I cosiddetti attacchi di tipo SIM SWAP, con i quali i criminal hacker possono, anche senza possedere particolari competenze tecniche, associare il numero di cellulare di una vittima su una nuova scheda SIM da loro controllata.
Negli ultimi tempi, a causa della nota vicenda relativa al data leak subito dall’operatore virtuale di telefonia “Ho Mobile” si è tornati a parlare dei cosiddetti attacchi di tipo SIM SWAP, con i quali i criminal hacker possono, anche senza possedere particolari competenze tecniche, associare il numero di cellulare di una vittima su una nuova scheda SIM da loro controllata.
Solitamente lo scopo indiretto di questa attività è ottenere l’accesso fraudolento a quanto più account online possibili dell’utente target facendo affidamento sulla possibilità che questo utilizzi lo smartphone e gli sms come mezzi per l’autenticazione a due fattori 2FA. Infatti nei casi di meccanismi di controllo basati su codici di conferma via sms, con la nuova SIM il criminale potrebbe intercettarli e utilizzarli per operare illecitamente.
È bene comunque precisare che l’AGCOM per contrastare la reale possibilità di uno scambio SIM fraudolento ha di recente imposto delle regole più stringenti. Il nuovo modus operandi per le richieste di sostituzione presentate “de visu” o per via telematica, forniscono una maggiore difesa contro questa tipologia di truffa.
Le fasi di un attacco SIM Swapping
Questa tipologia di attacco per essere portato a termine con successo, dal truffatore, necessita di una serie di passaggi.
Il criminal hacker per individuare la vittima procede a racimolare informazioni pertinenti attraverso:
- la collezione di violazioni/fughe di dati note. Ad esempio nel caso Ho Mobile i dati trafugati, riferiti a una parte dell’utenza, riguardavano oltre che estremi anagrafici, e-mail e numeri telefonici anche specifiche tecniche delle SIM associate, compresi i codici ICCID (Integrated Circuit Card ID) solitamente utilizzati per effettuare un cambio SIM, una sostituzione del suo formato, la portabilità del numero e in campo forense nelle fasi investigative dei reperti informatici;
- tecniche di ingegneria sociale, in cui il truffatore può carpire elementi informativi utili direttamente dal target;
- una ricerca di dati che la potenziale vittima potrebbe aver condiviso sul web.
Una volta in possesso delle informazioni necessarie richiede all’operatore telefonico la sostituzione della SIM card della vittima con una nuova, presentando la richiesta, motivata da uno smarrimento o danneggiamento, anche tramite documentazione falsificata o tramite la complicità del rivenditore. Qualora il processo si completa, la vittima perderà l’accesso alla rete cellulare e al numero di telefono, mentre il criminal hacker riceverà tutte le chiamate e i messaggi sms successivi e destinati alla vittima, prendendo possesso, di fatto, della sua identità digitale/telefonica.
I campanelli di allarme cui prestare attenzione
Poiché è difficile rilevare un SIM SWAP in anticipo, nella maggior parte dei casi lo si scopre quando ormai è troppo tardi, mentre si cerca di effettuare una chiamata o inviare un messaggio, risulta fondamentale prestare attenzione a dei campanelli di allarme intervenendo il prima possibile.
Se il telefono perde in modo inusuale il segnale risultando non raggiungibile, la prima cosa da fare è contattare immediatamente il proprio gestore, per verificare che il problema non sia dovuto semplicemente a interruzioni generali di rete. Qualora non sia questa la causa, in presenza di una richiesta di cambio SIM non autorizzata attivare subito le procedure di blocco, contattando anche l’assistenza di altri nostri eventuali servizi che abbiano meccanismi di protezione collegati al numero di cellulare in questione, provvedendo al loro blocco temporaneo e alla modifica delle relative impostazioni di sicurezza.
Truffa SIM SWAP: cosa fare per proteggersi
Esistono diversi accorgimenti che ciascuno di noi può seguire per proteggersi e ridurre le possibilità di cadere vittima di una truffa SIM SWAP, eventualità che tra l’altro può coinvolgere chiunque anche, purtroppo, per responsabilità terze.
Confidando sempre nell’attuazione di ogni servizio di sicurezza supplementare pure a tutela della privacy della propria utenza da parte dei gestori di telecomunicazione, una delle buone regole da rispettare potrebbe essere sicuramente quella di limitare le informazioni personali che si condividono in rete, evitando di pubblicare i propri dati anagrafici, contatti e dettagli di vita quotidiana e di riconsiderare le modalità di autenticazione 2FA che prevedono conferme tramite SMS/chiamate sostituendole con altre basate su app oppure dispositivi hardware, più difficili da compromettere.
È doveroso prestare attenzione anche alle forme di phishing, vishing e smishing tecniche abbastanza d’uso comune nel cyber crime che, impersonando istituzioni e contatti fidati, spesso riesce a carpire dati sensibili e/o distribuire spyware.