SMS blaster: cos’è e come difendersi dalla truffa

C’è un tipo di truffa che sta circolando sempre di più in questi mesi e che ha una caratteristica piuttosto inquietante: non serve il tuo numero di telefono per colpirti. Si chiama SMS blaster, funziona con un dispositivo portatile nascosto magari in un’auto parcheggiata o in un furgone, e riesce ad aggirare tutti i filtri anti-spam degli operatori telefonici. Vale la pena capire come funziona, perché il meccanismo è più subdolo di qualsiasi campagna di phishing classica.

Vuoi ascoltare il riassunto dell’articolo?

Ascolta su Spreaker.

Il punto di partenza dell’attacco è una vulnerabilità tecnica che riguarda tutti gli smartphone: il telefono si aggancia automaticamente alla rete con il segnale più forte disponibile. Il dispositivo malevolo si presenta come la migliore opzione nelle vicinanze, forza la connessione e sfrutta il protocollo 2G, ancora supportato da qualsiasi telefono ma notoriamente meno sicuro perché non prevede una verifica rigorosa tra dispositivo e rete. Una volta stabilita la connessione, invia messaggi direttamente ai telefoni nel raggio d’azione, senza passare dagli operatori e quindi senza attivare nessun filtro.

Il risultato pratico è che chiunque si trovi entro poche centinaia di metri può ricevere un SMS con mittente apparentemente legittimo: la propria banca, un corriere, un ente pubblico. In alcuni casi il messaggio s’inserisce addirittura nelle conversazioni già esistenti con quel mittente, rendendo la truffa quasi impossibile da distinguere a occhio nudo. Alcuni casi documentati parlano di centinaia di migliaia di messaggi inviati in un solo giorno con un unico dispositivo.

La protezione antifrode di Google Telefono, disponibile su alcuni Pixel in Italia, è uno degli strumenti che può aiutare a intercettare messaggi sospetti: se avete un Pixel compatibile, vale la pena verificare che sia attiva. Detto questo, la difesa più efficace resta la prudenza dell’utente: un SMS che crea urgenza, chiede di cliccare su un link o inserire credenziali va trattato con sospetto indipendentemente dal mittente. La regola è sempre la stessa: non inserire mai dati bancari o personali partendo da un messaggio, e verificare sempre attraverso l’app ufficiale o il sito della banca digitando l’indirizzo a mano.

Sapere che questi dispositivi esistano e che il 2G sia ancora il tallone d’Achille di qualsiasi smartphone è già una forma concreta di protezione: la vera vulnerabilità, alla fine, non è nel telefono ma nella fiducia che riponiamo in un messaggio che sembra familiare.