Storia di un sistema mostruoso, automatizzato, inarrestabile ed autoalimentato di spam e phishing basato sul massiccio uso di dialer, spoofing, call center e intelligenza artificiale: perché non si riesce a fermarlo.
Ormai è un problema di tutti, e non dico solo di noi italiani, bensì di tutti gli abitanti di questo pianeta che hanno un cellulare: almeno una volta al giorno, di media, riceviamo una chiamata da una voce registrata che ci propone per lo più di passare / tornare a quell’operatore telefonico / energetico o una qualche operazione di trading.
O magari riceviamo una chiamata silente che si chiude con strani rumori digitali, o magari solo un squillo rapido che però ci lascia una chiamata senza risposta che ci costringe a verificare se si tratta di una chiamata reale.
Molti parlano di strumenti per difenderci da chiamate del genere, dalle app alla rimozione dagli elenchi o da qualsiasi luogo in cui abbiamo pubblicato il nostro numero.
Se è vero ciò che penso, qualsiasi contromisura è purtroppo destinata a fallire fino a quando non si potrà fermare il cd. “spoofing”, ossia la tecnica di chiamata con un identificativo diverso da quello effettivo: se volete saperne di più e scoprire quali sono i reati che si commettono con questa tecnica, leggete pure cosa dice il Ministero della Giustizia al riguardo.
Perché ne sono convinto? Perché senza fare particolari indagini e senza ricerche in internet per scoprirne il funzionamento, è la logica che mette insieme tutti i fatti che subiamo ogni giorno per colpa di questa macchina infernale.
Il sistema potrebbe avere diversi modi per alimentarsi di numeri da comporre: ciò che trova sul web, i database presi o rubati da archivi autorizzati o meno, ma anche semplicemente… composizioni casuali.
Certo, composizioni casuali che magari coincidono con quelle chiamate silenti che riceviamo.
Quindi il sistema, basandosi sui dialer (ossia i compositori automatici di numeri telefonici), potrebbe comporre numeri a caso e a seconda del risultato:
- se qualcuno risponde o anche non risponde ma il numero non risulta inesistente, lo considera un potenziale destinatario delle chiamate spam / phishing, magari stabilendo anche una sorta di ranking a seconda dei tempi di risposta;
- se il numero risulta inesistente, lo inserisce tra quelli utilizzabili come identificativi dei chiamanti per lo spoofing.
Ciò è possibilissimo con i sempre più veloci sistemi informatizzati e credo che un sistema abbastanza potente sia perfettamente in grado di passare in rassegna velocemente tutte le combinazioni numeriche possibili, magari discriminando le più improbabili. Anche se si tratta di circa due numerazioni per ogni abitante di questo pianeta, se ci pensate bene non dovrebbe essere così difficile per un sistema informatizzato fare una mappatura globale di circa 16 miliardi di possibilità per poi aggiornarsi solo sulle variazioni.
Posso quindi supporre che uno o magari più di un sistema abbia già fatto una mappatura dei numeri di tutto il mondo e ora vive tranquillamente di rendita vendendo a chicchessia, dal semplice commerciale in cerca di clienti alle molto più probabili combriccole dei peggiori truffatori, terabyte di archivi ben profilati e aggiornati di numeri di telefono da chiamare per i propri scopi, comunque illecitamente perché frutto dell’albero avvelenato dei dialer.
Mi sembra poi che quando a chiamare sono i call center con persone reali, le voci tendano ad essere le stesse, con la stessa cadenza o con lo stesso accento (attualmente mi pare albanese o rumeno). Se ciò fosse vero, i casi sono due: c’è un manipolo di persone che conduce indisturbato lo stesso gioco oppure c’è un manipolo di persone che attinge dagli stessi posti per le risorse umane e/o induce i suoi operatori a comportarsi sempre nello stesso modo per evitare una personalizzazione pericolosa in quanto potrebbe agevolare il loro riconoscimento.
In effetti però questo sistema può anche chiamare da solo le sue vittime per i suoi scopi, senza dover vendere numeri a chicchessia, perché ha tutti gli strumenti per farlo in perfetta autonomia.
Ci sono infatti i messaggi registrati, l’intelligenza artificiale basata anche sulle interazioni della persona chiamata: premi il tasto “X” per parlare con un operatore, oppure fornisci le informazioni richieste dopo il bip. Ecco che entra in scena un secondo livello di trattamento dopo la raccolta delle numerazioni, gestibile da una persona o anche solo da una macchina che consenta di profilare ancora meglio le informazioni ricevute. Con questa tecnica anche una sola persona può ottenere, senza alzare un dito, numeri di carta di credito, foto di carte d’identità, credenziali per gestire conti correnti e ogni altro strumento per mettere mano comodamente a grandi quantità di denaro su un potenziale parco di circa 8 miliardi di “clienti”, attingendo piccole e grandi somme da ciascuno di essi. Direi meglio piccole somme per volta, così rischia meno denunce e anche se ci sono, vengono tutte archiviate (lo dico per esperienza personale da miei clienti truffati, ovviamente).
Un sistema perfetto, infallibile e poco rischioso proprio perché:
- punta a piccole somme che su grandi numeri da cui attingere diventano grandissime;
- si basa su aggiornamenti continui che evitano di attirare troppa attenzione da chi, per esempio, acquisisce un numero prima inesistente;
- è estremamente profilato, quindi è in grado di comprendere autonomamente quali sono i numeri assolutamente da evitare per lo spoofing.
La prova di questa infernale perfetta efficienza è appunto il fatto che tutti riceviamo questo tipo di chiamate, a meno che ovviamente non impostiamo il nostro telefono in modo da respingere i numeri non salvati in rubrica, ma difficilmente una persona che lavora con il telefono può permetterselo.
Da tutto ciò si capisce bene che non c’è una via d’uscita. Il sistema sa sempre quali sono i numeri aggiornati da assegnare al chiamante del dialer senza farsi beccare dalle varie contromisure e sa sempre qual è il numero migliore da chiamare: ciò vuol dire milioni di chiamate automatizzate ogni giorno, numeri che lasciano intendere che in assoluto sono molte di più le chiamate dei dialer illeciti che quelle di persone vere.
Sì, perché le contromisure allo spoofing, tipo le applicazioni a ciò dedicate, per riconoscere i dialer hanno sempre bisogno di una conferma, quindi è una lotta contro il tempo: lo spoofing usa numeri sempre nuovi e così non da il tempo alle contromisure di riconoscerlo, anche perché per farlo si devono basare su segnalazioni dirette da parte dei riceventi, oppure devono adottare anche loro lo stesso criterio del sistema infernale, quindi passando in rassegna tutti i numeri finché riconoscono quelli potenzialmente utilizzabili dai dialer. E quindi giù altre chiamate automatiche, anche se stavolta per i motivi opposti a quelli della macchina infernale.
O magari è la stessa macchina infernale che all’occorrenza fornisce le stesse contromisure a se stessa per guadagnare qualcosa in più da chi spende soldi per difendersi: almeno così si risparmierebbe qualche chiamata automatizzata!
So che da tutto ciò vi aspettate una soluzione, ma come spesso accade negli articoli che denunciano un problema, rimarrete delusi.
Io non ho una soluzione oggi, solo la paura che ciò possa ulteriormente degenerare: piuttosto mi viene voglia di buttare il telefono, ma purtroppo non posso.
