SIM Swap: come vengono rubati i dati sul telefono

Un nuovo tipo d'attacco mette in pericolo la nostra identità e la SIM del telefono. Scopriamo come agisce.

Con un attacco mirato e ben architettato i pirati informatici e i ladri digitali possono impadronirsi di un numero di telefono associato ad una precisa persona e di rubare i dati personali, inclusi i dati della carta di credito e i dati della carta prepagata (Postepay), vanificando tutti i sistemi di sicurezza a due fattori attivi fino a quel momento (considerando che molti siti ormai chiedono all'utente di attivare questo sistema di sicurezza).

In questa guida vediamo insieme quali sono le principali tecniche di furto d'identità, in grado di mettere davvero nei guai tutti i possessori di conti correnti, di account per l'e-commerce o in generale tutti i possessori di account con dati personali e dati sensibili.

In partcolare ci soffermiamo sulla tecnica del SIM Swap, cosa lo rende così pericoloso per i nostri telefonini, come possiamo accorgerci di essere vittima di un attacco SIM Swap e cosa possiamo fare per evitare di subire questo attacco, in grado di mettere davvero nei guai tutti i possessori di conti correnti, di account per l'e-commerce o in generale tutti i possessori di account con autenticazione a due fattori attivo.

https://www.navigaweb.net/2021/06/come-funziona-il-sim-swap-e-perche-e.html

1) Scambio di persona su WhatsApp

Una delle tecniche più utilizzate per eseguire il furto dei dati e dei soldi è lo scambio di persona su WhatsApp.

Il malintenzionato contatta un nostro parente (di solito genitori ma anche nonni) spacciandosi per noi, chiedendo aiuto per il telefono rotto, fornendo un nuovo numero di telefono su cui inviare i messaggi. Utilizzando alcune tecniche di ingegneria sociale riescono a farsi inviare dei soldi per comprare un telefono nuovo o per sbloccare il vecchio telefono, rubando così piccole somme di denaro.

La truffa è semplice ma molto efficace, visto che basta davvero poco per convincere un nostro parente che siamo in difficoltà e necessitiamo di denaro urgente. La prima cosa da fare è contattare subito con una chiamata il figlio o il parente protagonista del messaggio, chiedendo se realmente è in difficoltà (usando la chiamata tradizionale o usando il vecchio numero di WhatsApp), smascherando così i truffatori prima che possano spacciarsi davvero per noi.

2) Truffa delle Poste

Altra truffa molto diffusa in cui possiamo incappare è il messaggio SMS delle Poste Italiane. Il messaggio di phishing è pensato per far cadere in trappola anche l'utente più attento, visto che spesso viene "raggruppato" (in particolare su Android) nella stessa chat SMS dei messaggi legittimi di Poste Italiane.

Il messaggio avvisa che il conto alle Poste (o il conto associato alla Postepay) è stato bloccato o sono stati rivelati dei movimenti anomali; premendo sul link fornito ci ritroveremo in una schermata di phishing del tutto simile a quella di Poste ed, effettuando incautamente il login, forniremo accesso al conto ai malintenzionati, anche con le protezioni attive.

Su questo tipo di furto d'identità possiamo leggere le nostre guide su come riconoscere l'SMS truffa da Poste Info e su come evitare SMS truffa e spam.

3) SIM Swap

Con il SIM swapping indichiamo un attacco informatico portato dal malintenzionato che ottiene in maniera illecita una SIM Card con il nostro numero di telefono.

La possibilità di cambiare SIM mantenendo lo stesso numero nasce per scopi legittimi: quando subiamo un malfunzionamento, la rottura della SIM card originale o perdiamo la SIM Card (in molti casi insieme al telefono), possiamo recarci in un qualsiasi negozio dell'operatore o fare richiesta online di una SIM sostitutiva. L'operatore provvederà a fornire la nuova SIM e ad effettuare la portabilità del numero di telefono, disattivando la vecchia scheda (ovunque essa sia).

Questa tecnica può essere utilizzata anche da un malintenzionato: il criminale in questione si fa dare una SIM con il numero della vittima tramite un negozio o in modalità online, spacciandosi per noi. Nella maggior parte dei casi lo scambio va a buon fine e noi ci ritroviamo con la nostra SIM legittima sconnessa dalla rete, visto che ormai viene considerata disattivata dal nostro operatore.

Entrare in possesso del numero della vittima è il culmine di un attacco molto più grande e pericoloso: prima di fare il SIM Swap il malintenzionato ha già ottenuto le credenziali d'accesso ad un nostro servizio dove girano soldi (credenziali del conto corrente, account Amazon o account PayPal), utilizzando messaggi phishing, chiamate finte o email di spam.

Una volta ottenute queste credenziali possono effettuare il SIM Swap per bypassare il sistema d'autenticazione a due fattori, ottenendo il codice di sicurezza che normalmente arriva sul numero di telefono associato al servizio: peccato che nel frattempo tale numero ci è stato letteralmente rubato! Per portare a termine questo scambio è necessaria la complicità di un negozio dell'operatore (che avvia la portabilità senza nemmeno controllare i documenti oppure si fida di documenti falsi) o tramite vulnerabilità del sistema di cambio SIM online, dove basta fornire i documenti (anche questi rubati) per avviare la procedura automatica di portabilità verso la nuova SIM.

Spesso l'attacco viene condotto in maniera così veloce da non dare il tempo all'utente legittimo di bloccare l'autenticazione a due fattori sui servizi finanziari; dopo pochi minuti dal SIM Swap il conto corrente viene prosciugato o verranno avviate transazioni su PayPal o su Amazon (con buoni sconto comprati con i nostri soldi e riscattati da utenti sconosciuti).

4) Come evitare i furti d'identità

Per il SIM Swap l'AGCOM ha obbligato tutti gli operatori di telefonia mobile a fornire degli strumenti molto più efficaci, ma il rischio è concreto per tutti gli utenti che utilizzano il numero di telefono per accedere ai servizi bancari. Per limitare il rischio di SIM Swap vi consigliamo di seguire i seguenti suggerimenti:

Evitiamo di inserire il numero di telefono sui profili pubblici: il numero di telefono è personale e non dovrebbe essere esposto su Facebook o su altri social, visto che il malintenzionato potrebbe recuperare subito il numero di telefono preparando la trappola necessaria a recuperare le credenziali d'accesso di un conto corrente.
Utilizziamo le app d'autenticazione al posto degli SMS: al posto degli SMS vi consigliamo di utilizzare le app d'autenticazione per il 2FA, come per esempio Google Authenticator. Queste app forniscono un codice di sicurezza basato sul tempo effettivo sincronizzato, offrendo un metodo molto sicuro per fare gli accessi con autenticazione a due fattori.
Utilizziamo un sistema di verifica via email: invece di ricevere il codice via SMS possiamo ricevere lo stesso codice su un email sicura come Gmail o Outlook, utilizzando per questi servizi dei codici prestampati come sistemi di sicurezza (così da poter recuperare sempre l'accesso in emergenza).
Disattiviamo l'invio dei codici via SMS per la banca: se la banca lo consente configuriamo l'accesso sicuro a due fattori tramite l'app della banca, che può usare l'impronta digitale del telefono o un PIN segreto per autorizzare tutti gli accessi e le transazioni, rendendo di fatto obsoleto l'invio via SMS.

Per tutte le altre truffe evidenziati vi consigliamo di fare molta attenzione ai messaggi strani su WhatsApp, ai messaggi sconosciuti e alle email di phishing: ricordiamoci che il malintenzionato non se ne fa nulla del nostro numero di telefono se non ha già le credenziali del conto corrente in mano! Per prevenire il phishing e le email di spam vi consigliamo di leggere le nostre guide Come evitare SMS truffa e spam e Riconoscere e-mail false, con truffa, non autentiche.

Conclusioni

Tutte le tecniche che via abbiamo mostrato sono molto pericolose per l'identità della persona e per la sicurezza dei suoi conti correnti e dei suoi soldi in digitale. Il SIM Swap può essere molto pericoloso se attuato dopo un attacco phishing o dopo una fuga di dati che coinvolga il nostro account: basta davvero poco per trovarsi con la SIM legittima non funzionante e, dopo pochi minuti dal fatto, il conto corrente prosciugato da tutti i soldi che avevamo faticosamente messo da parte.

Per approfondire l'aspetto sicurezza delle autenticazioni a due fattori vi consigliamo di leggere le nostre guide Siti / app dove attivare la verifica in due passaggi della password e Migliori app per generare OTP, per accesso sicuro ai siti.

Frank
17/6/21

Per questo ho disattivato le mie credenziali del conto Banco Posta mandando una raccomandata a Roma! Il rischio è troppo alto, e poi se ti svuotano il conto non ti rimborsano, le poste no di sicuro, è già successo! meglio usare una prepagata qualsiasi e caricarla con un bonifico dal proprio conto bancario o postale e usarla con l'app del cellulare. Cosi al massimo ti potranno rubare, se sei vittima di SIM Swap, quello che hai sulla prepagata, e non l'intero conto corrente!!!!!!