SMS blaster: come funziona la truffa e come difendersi

Una persona percorre più volte una zona centrale e affollata della città. Nel bagagliaio nasconde un dispositivo dall’aspetto innocuo: un cosiddetto SMS blaster. Serve a inviare automaticamente messaggi di phishing a tutti gli smartphone presenti nelle immediate vicinanze, senza bisogno di conoscerne i numeri di telefono.

Chi cade nella trappola fornisce senza saperlo a malviventi dati personali e informazioni bancarie, in un nuovo tipo di truffa che si è ormai diffuso anche in Svizzera.

I primi casi si sono registrati a Ginevra, dove le autorità sono a conoscenza di 154 persone colpite per un danno totale di quasi due milioni di franchi, mentre nel canton Vaud una quarantina di persone hanno perso in totale 260’000 franchi. Le polizie cantonali di Ticino, Zurigo, Zugo e Lucerna hanno confermato l’uso di SMS blaster sui loro territori, senza però fornire ulteriori dettagli, dato che le inchieste sono ancora in corso. Sono noti anche dei casi a Basilea Città e Campagna.

Gli SMS di phishing, ovvero quei messaggi che tentano di ingannare la vittima per sottrarle le sue informazioni personali, non sono una novità. Per contrastare questo fenomeno Swisscom, Sunrise e Salt nel 2022 hanno introdotto dei filtri che bloccano quotidianamente decine di migliaia di SMS fraudolenti.

Con un SMS blaster è però possibile aggirare questi filtri. Il dispositivo, grande quanto un computer fisso e che può quindi essere trasportato nel bagagliaio di un’auto o in uno zaino, si finge un’antenna di telefonia mobile e grazie a un segnale molto potente costringe gli smartphone presenti in un raggio tra i 500 e i 1’000 metri a collegarsi.

Stabilita la connessione, i telefonini ricevono automaticamente un SMS, senza che i criminali debbano conoscere i numeri delle vittime. Anche il nome del mittente può essere scelto liberamente, permettendo di adattare i messaggi al luogo e alla situazione.

Dal punto di vista tecnico, l’SMS blaster forza temporaneamente gli smartphone a tornare sulla vecchia rete 2G. Qui sfrutta una vulnerabilità nota, il cosiddetto null cipher, per recapitare i messaggi senza alcun controllo. La truffa funziona nonostante la rete 2G sia stata disattivata in Svizzera. Anche gli smartphone più recenti sono ancora in grado di collegarsi al 2G, uno standard tuttora utilizzato in diversi Paesi.

Una nuova truffa tecnologica (Kassensturz, SRF, 28.04.2026)

Il sistema è attraente per i truffatori “perché lo possono usare senza dipendere dalla rete degli operatori di telecomunicazioni” sottolinea l’esperto di cibersicurezza Marc Ruef. È anche difficile da individuare per le autorità, perché i malviventi lo possono usare senza preavviso, per un tempo limitato e senza che vi siano indizi sul prossimo colpo.

Gli SMS blaster non sono però invisibili e lasciano diverse tracce elettroniche, spiega Lukas Wunderlin, responsabile della cibercriminalità della polizia cantonale di Basilea Campagna, che si è occupato di un caso avvenuto lo scorso autunno.

Grazie a un SMS blaster in un solo giorno sono stati raggiunti circa 100’000 smartphone, che hanno ricevuto un messaggio a nome della Migros e rinviava a una pagina falsa che proponeva buoni regalo e offerte gratuite, con l’obiettivo di carpire i dati delle carte di credito.

La polizia in questo caso è riuscita ad arrestare il presunto autore, un cittadino cinese, grazie alla segnalazione di operatore di telefonia mobile. È quindi stato possibile analizzare il dispositivo, che conteneva diversi moduli di telefonia mobile, era collegato alla batteria dell’auto e veniva controllato tramite un’app.

Le indagini sono ancora in corso e le autorità non sono quindi entrate nei dettagli, ma la polizia ha confermato che l’uomo non avrebbe agito da solo e farebbe parte di una rete criminale.