SMS blaster è il nome di una truffa che sta prendendo piede in modo preoccupante negli ultimi mesi, e il dettaglio che la rende diversa da tutto il resto è quasi surreale: per colpire non serve nemmeno conoscere il numero di telefono della vittima. Niente lista di contatti rubati, niente database trafugati. Basta un dispositivo portatile, nascosto magari in un’auto parcheggiata o dentro un furgone, per inviare messaggi fraudolenti a tutti gli smartphone che si trovano nel raggio di qualche centinaio di metri. E la cosa peggiore? I filtri anti-spam degli operatori telefonici non possono fare assolutamente nulla.
Come funziona un attacco SMS blaster
Per capire perché questa tecnica è così efficace, bisogna partire da un comportamento che riguarda qualsiasi telefono in circolazione. Ogni smartphone si aggancia in automatico alla rete con il segnale più forte disponibile nelle vicinanze. È un meccanismo normale, pensato per garantire la migliore connessione possibile. Il problema è che il dispositivo usato per l’attacco SMS blaster si presenta proprio come quella opzione ideale: emette un segnale potente e il telefono ci casca senza esitazione.
Una volta agganciato lo smartphone, l’apparecchio malevolo forza la connessione sul protocollo 2G, che è ancora supportato da praticamente tutti i telefoni in commercio. Ed è qui che si apre la falla, perché il 2G non prevede una verifica rigorosa tra il dispositivo e la rete. In pratica, non c’è un vero sistema di autenticazione reciproca. A quel punto il gioco è fatto: i messaggi vengono inviati direttamente ai telefoni nel raggio d’azione, senza transitare dagli operatori. Il che significa che nessun filtro antifrode entra in azione, nessun sistema di sicurezza si attiva.
Il risultato, sul piano pratico, è devastante. Chi si trova nelle vicinanze può ricevere un SMS con mittente apparentemente legittimo: una banca, un corriere, un ente pubblico. In certi casi documentati, il messaggio riesce persino a inserirsi nelle conversazioni già esistenti con quel mittente sullo smartphone della vittima. Distinguere un messaggio vero da uno falso diventa quasi impossibile a occhio nudo. Alcuni report parlano di centinaia di migliaia di messaggi inviati in un singolo giorno con un unico dispositivo. Numeri che fanno capire la scala del problema.
Come difendersi dalla truffa SMS blaster
Esiste qualche strumento tecnologico che può dare una mano. La protezione antifrode di Google Telefono, disponibile su alcuni Pixel in Italia, è in grado di intercettare messaggi sospetti. Per chi possiede un Pixel compatibile, vale la pena controllare che questa funzione sia effettivamente attiva nelle impostazioni.
Detto questo, lo strumento di difesa più potente resta il buon senso. Un SMS che trasmette urgenza, che chiede di cliccare su un link o di inserire credenziali, va sempre trattato con sospetto. Non importa chi sembra averlo mandato. La regola fondamentale non cambia mai: non inserire dati bancari o personali partendo da un messaggio ricevuto. Piuttosto, meglio aprire direttamente l’app ufficiale della propria banca oppure digitare a mano l’indirizzo del sito nel browser. Nessun istituto serio chiede informazioni sensibili tramite SMS.
Sapere che dispositivi come gli SMS blaster esistono e che il 2G rappresenta ancora il punto debole di qualsiasi smartphone è già, di per sé, una forma concreta di protezione. Perché la vulnerabilità più pericolosa non è nel telefono, ma nella fiducia che si ripone in un messaggio che sembra arrivare da un mittente familiare.
