccare immediatamente e di riportare l’accaduto alla compagnia interessata.