Clear Sky Science
Spiegazioni basate sulle evidenze, con poco gergo

Clear Sky Science · it

Il framework WeDDa per prevenire smishing e vishing usando fiducia crittografica agnostica rispetto al protocollo

· Torna all'indice

Perché le chiamate e i messaggi falsi riguardano tutti

La maggior parte di noi si affida ormai al telefono per operazioni bancarie, servizi pubblici, consegne e perfino allerte di emergenza. Eppure il sistema telefonico globale consente ancora ai criminali di fingersi chiunque—la tua banca, un ministero della salute o la polizia—semplicemente falsificando l'ID chiamante. Questo ha alimentato una crescita esplosiva di smishing (messaggi di testo fraudolenti) e vishing (chiamate vocali fraudolente), con perdite miliardarie e un lento erosione della fiducia pubblica nei servizi digitali. Questo articolo presenta WeDDa, un nuovo modo per ricostruire la fiducia nella rete telefonica in modo che un numero debba essere provato, non solo dichiarato.

Figure 1
Figure 1.

La portata del problema

Gli autori mostrano che le difese odierne contro chiamate e messaggi fraudolenti sono per lo più reattive. Compagnie telefoniche e app usano blacklist, apprendimento automatico e segnalazioni degli utenti per individuare traffico sospetto, ma solo dopo che ha già raggiunto l'utente. Nel frattempo, gli attacchi crescono rapidamente: solo lo smishing è aumentato di centinaia di percentuali in pochi anni, con perdite nell'ordine dei miliardi di dollari. Oltre al danno economico, questo flusso continuo di falsi crea ciò che gli autori chiamano una “tassa sulla fiducia digitale”: le persone cominciano a ignorare messaggi legittimi, i governi faticano a raggiungere i cittadini e servizi critici come allerte di emergenza o campagne sanitarie perdono credibilità.

Il difetto di progettazione nascosto nelle reti telefoniche

Al centro di questa crisi c'è un errore di progettazione di base nell'infrastruttura telefonica mondiale. I sistemi di segnalazione core, come SS7 per le chiamate tradizionali e SIP per le chiamate via internet, sono stati costruiti decenni fa per un ristretto gruppo di operatori fidati, non per un ambiente ostile su scala internet. Questi protocolli permettono a una rete di dire a un'altra «Questa chiamata proviene da questo numero», senza alcun meccanismo incorporato per provarlo in modo crittografico. Strumenti moderni come filtri antispam e classificatori AI cercano quindi di giudicare l'onestà di un messaggio dopo che la rete ha già accettato una menzogna sull'identità del mittente. Gli autori sostengono che finché l'identità del chiamante sarà solo affermata e non provata, la frode resterà inevitabile.

Un nuovo strato di fiducia per l'identità verificata del chiamante

Il framework WeDDa propone di aggiungere uno strato di fiducia obbligatorio all'interno della rete, invece di fare affidamento su app o dispositivi degli utenti finali. L'idea centrale è creare uno «spazio dei nomi» verificato per le identità di comunicazione e richiedere una prova crittografica al gateway dove le chiamate e i messaggi entrano nella rete. Le organizzazioni registrano prima le loro identità—usando etichette chiare e leggibili, ad esempio Bank_Alerts_City—presso un'Autorità di Comunicazione Verificata. Tale autorità emette chiavi digitali strettamente legate a specifici intervalli di numeri e operatori di rete. Quando viene inviata una chiamata o un messaggio, il gateway di origine lo firma con queste chiavi; il gateway ricevente verifica quindi la firma rispetto a un registro sicuro prima di decidere se lasciarlo passare.

Come funziona WeDDa nella pratica

Per rendere la soluzione praticabile, gli autori progettano quattro blocchi costitutivi principali. Primo, un registro nazionale conserva le identità approvate, i loro numeri di telefono e le chiavi pubbliche necessarie per verificare le firme. Secondo, gateway telecom e internet eseguono i controlli crittografici su tutto il traffico protetto, bloccando qualsiasi elemento privo di prova valida. Terzo, banche dati specializzate registrano i tentativi falliti e i modelli di abuso, fornendo a investigatori e sistemi di machine learning prove ricche sul comportamento degli attaccanti. Infine, uno strato orientato alle persone comprende campagne di sensibilizzazione pubblica e elenchi trasparenti e ricercabili di numeri verificati, così che gli utenti possano vedere quali nomi possono fidarsi in sicurezza. Fondamentale è che tutto questo possa essere aggiunto a livello di rete senza cambiare i telefoni degli utenti.

Figure 2
Figure 2.

Prove da simulazioni su larga scala

Poiché è difficile rifare un sistema telefonico nazionale in attività, il team ha costruito simulazioni di laboratorio ad alta fedeltà modellate sull'infrastruttura delle telecomunicazioni egiziane. Hanno generato 200.000 chiamate di prova attraverso sistemi SS7 tradizionali e sistemi VoIP basati su internet, mescolando traffico genuino con diversi tipi di attacchi di spoofing. In condizioni controllate, ogni chiamata spoofed che si basava su un ID chiamante contraffatto è stata bloccata, mentre tutte le chiamate legittimamente firmate sono state permesse, e il ritardo aggiuntivo di elaborazione è rimasto nell'ordine dei microsecondi—ben al di sotto di quanto l'uomo possa percepire. Gli autori sottolineano che le reti reali sono più disordinate e gli avversari più creativi, ma questi esperimenti dimostrano che la sorveglianza crittografica ai gateway può, in linea di principio, fermare lo spoofing d'identità alla fonte senza rallentare il sistema.

Limiti, sfide e cosa sarebbe necessario

WeDDa non è uno scudo magico contro tutte le frodi. Non può fermare le truffe che usano numeri reali ma compromessi, né può leggere il contenuto delle chiamate o rilevare script manipolativi. Dipende inoltre in modo rilevante dalla governance: i paesi dovrebbero istituire autorità affidabili, coordinarsi oltre i confini e convincere o costringere gli operatori ad adottare il sistema. Le reti più vecchie potrebbero richiedere aggiornamenti hardware, e un'adozione incompleta lascerebbe punti deboli che gli attaccanti potrebbero sfruttare. Gli autori vedono quindi WeDDa come uno strato essenziale in una più ampia strategia di «difesa in profondità» che include anche educazione, protezioni a livello di app e politiche rigide per le piattaforme online.

Cosa significa per gli utenti comuni

Per le persone comuni, la visione dietro WeDDa è semplice: quando il tuo telefono indica che una chiamata proviene dalla tua banca, la rete stessa avrà già controllato un passaporto crittografico che ne prova l'identità prima ancora che il telefono squilli. In un mondo del genere, smishing e vishing basati su ID chiamante falsi diventerebbero molto più difficili e costosi da mettere in atto. Sebbene trasformare questo progetto in realtà richiederà anni di lavoro tecnico e coordinamento internazionale, lo studio offre un percorso chiaro verso reti telefoniche in cui la fiducia è incorporata fin dalla progettazione, anziché essere aggiunta in seguito come palliativo.

Citazione: Salem, M.F.M., Hamad, E.K.I. & El-Bendary, M.A.M. The WeDDa framework for preventing smishing and vishing using protocol agnostic cryptographic trust. Sci Rep 16, 7949 (2026). https://doi.org/10.1038/s41598-026-38539-y

Parole chiave: smishing, vishing, spoofing dell'ID chiamante, autenticazione crittografica, sicurezza delle telecomunicazioni