A cura di: Roberto Trizio

Dopo le recenti notizie sulla diffusione del mobile spam e sulle truffe telefoniche,
e il report
di Alground sulla protezione attuale verso questa pericolosa forma
di spam, abbiamo rivolto alcune domanda a Luca Sambucci, Communications
& Operations Manager presso la Future Time, l’azienda che distribuisce
in Italia il famoso antivirus NOD32 e membro dell’Antiphishing
Working Group

Il mobile spam sta arrivando sui nostri cellulari. Quanto è pericoloso?
Più o meno dello spam che arriva via Internet?

Il
cellulare è un dispositivo collegato direttamente a due aree di importanza
fondamentale: il nostro portafoglio e la nostra rete di contatti.

Basta una telefonata per iniziare a drenare soldi dal nostro conto. Qualsiasi
spam che utilizzi il social engineering (l’abilità a farci fare, con
l’inganno, azioni che potrebbero andare contro i nostri interessi) o qualunque
malware che sia in grado di prendere il controllo del dispositivo possono
fare danni enormi, non solo al credito prepagato, ma anche alla nostra
reputazione: immaginiamo un malware che si metta a scrivere sms ingiuriosi a
tutti i contatti della nostra rubrica.

O che invii mms con le nostre foto presenti sul cellulare. Ma perché
fermarsi alle burle?, immaginiamo un malware che invii a tutti i contatti della
nostra rubrica un sms con un invito a chiamare un numero ad addebito elevato.
Magari usando un po’ di social engineering e facendo credere che per
loro sia urgente chiamare subito quel numero. Basterebbe questo per
generare subito una buona dose di introiti e rovinare la reputazione
del mittente per molto tempo. Come vedi non sto facendo molta distinzione fra
malware e spam, perché col passare del tempo le due minacce tenderanno
a convergere, come è successo per il PC tradizionale.

Come abbiamo visto, le compagnie telefoniche non sono granchè
preparate a riguardo. Secondo te cosa potrebbero fare?

Fintanto che la colpa ricadrà sugli utenti, le compagnie telefoniche
non faranno nulla. Quando qualcuno suggerì che le banche avrebbero potuto
essere co-responsabili dei casi di phishing, esse iniziarono subito a intraprendere
azioni a difesa dei loro interessi: campagne di informazione, doppie, triple,
quadruple password con tanto di token, tutte attività
mirate a scrollarsi di dosso la colpa in caso di phishing, per farla ricadere
solo sugli utenti che – seppur informati – non avrebbero seguito tutte le indicazioni
di sicurezza della banca.

Un risultato parziale si è avuto: ora gran parte degli utenti quando
opera sul proprio conto on-line presta attenzione a qualsiasi elemento sospetto.
Oggi magari è ancora troppo presto, ma forse un giorno la gente punterà
il dito verso gli operatori telefonici. Se questo avverrà, essi avranno
diverse possibilità per cercare di arginare il fenomeno:

- campagne di informazione sui rischi del mobile spam e del
mobile malware
- accordi con i produttori per la distribuzione di programmi
antimalware per cellulari
- accordi con i produttori per l’installazione di programmi
antimalware e antispam direttamente sulla rete, magari coadiuvati da un sistema
di early-warning user-contributed

Quest’ultimo punto è di particolare interesse, perché se svolto
come si deve potrebbe dare un colpo decisivo allo spam e al malware che circola
sulla rete telefonica.

Ciò può avvenire perché gli operatori sono solo una manciata,
quindi una modifica alle loro reti può cambiare radicalmente la situazione.
Qualcosa di simile già avvenne in passato. Ricordo ancora quando si pensava
che i “virus delle macro” sarebbero stati i virus del futuro. Una
modifica di Microsoft al proprio programma Office mise praticamente
fine alla loro diffusione.

[pagebreak]

Esistono dei modi per rintracciare e successivamente denunciare i responsabili
delle truffe telefoniche o degli SMS spia?

Premesso
che non è detto che il mittente sia un numero reale, i numeri 899 pubblicizzati
nelle truffe telefoniche possono essere un primo indizio. Essi vengono concessi
dal Ministero competente (Comunicazioni prima, Sviluppo Economico oggi), quindi
è possibile risalire all’azienda che vi è dietro e sporgere un
reclamo nelle sedi più appropriate.

In caso di truffa vera e propria, la denuncia va fatta alla Polizia delle Comunicazioni.
Per maggiori informazioni: http://www.commissariatodips.it

Su un cellulare c´è qualcosa, in termini di impostazioni
o di configurazione, che gli utenti possono settare per proteggersi?

Impostazioni precise non ne conosco, proprio perché i sistemi sono tanti
e i modelli tantissimi. Esistono programmi che filtrano gli sms e che forniscono
una protezione antimalware, ma purtroppo il buon senso al momento è l’arma
migliore a nostra disposizione.

Come fanno i cybercriminali ad avere i numeri telefonici da chiamare
o a cui inviare gli sms?

Conosco tre modi per ottenere il tuo numero di cellulare:

- harvesting

Fai questa ricerca su Google: “cellulare 335″ (senza virgolette)
e vedrai la quantità di persone che pubblica – per i più svariati
motivi – il proprio numero di cellulare on-line. Basta ripetere la ricerca per
tutti i prefissi e programmare un software in grado di copiare e mettere in
ordine tutti i numeri trovati, ed ecco una prima lista bella e pronta.

Vero, ho provato, e il risultato
della ricerca è piuttosto esplicativo di quanto sia facile… gli
altri due?

- buying

Vi sono purtroppo diverse aziende che, violando la privacy, rivendono i numeri
dei loro clienti. Penso ad esempio a quelle aziende che distribuiscono suonerie,
giochi per cellulari, ecc. Spesso chiedono di inserire i numeri di cellulari
di N amici per regalargli una suoneria omaggio, quindi il tuo numero potrebbe
finire in mano loro senza che tu ne abbia alcuna colpa.

- guessing

A prima vista potrà sembrare anti-economico, ma diversi spammer generano
automaticamente dei numeri in maniera semi-casuale e poi inviano l’sms
sperando che il numero sia attivo. Molti messaggi vengono inviati da paesi dove
il costo è molto basso. Se si pensa inoltre che i messaggi vengono comprati
all’ingrosso, è facile ritenere che un sms non costi più di 2
o 3 centesimi, cosa che rende il “guessing” un metodo fattibile.

In futuro poi ci potranno essere malware progettati appositamente per “rubare”
la rubrica dei contatti e inviarla a un dato indirizzo per compilare
nuove liste per l’invio di spam.

cod:73