Così che gli artisti dello Smishing scelgono le loro vittime
Pronti a salire sul tatami per la seconda lezione di cyber-judo? Ecco la risposta alla domanda che ciascuno di noi si pone quando sente parlare di questi temi: chi e perché finisce nel mirino dei briganti digitali?
di Umberto Rapetto
(Generale Gdf – già comandante Nucleo Speciale Frodi Telematiche)
Le organizzazioni criminali sono ben strutturate e purtroppo hanno in squadra i più diversi professionisti. Accomunati dallo stesso intento di delinquere, esperti di informatica, di meccanismi bancari online e di psicologia mettono a fattore comune le rispettive competenze. Il loro lavoro comincia con l’individuazione “fisica” dei potenziali bersagli.
Mentre le combinazioni di lettere e numeri che compongono un indirizzo di posta elettronica (quello usato dal phishing) complicano la ricostruzione delle possibili caselle mail cui inoltrare il messaggio, le utenze telefoniche cellulari sono più facilmente individuabili.
Tre sono i numeri del prefisso che identifica l’operatore (e in realtà sono ben conosciuti già in partenza) e al massimo sette quelli dello specifico cliente (addirittura i “vecchi” 335 sono di sole 6 cifre). Pur venendo fuori un quantitativo elevato di ipotetiche combinazioni, la platea di future vittime è, nonostante tutto, abbastanza circoscritta.
La banda che scende in campo dispone di computer opportunamente abilitati all’inoltro di SMS, impostati con la composizione automatica dei numeri contenuti in un elenco elettronico creato appositamente dai malfattori. In alcuni casi i numeri cui spedire i messaggi arrivano da sistemi informatici delle banche e “funzionano” tutti. Possibile? Certo.
È purtroppo la conseguenza dei tanti saccheggi da parte degli hacker che – entrati illecitamente nei computer di istituti di credito o altre realtà finanziarie – vanno a caccia di liste e schede dei clienti e sottraggono tutto quel che capita a tiro.
Esiste un fiorente commercio di elenchi di nomi, cognomi, utenze telefoniche, indirizzi mail e altre informazioni utili e quindi i malintenzionati hanno solo l’imbarazzo della scelta nell’individuare quale possa essere la strada migliore per puntare il proprio mirino. In alcuni casi i banditi vanno a colpo sicuro perché entrano in possesso proprio del database (o archivio elettronico) di una banca che ovviamente contiene tutti i dati della clientela e, nella relativa “anagrafica”, anche il fatidico numero di telefono cellulare.
Non stiamo a immaginare un criminale che – con santa pazienza – inoltra un messaggio dopo l’altro. Questi malfattori sono ben organizzati e, armati di un personal computer, sono in grado di inviare migliaia e migliaia di Sms di volta in volta abbinati alla successiva utenza. La fase di spedizione non costa molta fatica a chi decide di andare a bersaglio, ma sfrutta rigorose procedure che vengono costantemente perfezionate.
I criminali non devono appiccicare francobolli e sopportarne le spese di acquisto: la comunicazione elettronica non ha costi di quel genere. Basta disporre di una scheda telefonica che contrattualmente includa la voce Sms illimitati. Probabilmente il gestore della rete cellulare si accorgerà dell’anomalia di traffico, anche se chi spedisce provvede a “rateizzare” l’inoltro dei messaggi. I farabutti faranno comunque in tempo a compiere la loro missione prima che la Sim venga eventualmente bloccata.
Tanti Sms piovono su telefoni “sbagliati”. Non importa se il messaggio arriva anche a chi non è cliente della banca che fraudolentemente è impersonata dalla banda di manigoldi. È invece fondamentale che il maggior numero di persone segua le istruzioni impartite, si colleghi al falso sito web e inserisca lì i dati che vengono richiesti dal modulo truffaldino visualizzato sul display.
Se il testo è convincente, saranno in tanti a cadere nella trappola. Bisogna tenere gli occhi aperti e stiamo imparando a farlo.