Come funziona il SIM Swap e perché è pericoloso

Un nuovo tipo d'attacco mette in pericolo la nostra identità e la SIM del telefono. Scopriamo come agisce.

Tra gli attacchi informatici che vengono portati a segno verso i telefonini moderni quello più pericoloso di tutti è senza ombra di dubbio il SIM Swap, un attacco mirato e ben architettato dai pirati informatici o dai ladri digitali che permette di scambiare impadronirsi di un numero di telefono associato ad una precisa persona e di rubarle l'identità associata alla SIM, vanificando tutti i sistemi di sicurezza a due fattori attivi fino a quel momento (considerando che molti siti ormai chiedono all'utente di attivare questo sistema di sicurezza).

In questa guida vediamo insieme come funziona il SIM Swap, cosa lo rende così pericoloso per i nostri telefonini, come possiamo accorgerci di essere vittima di un attacco SIM Swap e cosa possiamo fare per evitare di subire questo attacco, in grado di mettere davvero nei guai tutti i possessori di conti correnti, di account per l'e-commerce o in generale tutti i possessori di account con autenticazione a due fattori attivo.

Come intuibile, questo tipo d'attacco è molto complesso da portare a termine, ma una volta che veniamo colpiti diventa davvero molto difficile tornare in possesso del proprio numero di telefono, compromettendo tutti i servizi in cui l'avevamo utilizzato. Conviene quindi prestare la massima attenzione a quello che abbiamo descritto nei successivi capitoli, così da avere piena coscienza del pericolo ed evitare il SIM Swap.

Cos'è il SIM Swap

Il SIM swapping indica l'attacco informatico portato dal malintenzionato che ottiene in maniera illecita una SIM Card con il nostro numero di telefono.

La possibilità di cambiare SIM mantenendo lo stesso numero nasce per scopi legittimi: quando subiamo un malfunzionamento, la rottura della SIM card originale o perdiamo la SIM Card (in molti casi insieme al telefono), possiamo recarci in un qualsiasi negozio dell'operatore o fare richiesta online di una SIM sostitutiva. L'operatore provvederà a fornire la nuova SIM e ad effettuare la portabilità del numero di telefono, disattivando la vecchia scheda (ovunque essa sia).

Questa tecnica può essere utilizzata anche da un malintenzionato: il criminale in questione si fa dare una SIM con il numero della vittima tramite un negozio o in modalità online, spacciandosi per noi. Nella maggior parte dei casi lo scambio va a buon fine e noi ci ritroviamo con la nostra SIM legittima sconnessa dalla rete, visto che ormai viene considerata disattivata dal nostro operatore.

Entrare in possesso del numero della vittima è il culmine di un attacco molto più grande e pericoloso: prima di fare il SIM Swap il malintenzionato ha già ottenuto le credenziali d'accesso ad un nostro servizio dove girano soldi (credenziali del conto corrente, account Amazon o account PayPal), utilizzando messaggi phishing, chiamate finte o email di spam; una volta ottenute queste credenziali possono effettuare il SIM Swap per bypassare il sistema d'autenticazione a due fattori, ottenendo il codice di sicurezza che normalmente arriva sul numero di telefono associato al servizio...peccato che nel frattempo tale numero ci è stato letteralmente rubato! Per portare a termine questo scambio è necessaria la complicità di un negozio dell'operatore (che avvia la portabilità senza nemmeno controllare i documenti oppure si fida di documenti falsi) o tramite vulnerabilità del sistema di cambio SIM online, dove basta fornire i documenti (anche questi rubati) per avviare la procedura automatica di portabilità verso la nuova SIM.

Spesso l'attacco viene condotto in maniera così veloce da non dare il tempo all'utente legittimo di bloccare l'autenticazione a due fattori sui servizi finanziari; dopo pochi minuti dal SIM Swap il conto corrente viene prosciugato o verranno avviate transazioni su PayPal o su Amazon (con buoni sconto comprati con i nostri soldi e riscattati da utenti sconosciuti).

Cosa possiamo fare per evitare il SIM Swap

L'AGCOM ha obbligato tutti gli operatori di telefonia mobile a fornire degli strumenti molto più efficaci per fermare il SIM Swap, ma il rischio è concreto per tutti gli utenti che utilizzano il numero di telefono per accedere ai servizi bancari. Per limitare il rischio di SIM Swap vi consigliamo di seguire i seguenti suggerimenti:

Evitiamo di inserire il numero di telefono sui profili pubblici: il numero di telefono è personale e non dovrebbe essere esposto su Facebook o su altri social, visto che il malintenzionato potrebbe recuperare subito il numero di telefono preparando la trappola necessaria a recuperare le credenziali d'accesso di un conto corrente.
Utilizziamo le app d'autenticazione al posto degli SMS: al posto degli SMS vi consigliamo di utilizzare le app d'autenticazione per il 2FA, come per esempio Google Authenticator. Queste app forniscono un codice di sicurezza basato sul tempo effettivo sincronizzato, offrendo un metodo molto sicuro per fare gli accessi con autenticazione a due fattori.
Utilizziamo un sistema di verifica via email: invece di ricevere il codice via SMS possiamo ricevere lo stesso codice su un email sicura come Gmail o Outlook, utilizzando per questi servizi dei codici prestampati come sistemi di sicurezza (così da poter recuperare sempre l'accesso in emergenza).
Disattiviamo l'invio dei codici via SMS per la banca: se la banca lo consente configuriamo l'accesso sicuro a due fattori tramite l'app della banca, che può usare l'impronta digitale del telefono o un PIN segreto per autorizzare tutti gli accessi e le transazioni, rendendo di fatto obsoleto l'invio via SMS.

Accanto a questi consigli vi consigliamo di fare molta attenzione alle email finte o alle email di phishing: ricordiamoci che il malintenzionato non se ne fa nulla del nostro numero di telefono se non ha già le credenziali del conto corrente in mano! Per prevenire il phishing e le email di spam vi consigliamo di leggere le nostre guide Come evitare SMS truffa e spam e Riconoscere e-mail false, con truffa, non autentiche.

Conclusioni

Il SIM Swap può essere molto pericoloso se attuato dopo un attacco phishing o dopo una fuga di dati che coinvolga il nostro account: basta davvero poco per trovarsi con la SIM legittima non funzionante e, dopo pochi minuti dal fatto, il conto corrente prosciugato da tutti i soldi che avevamo faticosamente messo da parte. Gli operatori stanno rafforzando le procedure per poter cambiare la SIM in caso di furto o smarrimento, ma se ben organizzati i malintenzionati possono ancora fare il SIM Swapping, quindi meglio disattivare dove possibile l'autenticazione tramite codici via SMS e attivare l'autenticazione a due fattori tramite app Authenticator o tramite codici via email.

Per approfondire l'aspetto sicurezza delle autenticazioni a due fattori vi consigliamo di leggere le nostre guide Siti / app dove attivare la verifica in due passaggi della password e Migliori app per generare OTP, per accesso sicuro ai siti.

Frank
17/6/21

Per questo ho disattivato le mie credenziali del conto Banco Posta mandando una raccomandata a Roma! Il rischio è troppo alto, e poi se ti svuotano il conto non ti rimborsano, le poste no di sicuro, è già successo! meglio usare una prepagata qualsiasi e caricarla con un bonifico dal proprio conto bancario o postale e usarla con l'app del cellulare. Cosi al massimo ti potranno rubare, se sei vittima di SIM Swap, quello che hai sulla prepagata, e non l'intero conto corrente!!!!!!

Come funziona il SIM Swap e perché è pericoloso

Cos'è il SIM Swap

Cosa possiamo fare per evitare il SIM Swap

Conclusioni

Approfondimenti:

Posta un commento