Ultimo aggiornamento: 2022/02/02 10:55. Ringrazio tutti i lettori e commentatori che hanno contribuito e stanno tuttora contribuendo ad ampliare questo articolo.

Per ora non posso rivelare i dettagli, ma ho una sfida per voi: creare un sito dimostrativo che imiti in modo innocuo i siti truffaldini che fanno abbonare con l’inganno gli utenti ai servizi SMS Premium. Il committente è disposto a pagare.

Premessa: cosa sono gli SMS Premium e perché sono il male

Gli SMS Premium sono degli SMS a costo fortemente maggiorato: costano vari euro/franchi a messaggio inviato o ricevuto (in Svizzera un singolo messaggio una tantum può costare fino a 100 CHF; per gli abbonamenti i singoli messaggi costano di solito 5 CHF). Fanno parte dei cosiddetti servizi a valore aggiunto. Il loro costo viene addebitato direttamente sulle bollette telefoniche. Esistono in quasi tutti i paesi del mondo. In Italia, per esempio, sono descritti qui da Vodafone.

In teoria questi SMS Premium dovrebbero servire a fornire informazioni a pagamento (oroscopi, previsioni meteo, notizie) o consentire il pagamento di servizi (biglietti di trasporto, parcheggi, suonerie o contenuti erotici) su richiesta degli utenti, ma in pratica moltissimi utenti lamentano di essersi trovati abbonati a questi servizi senza aver fatto alcuna richiesta. Se ne accorgono quando trovano sulla propria bolletta degli addebiti inattesi.

Sempre in teoria, abbonarsi a questi servizi richiede due invii di SMS: uno di richiesta del servizio e uno di conferma della richiesta. Sembrerebbe quindi impossibile iscriversi agli SMS premium senza accorgersene.

Eppure succede: è successo di recente con il malware Joker, un’app pubblicata anche sul Play Store di Google, che fingeva per esempio di essere un’app di sfondi di Squid Game ma in realtà, spiega Kaspersky, è “in grado di iscrivere di nascosto le proprie vittime ai servizi in abbonamento premium simulando il processo di abbonamento”. Punto Informatico scrive che Joker agisce “[s]imulando i tocchi e intercettando gli SMS”. Un altro esempio è la famiglia di app truffaldine per Android UltimaSMS descritta da Avast (2021): la vittima viene convinta a digitare il proprio numero di telefono e poi l’app provvede ad abbonarla. Su Android le app possono inviare SMS; su iPhone no. Le app possono anche cancellare le tracce della richiesta di abbonamento.

Wired.it si è occupata della questione per l’Italia nel 2016, descrivendo l’uso del DNS e della connessione cellulare come ingredienti essenziali delle attivazioni indesiderate. 

Inoltre c’è stata una condanna dell’AGCOM a TIM per non aver “adottato con la dovuta tempestività e esaustività misure idonee a prevenire l’attivazione dei servizi premium in assenza del previo consenso degli utenti né a impedirne l’addebito anche in casi di chiara incompatibilità del servizio con l’espressione del consenso”. L’attivazione era avvenuta anche su SIM che non erano inserite in telefonini ma erano “dedicate al controllo da remoto di particolari dispositivi (es. telesorveglianza, teleallarme) e/o prive di connessione dati” (PDF). Ad agosto 2021 l’AGCOM ha multato WindTre, Vodafone e TIM per attivazione dei servizi premium senza il consenso degli utenti (HWupgrade.it).

--- 

Adesso ho per le mani una serie di casi nei quali è quasi certo che sugli smartphone delle vittime non sono state installate app ostili. È possibile che le vittime abbiano semplicemente visitato dei siti che sarebbero riusciti a simulare le azioni degli utenti, carpendo il loro numero di telefonino e mandando automaticamente gli SMS di richiesta e/o di conferma di abbonamento.

Molte compagnie telefoniche rifiutano di rimborsare questi abbonamenti ottenuti con l’inganno argomentando che a) non è possibile che l’utente non si accorga della procedura in corso b) comunque loro sono solo intermediari che forniscono il servizio per conto terzi. E questa cosa va avanti da oltre dieci anni. È un problema di cui ho già scritto in varie occasioni.

Ci si può difendere preventivamente chiedendo al proprio operatore il blocco dei servizi SMS Premium; di solito basta un SMS apposito o una telefonata gratuita all’operatore. In Svizzera le istruzioni su come procedere sono pubblicate per esempio qui da Swisscom, qui da Salt e qui da Sunrise.

Si può inoltre risalire alla società che gestisce il servizio pagato tramite gli SMS Premium usando gli elenchi dei loro numeri brevi (qui su Swisscom; qui su Salt; qui su Sunrise).

Maggiori informazioni sono qui sul sito dell'Ufficio federale delle comunicazioni (UFCOM), che include il codice di comportamento di questi fornitori di servizi e precisa che la conferma di abbonamento può essere inviata dall’utente tramite SMS, MMS o WAP. 

Per l’Italia il codice di condotta è pubblicato qui da Vodafone e l’AGCOM a gennaio 2021 ha disposto che le nuove SIM abbiano bloccati per default i servizi SMS Premium (l’annuncio di Tim.it è qui). La stessa Autorità ha anche predisposto un servizio di conciliazione per le attivazioni non volute di servizi premium.

Insomma, gli utenti sono protetti, grazie alla possibilità di bloccare questi servizi (in Svizzera) o al blocco per default (in Italia) e all’obbligo di inviare un SMS di conferma (in entrambi i paesi). Il messaggio che arriva dagli operatori è molto chiaro: se gli utenti si trovano abbonati a questi servizi SMS Premium, è solo colpa loro.

È davvero così?

La sfida: fare un sito che dimostri un abbonamento fatto di nascosto

Non c’è dubbio che si possano creare app che abbonano di nascosto gli utenti. Ma è possibile creare un sito che faccia altrettanto, senza installare nulla sul telefonino?

Il sito dovrebbe:

1. Prendere il controllo del telefonino della vittima in modo da fargli inviare un normale SMS contenente un testo preciso (per esempio “START INFO”) a un numero specifico.
2. Restando aperto sullo smartphone della vittima, riconoscere l’SMS di richiesta di conferma che le arriva. Questo SMS può anche essere visibile e salvato.
   
3. Mandare a un numero specifico un SMS che faccia da richiesta di conferma (di solito costituita semplicemente da un “SI”). Facoltativamente, questo SMS può essere cancellato.
   

Inoltre dovrebbe fare tutto questo, se possibile, senza mostrare nulla di significativo sullo schermo. 

Il sito, essendo dimostrativo, dovrà avere un nome e una grafica che ne indichi chiaramente la natura di pura dimostrazione giornalistica.

La demo da realizzare sarebbe questa:

• il telefonino-vittima (uno smartphone sacrificabile con SIM altrettanto sacrificabile) visita il sito
• manda un SMS al mio telefonino
• il mio telefonino manda un SMS al telefonino-vittima (simulando la richiesta di conferma di un abbonamento
• il telefonino-vittima risponde mandando un SMS con scritto “SI” al mio telefonino
• il tutto riducendo al minimo possibile le azioni della vittima e la visibilità di quello che sta succedendo.

In alternativa o in aggiunta, sto cercando qualcuno del settore che mi possa raccontare in dettaglio le tecniche usate per ottenere questi abbonamenti fraudolenti. Offro la garanzia giuridica dell’anonimato giornalistico.

---

    <a href="sms:numero&body=messaggio">Testo visibile</a> 
  

Ultimo aggiornamento: 2022/01/23 19:50. 

È una scena classica da western: l’eroe si accorge che sta per avvenire una rapina e corre a perdifiato per avvisare lo sceriffo, arrivando appena in tempo. Se invece vedeste un cowboy che corre semplicemente... fino al telefono più vicino restereste probabilmente spiazzati. 

Ma la realtà storica è questa: già nel 1890, quindi sul finire dell’era western comunemente intesa, negli Stati Uniti si potevano comperare i telefoni, e questi telefoni venivano “hackerati” dai cowboy per telefonare gratis nelle grandi pianure rurali.

Il problema non era procurarsi il telefono: lo si poteva ordinare per posta. Ma mancavano i cavi telefonici, che le compagnie come la Bell Telephone installavano soltanto nelle città. Tirare centinaia di chilometri di cavi per servire una manciata di persone non aveva nessuna convenienza economica.

Ma alcuni rancher intraprendenti si resero conto che in realtà i cavi c’erano già: bastava essere un pochino creativi. Le loro enormi proprietà erano infatti delimitate dal filo spinato, che è in sostanza un filo metallico in grado di condurre corrente e quindi anche di trasportare un segnale telefonico.

E di filo spinato ce n’era tanto. Nel periodo di picco, nel West ne veniva posato oltre un milione di chilometri ogni anno. Bastava attaccare un telefono alla recinzione e si poteva telefonare da un capo all’altro del filo, dato che i telefoni di quell’epoca erano autoalimentati da una batteria e generavano un segnale elettrico molto potente. Non serviva un centralino e non serviva un abbonamento. 

Si potevano anche fare chiamate collettive: anzi, quando qualcuno faceva una chiamata, squillavano tutti i telefoni presenti sul circuito. Ci si metteva d’accordo con una sequenza particolare di squilli per indicare la persona con la quale si voleva comunicare, ma era normale che rispondessero un po’ tutti. Le occasioni per parlare con qualcuno erano pochissime e quindi erano benvenute.

Questa strana storia di hacking nel Far West è documentata da storici come Rob MacDougall, della University of Western Ontario, in Canada, e raccontata da riviste come New Scientist (21/28 dicembre 2013) in tempi recenti e dalla Electrical Review del 1897, che segnala un ranch in California in cui “fra i vari accampamenti c’è una comunicazione telefonica tramite le recinzioni di filo spinato”. Il New England Journal of Agriculture, sempre nel 1897, cita due contadini del Kansas che vivevano a un miglio di distanza l’uno dall’altro e avevano collegato due telefoni al filo spinato per parlarsi.

In Texas, poi, c’era una recinzione, quello dell’XIT Ranch, che si estendeva per oltre 260 chilometri, e ai primi del Novecento “furono installati moltissimi telefoni nel ranch. Dove possibile, il filo superiore delle recinzioni veniva usato come linea telefonica, anche se la qualità del ‘servizio’ era atroce”, spiega il Texas Standard nel 2021. E non erano casi isolati: nel 1907 questi sistemi telefonici artigianali raccoglievano circa tre milioni di utenti, ossia mezzo milione in più di quelli della compagnia telefonica Bell. Trovate altre informazioni e dettagli in proposito su Atlas Obscura, How Stuff Works, Inc.

Queste reti telefoniche di filo spinato avevano però un limite: consentivano soltanto telefonate locali. Alla fine prevalsero le compagnie telefoniche, che offrivano chiamate interubane verso chiunque, anche se a pagamento, e oggi i cowboy comunicano le emergenze usando modernissimi telefoni satellitari, che prendono la linea anche dove non c’è il segnale radio della rete cellulare convenzionale.

Fonte: NBC News.

Storie dimenticate come questa, però, sono importanti per ricordare che non sempre è necessario ricorrere a tecnologie complicate, software e sistemi digitali per ottenere risultati sorprendenti. E se dovesse capitarvi di vedere un western in cui qualcuno telefona, non stupitevi e non gridate all’errore. La storia della tecnologia è piena di soluzioni alternative finite nell’oblio. Ogni tanto conviene ripassarle.

Molti utenti trovano che usare un messaggio vocale invece di scrivere sia più veloce e renda più chiara l’intenzione e il tono di chi parla; inoltre è possibile produrli mentre si hanno le mani impegnate o quando manca la possibilità di concentrarsi su schermo o tastiera.

Ci sono poi tanti casi nei quali un messaggio vocale è l’unica via: analfabetismo, difficoltà a scrivere una lingua ma non a parlarla, dislessia, ipovisione o cecità, impossibilità fisica a scrivere. In questo senso i messaggi vocali sono estremamente utili e preziosi.

Ma attenzione agli abusi, soprattutto per lavoro. Molti mandano messaggi vocali semplicemente per pigrizia, senza considerare che mandare un messaggio vocale farcito di errori e di "uh.. eh...uhm..." e che non va al sodo, invece di scrivere, vuol dire che chi manda considera più importante il proprio tempo di quello di chi dovrà ascoltarselo. 

Leggere è di solito molto più veloce che ascoltare. E non sempre è possibile ascoltare un vocale, per esempio nei luoghi affollati o rumorosi, senza privacy, o nei quali si deve mantenere il silenzio e non disturbare gli altri. Inoltre non è possibile fare ricerche all’interno dei messaggi vocali per ritrovare un’informazione.

Considerate quindi l’opportunità di usare la funzione di trascrizione della voce, invece di un messaggio vocale, ovviamente ricontrollando che cosa ha capito il telefonino prima di inviarlo, per evitare malintesi. Oppure semplicemente rinviate l’invio di un messaggio fino al momento in cui potete fermarvi a scriverlo e comporlo in modo efficace e comprensibile. 

So che oggi può sembrare un’eresia, ma ricordate che potreste anche molto semplicemente telefonare. 

Il messaggio vocale, insomma, fa risparmiare tempo a chi lo manda ma lo fa spendere a chi lo riceve. E se qualcuno si offende e si giustifica dicendo che i vocali si possono ascoltare mentre si fa altro e invece i messaggi di testo richiedono di fermarsi a leggerli, suggerisco questa risposta: “In altre parole, mi stai dicendo che le cose che faccio sono così stupide e facili che posso farle anche mentre ascolto messaggi. Secondariamente, mi stai dicendo che i tuoi messaggi sono così poco importanti che posso ascoltarli mentre sto facendo altro.”

Ultimo aggiornamento: 2021/01/04 12:30.

Numerosi lettori mi stanno segnalando che l’aggiornamento software dei loro telefonini Samsung parla di “nuove funzioni” ma in realtà ne toglie una intanto che aggiunge quelle nuove. Disabilita la radio FM.

La schermata dice “Ti informiamo che scegliendo di installare il presente aggiornamento, rimuoverai la funzione Radio FM dal tuo smartphone. Il presente aggiornamento viene rilasciato in ragione dell’entrata in vigore della legge n. 205/2017.”

Le ulteriori informazioni fornite rimandano a questa pagina del sito Samsung (copia permanente), che si riferisce al Samsung Galaxy A50, parla della Build A505FNXXU5BTL3 di Android 10 rilasciata il 9 dicembre 2020 e dice “Please be informed that if you decide to install this software update, you will remove the Radio FM feature from your smartphone. This software update is released in consideration of the Italian Law n. 205/2017.”

Il fenomeno, insomma, è legato a un provvedimento italiano. Questa legge 205/2017, a quanto risulta dai forum Samsung, obbliga i fabbricanti (di qualunque marca) a disabilitare il ricevitore FM integrato nei suoi dispositivi venduti in Italia. Le ragioni piuttosto bizzarre sono spiegate (per così dire) qui su Qds.it: si tratterebbe dell’articolo 1, comma 1044 di questa legge, che recità così:

Al fine di favorire l’innovazione tecnologica, a decorrere dal 1º giugno 2019 gli apparecchi atti alla ricezione della radiodiffusione sonora venduti dalle aziende produttrici ai distributori di apparecchiature elettroniche al dettaglio sul territorio nazionale integrano almeno un’interfaccia che consenta all’utente di ricevere i servizi della radio digitale. Per le medesime finalità, a decorrere dal 1º gennaio 2020 gli apparecchi atti alla ricezione della radiodiffusione sonora venduti ai consumatori nel territorio nazionale integrano almeno un’interfaccia che consenta all’utente di ricevere i servizi della radio digitale.

Se vi state chiedendo perché un comma che aggiunge la funzione di radio digitale finisca in pratica per disabilitare la funzione di radio FM, non siete i soli. Se qualcuno sa spiegare bene questa cosa, i commenti sono a sua disposizione. 

La spiegazione prevalente, per ora, è che la legge italiana obblighi chiunque produca un ricevitore radio (o un dispositivo che includa un ricevitore radio) a dotarlo della possibilità di ricevere le radio digitali (DAB). Siccome questa dotazione costerebbe troppo, i produttori preferiscono modificare gli smartphone in modo che non includano più la funzione di ricevitore radio e apportano questa modifica tramite un aggiornamento del software.

Il 18 dicembre Wired.it ha pubblicato un articolo sulla questione: 

“Dal prossimo 1° gennaio 2021, tutti gli smartphone dotati di radio Fm che sono stati venduti finora in Italia dovranno spegnere il servizio per rispettare l’entrata ufficiale in vigore della legge n. 205/2017 e la successiva integrazione del decreto Sblocca Cantieri [...] Tutti gli altri smartphone con radio fm integrata non rispetteranno le richieste e dovranno dunque spegnere il servizio rispettando la scadenza del 1 gennaio 2021.” 

Questo conferma la tesi che la legge italiana vieta gli smartphone che abbiano soltanto la radio FM e non includano anche la radio DAB+. Un classico esempio di legge che vorrebbe promuovere l’innovazione ma finisce per menomare gli apparecchi esistenti togliendo loro una funzione.

Per ascoltare le radio tramite lo smartphone occorrerà quindi usare app apposite che si collegano a Internet, consumando traffico dati, invece di captare il segnale radio FM gratuitamente.

La situazione svizzera prevede il passaggio dalla trasmissione analogica (FM) a quella digitale (DAB+) nel 2022-23, secondo l’Ufficio Federale delle Comunicazioni (UFCOM) citato da Tio.ch.

"Il 5G, come il 4G, il 3G e il 2G, è una tecnologia [di comunicazione] mobile ben consolidata. Dire che il 5G è dannoso è come dire che Windows 11 è cancerogeno. Parlando in termini di fisica, [il 5G] è un aggiornamento incrementale; non c’è nessuna differenza fondamentale tra il 5G e il 4G. Se le critiche mosse al 5G fossero valide, allora dovremmo disattivare tutte le reti mobili, perché quelle critiche varrebbero anche per il 4G e il 3G. Dal punto di vista fisico o medico, non c’è nessuna grande differenza tra 5G e 4G.

Detto questo, abbiamo oltre un miliardo di utenti in tutto il mondo che usano le reti mobili da vent’anni. Non c’è nessuna prova che questo causi danni sistematici alla salute. Dopo un miliardo di utenti in vent’anni, personalmente credo che se ci fosse un problema, ormai lo sapremmo. Abbiamo dati a sufficienza.”

“È molto semplice. Se guardi le radiazioni, a cui siamo esposti tu, io, tutti, oltre il 90% proviene dal tuo telefonino. Oltre il 90% delle radiazioni alle quali sei esposto proviene dal tuo telefonino. Quindi se sei preoccupato a proposito delle radiazioni del 5G, non comprare un telefonino 5G, disattiva il 5G sul tuo telefonino 5G, e avrai risolto il 90% del problema.”

Credit: Wikipedia.

“le radiazioni emesse dal vostro telefonino sono più intense se le antenne sono più lontane. Quindi tutte le persone che bloccano l’installazione di nuove antenne perché hanno paura delle radiazioni finiranno probabilmente per essere esposte a una maggiore quantità di radiazioni, perché continuano a usare il telefonino e il telefonino deve emettere più radiazioni per poter raggiungere l’antenna, che è più lontana. Se impedisci la posa di nuove antenne, crei in realtà più radiazioni”.

“significa che useremo di più il 4G, che è meno efficiente, in termini di energia, del 5G. Il 4G emette più radiazioni per trasmettere un gigabyte di dati rispetto al 5G.”

• Dr. med. Luciano Wannesson, Viceprimario dell’istituto di oncologia medica all'EOC (Ente Ospedaliero Cantonale);
• Angelo Consoli, dell’Istituto sistemi informativi e networking della SUPSI (Scuola universitaria professionale della Svizzera italiana);
• Samantha Bourgoin, Deputata in Gran Consiglio per i Verdi del Ticino.

La schermata di stato dei sistemi e servizi Apple, consultabile qui.

2019/02/08 21:30

Come difendersi

Risarcimento e rintracciamento dei truffatori

Morale della favola

2017/04/26

È stato falsificato l’account di una mia amica su facebook. Il truffatore, fingendosi la mia amica e utilizzando il suo account, mi ha chiesto il mio numero di telefono cellulare (Sunrise business) per un concorso, dicendomiche mi sarebbe arrivato un SMS con un numero da darle per questo concorso. Quando è arrivato l'sms con il numero gliel'ho dato, accorgendomi dopo che era un account falso e che quel numero era il PIN per certificare ed accedere ad un pagamento online (Sunrise Pay). Così diceva l'SMS in lingua straniera.

Immediatamente Dopo l’accaduto ho chiamato Sunrise business chiedendo come fare per bloccare un'ipotetica transazione avvenuta con il mio account Sunrise, e loro dopo 30 minuti di chiamata mi hanno ripetuto di non poter fare nulla e al limite di poter controllare l’indomani se ci fossero state chiamate o messaggi “strani” effettuati col mio numero. Ho chiesto insistentemente se ci fosse un protocollo che permettesse di agire subito e bloccare un ipotetica transazione, e dopo lunghe attese e incertezza da parte della signorina del cal center mi è stato detto che “non sapevano come aiutarmi”.

* Urgente molto urgente ... *

Si prega di passare a tutti !!!

Non rispondere ai seguenti numeri:
+375602605281,
+37127913091
+37178565072
+56322553736
+37052529259
+255901130460
o qualsiasi numero che inizi con il:
+375, +371, +381, +255 ecc. ecc.
Non dovete rispondere. Se rispondete dovete riagganciare subito. Non dovete assolutamente richiamare. Potrebbero copiare l'elenco dei vostri contatti in 3 secondi.
Se avete dati sensibili come quelli del conto banca o i
dati della carta di credito sul telefono, possono copiarli.
Chiamano da paesi stranieri..
+375 È dalla Bielorussia.
+371 È il codice per Lativa.
+381 Serbia
+ 563- Valparaiso
+ 370- Vilnius
+ 255- Tanzania
Inoltre, non bisogna assolutamente premere
# 90 o # 09
sul vostro cellulare se  chiesto da qualsiasi chiamante.
Si tratta di un nuovo trucco per accedere alla scheda SIM, effettuare chiamate a vostre spese e f potrebbero farvi incorrere in problemi con la giustizia.
Inoltrare questo messaggio a tutti gli amici, fermiamoli.

2015/12/16

Aggiornamenti