Lo spoofing

È una delle tecniche utilizzate dai malviventi per mettere a segno i loro colpi: lo spoofing.

Che cos’è lo spoofing?

Lo spoofing è una tecnica di truffa informatica con cui un malintenzionato falsifica la propria identità digitale per sembrare qualcun altro: una banca, un ente pubblico, un collega di lavoro o persino un familiare. Il termine deriva dall’inglese to spoof, che significa “imitare” o “ingannare”. L’obiettivo è sempre lo stesso: guadagnare la fiducia della vittima per sottrarle denaro, dati personali o credenziali di accesso.

Le principali varianti dello spoofing

Phone Spoofing (o Caller ID Spoofing) – È la forma più diffusa in Italia. Il truffatore manipola il numero di telefono visualizzato sullo schermo del destinatario, facendo apparire una chiamata come se provenisse dalla propria banca, dall’INPS, dalle Poste Italiane o dalle forze dell’ordine. Come funziona: la vittima risponde convinta di parlare con un operatore ufficiale. Il finto operatore crea un senso di urgenza (“c’è un’operazione sospetta sul suo conto”) e convince la persona a comunicare codici OTP, PIN o a effettuare bonifici di “messa in sicurezza”.

Email Spoofing – Il truffatore invia un’e-mail con un indirizzo mittente contraffatto, identico o molto simile a quello di un’azienda o persona fidata. Spesso è la base del phishing. Ricevi una mail apparentemente da [email protected] che ti chiede di aggiornare le credenziali cliccando su un link. L’indirizzo sembra legittimo, ma è falso.

SMS Spoofing – Simile all’email spoofing, ma via messaggio testuale. Il nome del mittente visualizzato può essere identico a quello della tua banca (ad es. “BancaXYZ”), inserendosi persino nella stessa conversazione SMS già esistente sul tuo telefono.

IP Spoofing – Tecnica più tecnica, usata soprattutto in attacchi informatici tra sistemi. Consiste nel falsificare l’indirizzo IP di origine di un pacchetto di dati per mascherare la propria identità o aggirare sistemi di sicurezza.

Sito Web Spoofing – Il truffatore crea un sito web clone, visivamente identico a quello originale (stessa grafica, stesso logo, URL simile), per rubare le credenziali di accesso degli utenti.

La truffa bancaria con spoofing

Un esempio reale di questo genere di frode è la truffa bancaria. Come funziona? La vittima riceve una chiamata e sul display compare il numero ufficiale della sua banca. Una voce professionale avvisa di un “accesso non autorizzato” al conto. Per “bloccare la truffa”, viene chiesto di confermare l’identità comunicando un codice OTP appena arrivato via SMS. Nel frattempo, i truffatori stanno usando le credenziali della vittima per accedere al conto e hanno bisogno proprio di quel codice per autorizzare un bonifico.

Come difendersi

In questi casi è opportuno seguire alcuni accorgimenti. Meglio riattaccare e richiamare il numero ufficiale dell’ente, cercandolo sul sito ufficiale o sul retro della carta. Non comunicare mai codici OTP, PIN o password a nessuno, neanche a chi si spaccia per la propria banca. Verificare sempre l’URL prima di inserire credenziali su un sito web. Attivare le notifiche in tempo reale sul conto bancario per monitorare movimenti sospetti.