Tutto quello che c'è da sapere sullo spoofing dei numeri di telefono

Artisti della truffa e addetti al telemarketing senza scrupoli sono sempre alla ricerca di nuovi modi per indurre gli utenti a rispondere alle loro chiamate. Quasi tutti i telefoni sono in grado di filtrare le telefonate, fornendo informazioni su chi chiama al primo squillo. Ma una tecnica sempre più comune a cui i truffatori fanno ricorso consiste nel falsificare o eseguire lo “spoofing” delle informazioni sull'ID chiamante.

Lo spoofing dei numeri di telefono fa sì che come ID chiamante venga visualizzato un numero di telefono o altre informazioni in modo che le chiamate sembrino provenire da una persona o da un'azienda diversa. Anche se le informazioni sul chiamante possono sembrare locali, spesso le chiamate vengono effettuate da addetti al telemarketing che si trovano in un altro stato o paese. Di solito lo spoofing viene messo in atto con intenzioni malevoli o disoneste da parte di chi chiama e questo ha portato molte persone a pensare di non potersi più fidare dell'ID chiamante visualizzato.

Storia dello spoofing dei numeri di telefono

Per anni lo spoofing dei numeri di telefono è stato utilizzato da persone con una connessione digitale specializzata con la compagnia telefonica. Funzionari delle forze dell'ordine e agenzie di recupero crediti hanno fatto ricorso a questo espediente per diverso tempo, a volte in modo legale, altre no. Nel 2004, un'azienda chiamata Star38.com ha lanciato il primo servizio mainstream di spoofing degli ID chiamanti per consentire lo spoofing delle chiamate da un'interfaccia Web. L'anno successivo si sono diffusi molti siti simili.

Lo spoofing dei numeri di telefono è stato utilizzato anche per truffare venditori su siti Web come eBay e Craigslist. In queste truffe, chi chiama contatta il venditore affermando di telefonare dal Canada e di essere interessato all'acquisto degli articoli pubblicizzati. Spesso chiede al venditore informazioni personali, come una copia del titolo di registrazione e così via e quindi ripubblica gli articoli con un falso annuncio di vendita. Lo spoofing dei numeri di telefono è stato usato anche in occasione delle elezioni negli Stati Uniti, quando sono stati sfruttati ID chiamanti fittizi di ospedali e società di ambulanze per indurre i potenziali elettori a rispondere al telefono. Nello stesso modo si è fatto ricorso alle chiamate automatiche, effettuate con un ID chiamante falso e provenienti presumibilmente da un numero locale anziché da un call center.

Lo spoofing dei numeri di telefono viene sfruttato anche per scherzi telefonici di pessimo gusto. Ad esempio, qualcuno potrebbe chiamare e fare in modo che sul display del destinatario compaia il numero di una stazione TV o di un ambulatorio medico semplicemente per scherzo. Nel 2008 si è diffusa la notizia virale di un uomo arrestato per avere effettuato chiamate telefoniche minacciose ad alcune donne, facendo in modo che come ID chiamante comparissero i loro stessi numeri per indurle a pensare che le telefonate provenissero dall'interno delle loro case.

Negli scorsi anni, lo spoofing su VoIP si è diffuso ulteriormente dal momento che le aziende di telecomunicazioni hanno offerto in comodato migliaia di numeri telefonici a provider anonimi di servizi di segreteria telefonica, con il risultato che le truffe telefoniche sono diventate un problema sempre più pressante. I truffatori hanno fatto ricorso allo spoofing anche per spacciarsi per forze di polizia, aziende di pubblica utilità, funzionari dell'immigrazione, assicurazioni mediche e molto altro. Molti malintenzionati che ricorrono allo spoofing prendono di mira anche gli anziani, spacciandosi per familiari e richiedendo trasferimenti di denaro fraudolenti.

Come funziona lo spoofing

Lo spoofing dei numeri di telefono consente agli artisti della truffa di fare in modo che come ID chiamante vengano riportate informazioni false. I truffatori ormai hanno capito che molte persone non rispondono più a chiamate provenienti da numeri 1-800, numeri con prefissi sconosciuti o privi di informazioni sull'ID chiamante (a volte sul display compare la dicitura “sconosciuto”). Con lo spoofing di informazioni o di numeri di telefono locali nei dispositivi dell'ID chiamante, i truffatori sperano di indurre il destinatario a rispondere a una chiamata che altrimenti rifiuterebbe.

Ad esempio, potresti ricevere una chiamata sullo smartphone con lo stesso prefisso del tuo telefono o una chiamata da un numero che ha solo qualche cifra diversa dal tuo. In alcuni casi, potresti addirittura vedere il tuo nome e numero di telefono visualizzati dai truffatori sul dispositivo dell'ID chiamante. I truffatori che ricorrono allo spoofing lo fanno attraverso un'ampia gamma di metodi e tecnologie.

Voice over IP

Quando il fenomeno dello spoofing dei numeri di telefono ha iniziato a emergere, era richiesta una conoscenza approfondita delle apparecchiature telefoniche che tendeva a essere piuttosto costosa. Più di recente, il software open-source ha reso possibile praticamente per chiunque eseguire lo spoofing delle chiamate a poco prezzo o con scarse conoscenze tecniche. Uno dei metodi più diffusi per mettere in atto lo spoofing è attraverso VoIP.

VoIP sta per Voice over Internet Protocol e non è altro che un servizio telefonico fornito via Internet. Se la connessione Internet è di qualità decente, il servizio telefonico può essere erogato tramite Internet anziché attraverso l'operatore telefonico. I servizi VoIP possono essere una valida alternativa ai servizi telefonici tradizionali, ma possono essere anche vulnerabili allo spoofing.

Probabilmente hai già sentito parlare di "indirizzo IP", che indica il tuo indirizzo di protocollo Internet ed è il modo in cui vengono effettuate le chiamate usando VoIP. Un indirizzo IP indica la modalità con cui dispositivi come computer e smartphone comunicano tra loro su Internet. Utilizzando l'indirizzo IP di un dispositivo gli utenti possono effettuare e ricevere chiamate su Internet. Per molte aziende e consumatori, VoIP è considerato l'alternativa migliore a una compagnia telefonica locale.

L'evoluzione di VoIP

Con l'aumento delle connessioni Internet a banda larga, VoIP è diventato una scelta di servizio telefonico popolare per aziende e singoli individui. A causa dell'utilizzo diffuso e del fatto che è un sistema relativamente semplice da installare ed eseguire, è sensato che così tante persone e aziende lo abbiano adottato. Offre costi ridotti rispetto agli operatori telefonici tradizionali a fronte di maggiori funzionalità. I provider VoIP forniscono anche altre funzionalità non disponibili con i servizi telefonici standard. Ad esempio, alcuni servizi consentono di configurare un secondo numero di telefono, il che significa che non serve una linea fissa, un secondo cellulare o addirittura un'altra SIM per le chiamate di lavoro. Questa funzionalità è veramente utile per alcuni clienti, ma rende anche i servizi VoIP più vulnerabili ai tentativi di truffa.

Alcuni provider VoIP consentono all'utente di configurare il numero visualizzato nella pagina di configurazione nell'interfaccia Web del provider. Non è richiesto software aggiuntivo. In alcuni casi, il nome del chiamante è generato a partire dal numero da una ricerca nel database connesso al telefono del ricevente. Ma in altri casi, il nome del chiamante può essere configurato all'interno delle impostazioni su una scheda telefonica analogica di proprietà del cliente. I provider che consentono agli utenti di utilizzare i propri dispositivi permettono di acquistare separatamente numeri Direct Inward Dial rispetto ai minuti per le chiamate in uscita. Questo significa che qualcuno potrebbe facilmente disconnettere il proprio numero in entrata dalle chiamate in uscita e sostituire l'ID chiamante con un altro numero a scelta.

Con operatori, come Skype, che non seguono gli standard hardware stabiliti o impediscono agli utenti di modificare le impostazioni di configurazione nell'hardware, come Vonage, è più difficile riuscire a eseguire lo spoofing delle chiamate.

Service provider

Alcuni servizi di spoofing funzionano proprio come una scheda telefonica prepagata. I clienti pagano in anticipo per un PIN da utilizzare per effettuare le chiamate. Quindi compongono il numero fornito dal provider di servizi, inseriscono il PIN, digitano il numero della chiamata in uscita e infine il numero che vogliono che compaia come ID chiamante. La chiamata viene quindi instradata o trasferita e compare sul telefono del ricevente con il numero contraffatto scelto dal chiamante.

Alcuni provider offrono anche una piattaforma basata sul Web o un'app mobile che consente a un utente di creare un account, eseguire l'accesso e fornire informazioni sull'ID chiamante insieme al numero in uscita che sta chiamando. Il provider di servizi effettua quindi la chiamata e mostra le informazioni inserite come ID chiamante. In alcuni casi, aziende o singoli individui possono anche inviare messaggi di testo da numeri contraffatti.

Orange boxing

Un altro metodo di spoofing è il cosiddetto "orange boxing". Questo metodo utilizza un software che genera il segnale audio che viene quindi associato alla linea telefonica durante la chiamata. L'obiettivo è indurre il ricevente a pensare che ci sia una chiamata in arrivo in attesa dal numero contraffatto anche se nessuno sta chiamando. La truffa prevede la presenza di un secondo complice che si spaccia per il chiamante secondario in linea.

Come vengono visualizzati i numeri di telefono contraffatti

I produttori di apparecchiature telefoniche gestiscono i nomi dei chiamanti in molti modi diversi. Alcuni apparecchi negli Stati Uniti inviano solo il numero del chiamante al centralino telefonico, pertanto occorre una ricerca nel database per trovare il nome da visualizzare insieme al numero. In altri paesi, come il Canada, i centralini di linee fisse utilizzano apparecchiature Nortel per inviare il nome insieme al numero. Altri servizi telefonici gestiscono i numeri in diversi modi, rendendo le chiamate tra i due centralini particolarmente suscettibili alle interferenze. Lo stesso vale per le chiamate da numeri interurbani con prefissi di paesi diversi, dal momento che l'ID chiamante spesso visualizza la porzione locale del numero in ingresso senza mostrare il prefisso del paese. In questo modo, si potrebbe erroneamente pensare che le chiamate provengano da un numero nazionale.

Legalità negli Stati Uniti

Lo spoofing dei numeri di telefono in genere è legale negli Stati Uniti a meno che non venga effettuato con fini fraudolenti o per arrecare danno. In base al sito Web della FCC e al Truth in Caller ID Act, “le regole FCC vietano a qualsiasi persona fisica o giuridica di trasmettere informazioni sull'ID chiamante fuorvianti o imprecise con l'intento di frodare, causare danni o ottenere indebitamente qualsiasi cosa di valore”. Ma ai sensi di questa normativa, se non sussiste alcun intento di arrecare danno, è possibile utilizzare altri numeri.

Dal momento che l'intento di arrecare danno è difficile da provare e che le aziende legittime non possono essere accusate di avere intenzione di causare danni, tecnicamente lo spoofing è legale. Lo spoofing dei numeri di telefono è legale ad esempio nel caso di un'azienda che mostra un numero gratuito da richiamare o di un medico che utilizza il proprio cellulare facendo in modo che appaia il numero dell'ufficio. Anche se l'intento è quello di causare danni o di frodare, molti dei call center si trovano in località diverse, pertanto è difficile individuarli e regolamentarli.

Come impedire lo spoofing del numero di telefono

La realtà è che è difficile proteggere il proprio numero di telefono dai tentativi di spoofing. Di solito i numeri vengono selezionati casualmente, quindi in genere le persone non vengono prese di mira nello specifico. La prima linea di difesa consiste nel cambiare numero, ma ovviamente è una seccatura ed è preferibile evitarlo.

I cittadini statunitensi che ritengono di essere vittime di spoofing dell'ID chiamante possono inviare una segnalazione al Consumer Complaint Center della FCC. La FCC prevede una multa fino a $10.000 per ogni violazione.

Come riconoscere lo spoofing dei numeri di telefono

Uno dei modi migliori per proteggersi è imparando a riconoscere le truffe basate sullo spoofing in modo da evitare di rispondere a chiamate contraffatte. Ecco alcuni suggerimenti utili.

Mantieni un sano scetticismo

Diffida dei messaggi di testo o di chi ti chiama presentandosi con un saluto generico anziché usando il tuo vero nome. Non dare per scontato che chi ti chiama sia effettivamente chi sostiene di essere. Se ricevi una telefonata da qualcuno che si presenta a nome di un'azienda o di un ente governativo, termina la chiamata e richiama il numero che trovi sul sito Web dell'azienda o dell'ente per verificare l'identità del chiamante.

Proteggi con una password i messaggi in segreteria

Imposta una password per l'account di segreteria telefonica. I truffatori possono violare la segreteria telefonica se non è accuratamente protetta con una password.

Evita i numeri sconosciuti

Evita di rispondere a numeri sconosciuti, anche se riportano prefissi locali.

Non premere pulsanti

Se il chiamante ti chiede di premere un pulsante, interrompi immediatamente la chiamata.

Non farti ingannare

Fai attenzione al tono di voce del chiamante e non rivelare informazioni a chi ti sembra particolarmente insistente o assillante. Una tattica ampiamente diffusa tra gli addetti al telemarketing è cercare di creare un senso di urgenza in modo che chi riceve la chiamata sia più propenso a reagire e fornire informazioni. Se qualcuno sostiene di avere bisogno di informazioni personali per un evento o un prodotto di cui non hai mai sentito parlare, non ti fidare. Non rispondere alle domande, specialmente se sono di carattere personale. I truffatori sono soliti chiedere informazioni quali codice fiscale, cognome da nubile della madre, password o numeri di carte di credito.

Non restare in linea

Fidati del tuo istinto. Se noti qualcosa di sospetto durante una chiamata, terminala immediatamente. Più a lungo stai al telefono, più probabilità avranno di carpire informazioni sul tuo conto.

Segnalare l'accaduto alla FCC, alla FTC o al dipartimento di polizia locale spesso è il modo migliore per salvaguardare le tue informazioni personali. Altre best practice per bloccare le chiamate indesiderate includono il filtro delle chiamate e il >blocco dei numeri spam. Il filtro o il blocco di un numero è diverso per gli utenti iOS e Android, ma in entrambi i casi fondamentalmente occorre andare alle impostazioni del telefono e selezionare qualche sorta di opzione di “blocco del contatto”. L'operatore può anche fornire altri metodi per bloccare le chiamate indesiderate, come l'app Call Filter di Verizon Mobile. Sono disponibili anche diverse altre app anti-spam e di sicurezza che possono essere utili per bloccare chiamate indesiderate o di sconosciuti. Alcune consentono anche di impostare una speciale suoneria per le potenziali chiamate spam o di sconosciuti o di filtrarle in un registro chiamate diverso in modo da non essere infastiditi con regolarità da questo tipo di telefonate.

Chi viene preso di mira ripetutamente tramite truffe basate sullo spoofing dei numeri di telefono può rivolgersi al provider di servizi telefonici per cambiare il numero di telefono. Alcuni operatori, come Verizon Mobile e ATT, permettono ai clienti di scegliere gratuitamente un nuovo numero online. I clienti non devono far altro che accedere all'app del provider e cambiare il numero del cellulare. Anche se questo può far sì che temporaneamente il telefono non riceva altre chiamate spam, non è una misura infallibile. I truffatori possono sempre iniziare a eseguire lo spoofing anche del tuo nuovo numero, quindi è meglio attenersi sempre alle indicazioni fornite in precedenza.

Letture consigliate

Cos’è VoIP

Come scacciare un hacker dal tuo smartphone

Cosa fare in caso di smarrimento o furto del telefono