Alla base di tutto c'è la fiducia. Soprattutto se parliamo di attacchi informatici. Il copione degli hacker è piuttosto semplice, per manipolare dati o svuotare i conti corrente vestono i panni di persone, aziende, o servizi che sono familiari all'utente. Chiedono di inserire password o scaricare link, e proprio sulla base del rapporto di fiducia gli utenti seguono passo passo le indicazioni finendo nella trappola. Stiamo parlando di spoofing. Con questo tipo di truffa gli hacker manipolano gli utenti, per esempio potrebbero fingersi un operatore della banca e chiamare chiedendo al cliente informazioni personali, oppure inviare una mail dove chiedono di cliccare su un link per compilare un modulo.

Gli esperti della cybersicurezza hanno lanciato in questi giorni l'allarme, i criminali infatti sfruttano le festività natalizie per lanciare più attacchi. Ed Skoudis, presidente del SANS Technology Institute College, ha spiegato a Euronews Next: "Ci sono così tante cose da fare durante le vacanze: feste, regali, shopping…che c'è meno tempo e attenzione per stare in guardia e i criminali lo sanno", non solo, gli hacker sfruttano le compere online promettendo sconti o comunicazioni false dei corrieri che consegnano i regali.

Cos’è e come funziona

Lo spoofing è un tipo di attacco informatico che mette in atto diverse strategie per falsificare l'identità (spoof). Gli hacker quindi modificano le informazioni come numero di telefono, mail, o siti web per fingersi per esempio un'azienda e intercettare informazioni riservate ed effettuare un attacco. Per rendere più credibile la truffa sfruttano le tecniche di social engineering, spesso i social media scammers o phishers utilizzano questa tecnica per convincere un utente a connettersi ad un server malevolo intercettando così le sue credenziali.

Come si riconosce lo spoofing

Il più semplice da riconoscere è lo spoofing via mail. Quando arriva sulla posta elettronica un messaggio che chiede di inserire dati, nome utente o password, allora è molto probabile che sia una truffa, i siti legittimi non chiedono mai questi dati. Inoltre è sempre bene controllare l'indirizzo mail, per quanto verosimile, guardando attentamente si possono notare i dettagli che gli hacker hanno cambiato per ingannare gli utenti. Lo spoofing è invece particolarmente efficace se impiegato in attacchi mirati sfruttando anche il social engineering.

Cosa fare per proteggersi dalla truffa

Ci sono diversi modi per proteggersi dallo spoofing, per esempio attivando il filtro antispam, o non rispondere a mail, chiamate, sms provenienti da mittenti sconosciuti, non aprire i link e soprattutto non inserire mai i dati personali. Non solo, anche l'autenticazione a due fattori può essere utile per non cadere vittime della truffa, ed è sempre una buona abitudine non usare la stessa password per servizi diversi.  Chi crede di essere vittima di spoofing per prima cosa deve denunciare alla polizia postale la truffa, anche per individuare e fermare il prima possibile i responsabili.

I tipi di spoofing

L'obiettivo è sempre lo stesso, cambia la forma. Sotto il nome di spoofing infatti compaiono diversi tipi di truffa, gli hacker possono provare a rubare i dati inviando mail, sms, o anche chiamando direttamente gli utenti.

Web site spoofing

Per i casi di web site spoofing il criminale crea un sito web ingannevole, replica una pagina utilizzando per esempio un layout con font, colori, o loghi estremamente simili all'originale per ingannare l'utente e convincerlo a inserire credenziali, dati di carte di credito o di accesso. Per rendere la truffa più credibile spesso cambiano anche l'Url.

Mail Spoofing

Lo stesso meccanismo funziona anche per le mail, spesso gli hacker inviano mail fingendo di essere uno dei contatti della vittima. Basta cambiare una lettera o un numero, spesso per esempio sostituiscono la O con uno zero per far coincidere l'indirizzo con quello originale.

Spoofing dell’ID chiamante

In un attacco di caller ID spoofing, gli attaccanti spesso utilizzano la tecnologia VoIP per personalizzare il numero di telefono e creare un ID ad hoc per ingannare chi risponde e avviare una truffa telefonica (vishing). Non solo, con l‘intelligenza artificiale è anche possibile simulare la voce di un parente o un amico in modo estremamente verosimile. Secondo i dati della Federal Trade Commission, negli Stati Uniti, durante il 2022, sono state 5.100 le segnalazioni di persone truffate da qualcuno che finge di essere un amico o un familiare via chiamata, e i criminali sono riusciti a estorcere 11 milioni di dollari.

Spoofing degli SMS

Gli hacker sfruttano anche gli sms modificando l’identità del mittente. Grazie a un software è possibile modificare il numero del mittente in modo che lo smartphone lo legga come un numero per esempio legato ai servizi delle banche e dei social network. Spesso inviano un link che dirotta su una altro sito per installare un malware sui dispostivi. In alcuni casi può essere scaricata in automatico un'applicazione, ma il link potrebbe anche portare su un sito che ricorda quello ufficiale e chiedere all'utente di inserire i dati.