Quante volte avete ricevuto sulla vostra utenza mobile un SMS che recava come mittente il nome di una banca, di un’operatore di telefonia o di un’altra azienda e che vi invitata ad effettuare delle operazioni su indirizzi Web non ufficiali? Tante.
Si tratta della ben nota pratica conosciuta con il nome di SMS spoofing: i criminali informatici “sparano nel mucchio” inviando enormi volumi di SMS sulle numerazioni di utenti italiani nel tentativo di farli cadere nel tranello. Come avviene nel caso del phishing via email, il mittente dell’SMS non è quello reale perché viene appositamente falsificato da chi invia il messaggio. L’attacco può essere realizzato utilizzando diverse tecniche: gli aggressori possono utilizzare software o servizi online specializzati che consentono loro di modificare ad arte il mittente o inviare messaggi SMS tramite reti mobili legittime.
L’obiettivo è ovviamente quello di ingannare il destinatario, facendogli credere che il messaggio provenga da una fonte affidabile o da un soggetto sul quale è possibile riporre fiducia. Il testo del messaggio viene confezionato in modo tale da ottenere con l’inganno informazioni personali e finanziarie, diffondere malware o avviare una truffa.
AGCOM prescrive il blocco dei mittenti SMS falsificati
Con il nuovo “Regolamento sull’utilizzo dei caratteri alfanumerici che identificano il soggetto mittente nei servizi di messaggistica aziendale (SMS ALIAS)” (Delibera n. 12/23/CIR), AGCOM (Autorità per le Garanzie nelle Comunicazioni) ha finalmente deciso per il giro di vite nei confronti degli SMS provenienti da mittenti fasulli.
Nello specifico, l’Autorità italiana provvede a regolamentare l’utilizzo dei cosiddetti SMS alias ovvero di quella particolare funzionalità che consente l’invio di messaggi SMS utilizzando un nome al posto del numero di telefono. L’SMS alias sostituisce il numero di telefono del mittente con un nome o un’etichetta personalizzata. Per le aziende che operano nel rispetto delle regole si tratta di una caratteristica molto interessante ai fini dell’immediata personalizzazione del messaggio per facilitarne la riconoscibilità. Per i criminali informatici, tuttavia, gli SMS alias hanno sempre rappresentato un’incredibile opportunità per dare credito a tentativi di truffa e contenuti pericolosi.
La grande novità introdotta da AGCOM consiste nell’istituzione di un Registro degli operatori che intendono utilizzare la tecnica dell’SMS alias: la richiesta di iscrizione viene opportunamente verificata e sono accettate solo quelle provenienti da soggetti riconosciuti e di conseguenza affidabili. L’utente finale, ovvero colui che riceve il messaggio sul suo terminale, ha il diritto di richiedere all’operatore di riferimento le generalità del soggetto che ha utilizzato un particolare alias.
L’Autorità allestirà anche un servizio Web che potrà essere utilizzato dagli utenti per verificare la corrispondenza tra alias e organizzazione che ha inviato l’SMS.
Inoltre, i fornitori di reti e servizi coinvolti nella gestione di SMS/MMS sono tenuti a bloccare i messaggi con mittente non numerico provenienti dall’estero.
Al momento, tuttavia, è bene mantenere la guardia sempre molto elevata: le nuove disposizioni previste nel regolamento voluto da AGCOM entrano in vigore entro 12 mesi e comunque contestualmente all’aggiornamento della piattaforma informatica da parte dell’Autorità. Nel frattempo, il fenomeno dello smishing non può essere ancora considerato come debellato.