Chiamate spam aziendali continue: ecco come tutelare la sicurezza del centralino aziendale

Le chiamate commerciali e robotiche che intasano il centralino non sono solo un fastidio. In molti casi rappresentano un campanello d’allarme per la sicurezza del centralino aziendale, esposto o già parzialmente compromesso.

In quasi tutte le aziende italiane il centralino riceve ogni giorno decine di chiamate indesiderate. La gran parte arriva da operatori automatici che cercano di proporre offerte energetiche nelle lingue più disparate o da finti consulenti bancari. In altre occasioni si tratta soltanto di chiamate mute che si chiudono dopo due secondi. La reazione naturale è trattarlo come un problema operativo, da risolvere con qualche accorgimento interno. Si risponde meno volentieri alle linee in entrata, qualcuno chiede alle segretarie di filtrare meglio i contatti sconosciuti e prima o poi parte la proposta di installare un sistema di blocco. Nella maggior parte dei casi è una reazione che lascia scoperto il problema più importante.

Perché ricevi così tante chiamate spam aziendali
Quando le chiamate spam diventano sintomo di compromissione
Le frodi più diffuse contro i centralini aziendali
Le vulnerabilità più sfruttate dei centralini aziendali
Come proteggere il centralino aziendale

Sicurezza centralino aziendale a rischio: chiamate spam continue come sintomo di un possibile attacco al sistema telefonico

Le frodi che passano per le linee telefoniche muovono oggi un giro d’affari da quasi 39 miliardi di dollari all’anno a livello mondiale, secondo i dati della Communications Fraud Control Association, con perdite cresciute del 12% in due anni. Buona parte di questo denaro finisce nelle tasche di criminali che hanno preso il controllo di centralini aziendali rimasti poco protetti.

Quando un’azienda riceve un volume anomalo di chiamate spam c’è quasi sempre un motivo preciso: il suo numero o il suo centralino sono finiti in qualche spam list. La sicurezza del centralino aziendale smette di essere una considerazione tecnica e diventa un problema a tutti gli effetti.

Ma come sempre, andiamo con ordine e affrontiamo per gradi l’argomento.

Perché ricevi così tante chiamate spam aziendali

I numeri aziendali non finiscono nelle liste di telemarketing per caso. Tutto quello che un’azienda pubblica come contatto, dal sito web alla visura camerale fino alle pagine LinkedIn dei dipendenti, diventa prima o poi un bersaglio per software che raccolgono contatti in modo automatico e li rivendono sui mercati del telemarketing, sia legale sia illegale. A questa esposizione si somma una tecnica che oggi è ormai di uso comune fra i criminali: la falsificazione del numero chiamante, in inglese CLI Spoofing. Con questa tecnica il call center fraudolento mostra sul display della vittima un qualunque numero italiano apparentemente legittimo, anche quando la chiamata parte da un’infrastruttura collocata all’estero. Riconoscere chi sta davvero telefonando diventa quasi impossibile.

C’è poi una seconda categoria di chiamate che molte aziende confondono con il telemarketing aggressivo: i tentativi automatici di intrusione. Sono programmi che esplorano la rete in continuazione alla ricerca di centralini aziendali raggiungibili dall’esterno. Quando un centralino risponde da internet, il programma comincia a provare combinazioni di password per autenticarsi. La chiamata che fa squillare i telefoni dell’azienda è una vera e propria verifica di accesso al centralino. Se nessuno reagisce o se gli allarmi non scattano, il programma capisce di avere via libera e prosegue con il proprio lavoro.

Imparare a distinguere tra spam commerciale e tentativo di intrusione è il primo passo per capire se il centralino aziendale è soltanto finito nel mercato grigio del telemarketing, oppure se sta entrando nel radar di qualcuno con intenzioni molto peggiori.

Quando le chiamate spam diventano sintomo di compromissione

Esistono segnali precisi che permettono di distinguere un’azienda soltanto bersagliata dal telemarketing da una con il centralino già parzialmente o totalmente compromesso. Riconoscerli per tempo evita conseguenze economiche pesanti.

Bollette telefoniche con voci anomale, in particolare per chiamate internazionali verso paesi che l’azienda non ha mai avuto motivo di contattare. Le frodi telefoniche passano quasi sempre attraverso numerazioni con tariffe altissime, dove i ricavi vengono divisi tra l’operatore complice e l’attaccante. Tra i prefissi più ricorrenti compaiono quelli di Cuba, Somalia, Lettonia e Tonga, oltre ad alcuni prefissi satellitari.
Picchi di traffico in uscita fuori orario di lavoro, soprattutto nei weekend e nei giorni festivi. I criminali preferiscono le finestre in cui nessuno controlla, così da accumulare il maggior numero possibile di minuti prima che qualcuno se ne accorga.
Accessi amministrativi sospetti all’interfaccia di gestione del centralino, magari da indirizzi internet sconosciuti oppure in orari incompatibili con la normale presenza del team IT.
Telefonate ricevute da clienti o fornitori che dichiarano di essere stati contattati dal vostro numero, con conversazioni che il vostro personale non ha mai avuto. Significa che qualcuno sta usando il vostro numero come maschera per truffare proprio i vostri clienti, sfruttando la fiducia che il marchio aziendale ha già costruito negli anni.
Disturbi anomali sulle linee in entrata, con qualità audio degradata o blocchi totali del centralino che durano ore senza motivo apparente. Spesso si tratta di un attacco di saturazione, usato come diversivo mentre in parallelo si porta a termine un’altra azione fraudolenta.

Quando più di questi segnali compaiono in contemporanea, la probabilità che il centralino sia già compromesso passa dal possibile al probabile. Rimandare in questa fase costa molto caro. In Italia, secondo la prassi consolidata nei contratti con gli operatori telefonici, l’azienda paga comunque il traffico generato dal proprio centralino, anche quando l’abuso lo commette un terzo non autorizzato. La rivalsa in giudizio resta sempre possibile, ma i tempi sono lunghi e non c’è alcuna garanzia di esito.

Le frodi più diffuse contro i centralini aziendali

Capire come gli attaccanti monetizzano il controllo di un centralino aziendale aiuta a quantificare il rischio reale.

La frode tariffaria (toll fraud)

Il toll fraud, che in italiano si traduce come frode tariffaria, è il caso più frequente. L’attaccante prende il controllo del centralino aziendale e lo utilizza per generare chiamate verso numerazioni a tariffa maggiorata, quasi sempre estere. Le finestre di azione sono ridottissime, qualche ora al massimo. In quel tempo l’attaccante può accumulare migliaia di euro di traffico verso numeri controllati indirettamente da lui o dai suoi affiliati. Il danno medio per un singolo episodio in Europa supera i 10.000 euro. Esistono però casi documentati di aziende che si sono ritrovate con oltre 100.000 euro di traffico illecito in un unico weekend. La variante più sofisticata di questa frode prende il nome di IRSF e nel solo 2023 ha generato perdite globali per oltre 6 miliardi di dollari.

Quando i criminali usano il tuo numero per ingannare i tuoi clienti

La falsificazione del numero chiamante di cui abbiamo già parlato, il CLI Spoofing, permette al criminale di mascherare la propria telefonata facendola apparire come originata da un numero qualsiasi. Quando quel numero è quello reale di un’azienda riconoscibile, le vittime credono di ricevere una chiamata dal brand di cui si fidano. È la dinamica del vishing, la truffa telefonica condotta da finti consulenti o operatori dall’aria autentica. A quel punto può accadere di tutto. I clienti finiscono per consegnare credenziali di accesso o dati bancari, convinti di parlare con un consulente legittimo.

Il danno reputazionale per l’azienda è grave anche nei casi in cui il sistema interno è rimasto perfettamente integro. Per chi ha subito la truffa non c’è differenza fra un’azienda effettivamente compromessa e un’azienda usata come maschera.

Quando il centralino viene preso in ostaggio

Esistono due forme estreme di compromissione, molto diverse fra loro. La prima è la più temuta. L’attaccante prende possesso completo del centralino utilizzando credenziali rubate o sfruttando falle di sicurezza mai aggiornate. Una volta dentro ha pieno controllo del sistema. Da quel momento può intercettare le conversazioni in tempo reale e usare l’infrastruttura per qualunque scopo gli serva, dalla deviazione delle linee aziendali alla registrazione abusiva del traffico voce.

La seconda forma di compromissione assomiglia più a un assedio. Le linee dell’azienda ricevono in pochi minuti migliaia di chiamate simultanee, fino a saturarsi completamente. Spesso questa seconda variante non rappresenta il fine ultimo dell’attacco ma soltanto un diversivo. Serve a tenere occupato il personale tecnico per qualche ora, mentre in parallelo i criminali portano a termine un’altra azione fraudolenta, magari una truffa via email diretta all’amministrazione.

Le vulnerabilità più sfruttate dei centralini aziendali

Le compromissioni dei centralini aziendali non avvengono quasi mai sfruttando vulnerabilità sconosciute o tecniche raffinatissime. Nella maggior parte dei casi gli attaccanti hanno semplicemente trovato errori di configurazione molto comuni. Le condizioni che aprono la strada a un’intrusione sono cinque e si ripetono in modo sorprendentemente regolare nelle aziende italiane.

Centralino accessibile direttamente da internet senza alcun filtro. È la prima cosa che cercano i programmi automatici di intrusione e bastano davvero pochi minuti per individuare un centralino di questo tipo a livello globale.
Password deboli oppure mai modificate dalla configurazione di fabbrica. Combinazioni elementari come “1234” o “admin” restano sorprendentemente diffuse anche nelle organizzazioni più importanti, sia sugli interni sia sui pannelli di gestione.
Software del centralino non aggiornato. I produttori rilasciano con regolarità correzioni per vulnerabilità ormai note. Le aziende che non seguono un ciclo costante di aggiornamenti finiscono per restare esposte a falle pubbliche già documentate da anni.
Centralino installato sulla stessa rete dei pc e dei server aziendali, senza alcuna separazione logica. In una configurazione di questo tipo una compromissione del centralino apre la strada all’intera infrastruttura aziendale. Vale anche il percorso inverso: un’intrusione partita dalla rete dati raggiunge facilmente il centralino.
Assenza di controllo sul traffico in uscita. Senza un sistema che avvisi in tempo reale in presenza di chiamate verso numerazioni a sovrapprezzo o di picchi anomali, la frode può maturare per ore senza che nessuno se ne accorga.

Anche i centralini tradizionali, le vecchie linee analogiche e ISDN, non sono al sicuro per il semplice fatto di non viaggiare su internet. Restano vulnerabili tanto alla falsificazione del numero chiamante in ingresso quanto all’abuso degli accessi remoti che molte aziende lasciano configurati per le chiamate dall’esterno. Anche la manomissione fisica del dispositivo di gestione resta una possibilità concreta, soprattutto nelle realtà in cui la sala server non ha controlli di accesso adeguati.

Come proteggere il centralino aziendale

La sicurezza del centralino aziendale richiede un insieme coordinato di misure tecniche, organizzative e di monitoraggio costante. Nessuna di queste misure è risolutiva da sola. Le aziende che hanno avuto problemi gravi in passato le hanno adottate quasi sempre dopo l’incidente e mai prima. Le pratiche fondamentali sono queste:

Limitare l’accesso al centralino dall’esterno. Quando un’apertura verso internet è inevitabile, il primo livello di difesa è filtrare gli indirizzi autorizzati e ridurre il volume di chiamate che il sistema accetta da fonti sconosciute.
Imporre password forti e autenticazione a due fattori sui pannelli amministrativi e sugli interni del centralino. Nessuna eccezione vale per gli account tecnici o di servizio, che restano spesso il punto debole anche nelle aziende più rigorose in termini di sicurezza.
Bloccare le chiamate verso destinazioni internazionali non operative per l’azienda e verso numerazioni a sovrapprezzo. Consentire soltanto le destinazioni effettivamente utilizzate dal personale riduce la superficie della frode quasi a zero.
Separare la rete telefonica da quella dei pc e dei server aziendali. Una compromissione su uno dei due lati non deve propagarsi automaticamente all’altro.
Aggiornare costantemente il software del centralino, con un calendario regolare di patch che chiuda tempestivamente le vulnerabilità note appena vengono pubblicate.
Monitorare il traffico in uscita in tempo reale e impostare avvisi automatici sulle anomalie di volume, di destinazione o di orario.
Pianificare verifiche periodiche di sicurezza sull’infrastruttura di comunicazione, con controllo delle configurazioni e test di esposizione condotti da professionisti esterni.

Tutto questo richiede competenze tecniche specifiche e una visione d’insieme dell’infrastruttura aziendale, che vada dalla rete dati al centralino fino alle policy di accesso interno. Per le aziende che vogliono valutare il livello reale di esposizione del proprio sistema di comunicazione e impostare un piano di intervento proporzionato al rischio, la strada più diretta è una consulenza di cyber security dedicata. Il percorso parte dall’analisi delle vulnerabilità esistenti e arriva fino alla definizione delle contromisure più adatte alla realtà aziendale.

In conclusione

Le chiamate spam che arrivano al centralino aziendale sono raramente un fenomeno isolato. Spesso indicano un’esposizione del sistema di comunicazione più ampia di quanto l’organizzazione percepisca. La differenza fra un’azienda che subisce soltanto telemarketing aggressivo e una con il centralino già compromesso si misura su segnali tecnici precisi, dalle bollette anomale ai picchi notturni di traffico. A questi si aggiungono accessi amministrativi sospetti o segnalazioni di clienti contattati a nome del brand.

Affrontare la questione solo quando arriva la bolletta da decine di migliaia di euro oppure la prima chiamata di un cliente raggirato a nome dell’azienda è il modo più costoso di occuparsene. Una verifica preventiva mirata sull’infrastruttura di comunicazione e una protezione coerente del centralino cambiano radicalmente le prospettive.

Cyberment supporta le aziende in tutto questo percorso. Per misurare il livello reale di esposizione del proprio centralino e dell’infrastruttura aziendale, il punto di partenza tecnico è un vulnerability assessment mirato. Dai risultati di quell’analisi si costruisce un piano di intervento proporzionato al rischio, scegliendo fra i servizi di sicurezza informatica più adatti alla realtà aziendale.

Se ti è piaciuto questo articolo, condividi con noi la tua esperienza.

Autore articolo
Gli ultimi articoli

Aldo Vernaglione

Classe 1993, ingegnere gestionale e Adobe Certified Professional in Graphic Design & Visual Design. Ho mosso i primi passi nel campo informatico grazie alla passione per i videogiochi, che mi ha portato ad approfondire i motori grafici e la progettazione visiva. Scrivo da quando ero bambino e, con il tempo, la scrittura è diventata parte integrante del mio lavoro nel mondo della comunicazione e della sicurezza informatica.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.