Forse sarà difficile da credere, ma proprio noi di SimFonia abbiamo subito un’azione di sim swapping: per questo abbiamo pensato di utilizzare questa rubrica per darvi alcuni consigli, da mettere in pratica, per proteggere il più possibile la vostra sim e soprattutto i vostri dati.
Partiamo dalla definizione: il sim swapping o swap è una tecnica di attacco che consente di avere accesso al numero di telefono del legittimo proprietario e violare determinate tipologie di servizi online che usano proprio il numero di telefono come sistema di autenticazione. Pensiamo, a solo titolo esemplificativo, ai conti corrente bancari.
Il tutto gira intorno alla sim card del nostro gestore di telefonia mobile. La sim, infatti, ci connette al network telefonico creando una corrispondenza univoca tra la nostra “identità fisica” (la sim) e la nostra “identità digitale” (il numero di telefono).
La terminologia “sim swapping” – che tradotto significa scambio di sim- si riferisce all’atto di trasferire da una sim card a un’altra questa corrispondenza con il nostro numero di telefono.
Come fanno i criminali ad ottenere una sim con il nostro numero? Esistono vari modi:
• corrompendo chi lavora presso uno store o presso il customer care dei provider;
• con un documento falso, sostituendo la sim;
• o semplicemente effettuando la portabilità del numero ad un altro gestore: come riporta la stessa Agcom in una recente delibera, non è infatti obbligatorio chiedere i documenti dell’intestatario precedente se si vuole effettuare il cambio gestore.
Da quel punto in poi, l’hacker può accedere al suo vero obiettivo: il conto online della vittima o magari il suo portafoglio di criptovalute, disponendo operazioni esecutive che richiedono, come secondo fattore di autenticazione, l’invio di un sms.
Ciò che rende questa tipologia di attacchi particolarmente preoccupante è che essa non prevede, come accade invece nella quasi totalità delle altre metodologie di attacco, nessuna necessità di interazione lato utente: in altre parole, non ci sono clic da effettuare né software malevoli da scaricare.
Può quindi capitare anche al più consapevole degli utenti di cadere vittima di questo attacco. E noi ne siamo un esempio.
Come difendersi da un attacco?
Detto che non è possibile prevenire completamente l’eventualità che qualcuno possa prenderci di mira e ottenere l’accesso al nostro numero di telefono tramite questo tipo di attacco, si può comunque cercare di adottare delle precauzioni per rendere la vita più difficile ai malintenzionati.
Predisporre sui propri dispositivi l’autenticazione a due fattori. L’autenticazione a due fattori è infatti basata sulla necessità di essere in possesso di due credenziali differenti per potersi autenticare a un determinato servizio.
La 2FA offre, infatti, un livello aggiunto di sicurezza nelle procedure di accesso: invece di una semplice combinazione username-password, viene sempre richiesto l’inserimento di un ulteriore codice. Ecco cosa ricordare nella scelta dell’autenticazione a 2 fattori:
1. la difesa più sicura è anche la più ovvia: non utilizziamo il nostro numero di telefono per processi di autenticazione a due fattoriche prevedano come modalità di ricezione del secondo fattore di autenticazione l’invio di un SMS.
Piuttosto, ripieghiamo su altre tecniche come l’utilizzo di app di autenticazione (Google Authenticator e Authy sono solo due esempi tra le ottime possibilità esistenti in questo senso).
I cyber criminali, infatti, non sono in grado di ottenere accesso a queste applicazioni, nemmeno nel caso in cui siano in possesso del nostro numero di telefono.
2. Laddove ciò non fosse possibile, meglio utilizzare una verifica via mail, proteggendo l’autenticazione a tale casella mail con un meccanismo di autenticazione a due fattori più sicuro, basato sull’utilizzo di un’app di autenticazione.
3. Nel caso di banche e conti correnti, disattivare invio di password via sms. Usare solo altri sistemi one time password (via app) o faceId.
Un altro consiglio sempre valido è quello di non diffondere informazioni personali “identificative” su social network e sul web in generale; il rischio, altrimenti, è che queste informazioni vengano utilizzate per effettuare un furto di identità.
Quali sono i segnali da tenere sotto controllo?
Il primo segnale che c’è qualcosa che non va è che la sim non ha più campo.
Quindi, se di punto in bianco il segnale svanisce, la cosa più sensata da fare è un velocissimo check: spegnere e riaccendere il telefonino.
Se, fatto ciò, il segnale non torna subito, provare ad effettuare una chiamata al proprio numero (da un altro telefono). Se la chiamata va a buon fine è evidente che avete subito un attacco di sim swap.
Se la chiamata non va a buon fine, potrebbe trattarsi di un disservizio del provider ma questa è una eventualità, in fondo, abbastanza rara.
In entrambi i casi, la cosa più giusta da fare è chiamare immediatamente il Customer Service del vostro gestore telefonico (da un altro telefono ovviamente, dato che il vostro non funzionerà più) e chiedere esplicitamente se il vostro numero telefonico è stato oggetto di una richiesta di sostituzione sim o di portabilità verso un altro operatore.
Avuta tale conferma allertate immediatamente la banca affinché effettui gli opportuni controlli ed adotti tutte le misure necessarie per evitare accessi non autorizzati al conto corrente bancario (profilo internet banking).
Il tempismo è tutto: recatevi il prima possibile presso le forze dell’ordine per sporgere regolare denuncia dopodiché recatevi presso un centro di telefonia per procedere ad una nuova portabilità o sostituzione sim e tornare in possesso del vostro numero.