SIM Swap: cos’è
Il SIM Swap (SIM swapping o scambio di SIM in italiano) è un tipo di attacco informatico che consiste nell’impossessamento del numero di cellulare dell’ignaro possessore, allo scopo di accedere ad una serie di servizi e informazioni collegati alla SIM.
La necessità di sostituire la propria SIM card nasce da esigenze legittime e ricorrenti: per malfunzionamento, furto o dalla semplice necessità di scegliere l’operatore telefonico più conveniente, mantenendo in tutti i casi il proprio numero. Questo espone tuttavia l’utente al rischio concreto che qualche malintenzionato, attraverso un documento falso o la compiacenza di chi lavora presso uno store, provi a clonare il numero di cellulare con tutte le conseguenze che ne derivano.
La finalità che più comunemente viene associata agli attacchi di SIM Swap è quella della violazione dei sistemi di autenticazione o autorizzazione a due fattori che si basano sull’invio tramite SMS di un codice temporaneo (OTP). Una volta che il malintenzionato ha il controllo del numero di telefono, può accedere a tutti i servizi che richiedono la verifica tramite SMS, inclusi i servizi bancari online, l’autenticazione a due fattori e altre applicazioni che richiedono una verifica del numero di telefono. In questo modo, il malintenzionato può rubare informazioni personali e finanziarie della vittima, effettuare acquisti non autorizzati o compiere altre attività illegali.
Al giorno d’oggi, l’accesso a molti servizi online richiede, oltre all’inserimento di nome utente e password, anche l’autenticazione attraverso un codice ricevuto sullo smartphone. Il caso tipico è quello dei servizi di home banking che prevedono l’invio tramite SMS del codice dispositivo per disporre pagamenti o bonifici. Ma ci sono numerosi altri servizi, come lo SPID, che si basano sull’invio di un codice tramite SMS per l’autenticazione degli utenti.
Molti altri servizi (come Facebook, PayPal o Gmail), poi, prevedono la possibilità di reimpostare la password di accesso ad un account mediante il solo uso di una OTP inviata per SMS.
Tutti i principali e più diffusi servizi di messaggistica istantanea (come Telegram, WhatsApp o Signal) identificano gli utenti con il loro numero di telefono e prevedono l’identificazione tramite SMS. Tutti questi account e servizi possono essere violati da chiunque abbia preso il controllo del numero di telefono.
SIM Swap: come vengono acquisiti i dati
Un attacco SIM Swap può essere però posto in essere anche per altre finalità, ad esempio per sostituirsi al bersaglio dell’attacco ed inviare comunicazioni ad una terza persona, che sarebbe il vero destinatario di un tentativo di truffa.
Il rischio quindi di rimanere vittime di questo tipo di truffa è oggi più che mai concreto ed anche l’utente più diligente può cadere nella trappola.
Ma come può un’attaccante impossessarsi del numero della vittima?
- Se ha fisicamente accesso al dispositivo del bersaglio, impossessandosi della SIM e scambiandola (da qui l’espressione “SIM Swap”) con un’altra per ingannare la vittima;
- Se è in possesso dei documenti di identità della vittima e/o del codice ICCD, chiedendo al gestore presso il quale la numerazione è attiva la sostituzione della SIM associata alla numerazione, secondo la procedura utilizzata in caso di furto, smarrimento o malfunzionamento della SIM oppure avviando un processo di portabilità del numero mobile verso un diverso gestore, che emetterà una nuova SIM alla quale associare il numero.
Nel momento in cui l’attaccante ha portato a termine una di queste azioni, avrà il controllo completo del traffico in entrata ed in uscita relativo a quella particolare numerazione.
Quindi l’impossessamento del numero di telefono è normalmente possibile soltanto da parte di chi può prendere fisicamente il controllo della SIM card o da colui che è in grado di concludere con successo delle procedure di sostituzione SIM o MNP, che normalmente richiedono l’identificazione dell’interessato attraverso un documento di identità.
Come prevenire gli attacchi
Per prevenire gli attacchi di SIM Swap, l’Autorità per le Garanzie nelle Comunicazioni ha adottato nel luglio 2021 la delibera 86/21/CIR, che ha introdotto alcune importanti misure di sicurezza. Queste misure, alle quali i gestori hanno cominciato ad adeguarsi a partire dal novembre 2022, si applicano alle procedure di sostituzione della SIM e di portabilità del numero mobile.
In base alla delibera, tutte le richieste di cambio SIM, incluse le sostituzioni per furto, smarrimento o portabilità del numero possono essere richieste esclusivamente dal titolare della SIM. Non è dunque più possibile effettuare queste operazioni come semplice “reale utilizzatore dell’utenza”. Se non si è il titolare della SIM card, e non ci si presenta presso il punto vendita dell’operatore con la carta di identità e il codice fiscale, non verrà consentito il cambio di SIM.
Le nuove procedure di sicurezza dovrebbero consentire di prevenire in misura significativa gli attacchi di SIM Swap. In alcuni casi limite, però, gli attaccanti potrebbero riuscire ad aggirarle e portare comunque a termine in modo fraudolento le procedure per la sostituzione della SIM. È dunque opportuno prestare attenzione ai segnali che possono rivelare di essere rimasti vittima di SIM Swap:
- Ricezione di messaggi che preannunciano un prossimo passaggio del numero ad un operatore mobile diverso;
- Improvvisa cessazione del funzionamento della SIM e l’apparizione sul telefono di un messaggio di errore, ad esempio: “registrazione SIM fallita”;
- Ricezione di notifiche di reimpostazione della password dei nostri account su siti, servizi, piattaforme non richieste;
- Ricezione di notifiche di accesso ai nostri account da dispositivi sconosciuti o da Paesi diversi da quello dove si risiede.
È fondamentale non ignorare o sottovalutare questi segnali, se ci si presentano, e verificare immediatamente le cause di queste anomalie.
Per limitare il pericolo di essere colpiti da SIM Swap è consigliabile:
- Evitare di lasciare incustodito il telefono cellulare;
- Conservare in un luogo sicuro la scheda plastificata fornita con la SIM nella quale è riportato il codice ICCD della SIM;
- Non inserire, se non strettamente necessario, il numero di telefono che utilizziamo anche per ricevere OTP in siti web, piattaforme online e servizi;
- Non diffondere pubblicamente il numero di telefono usato anche per l’invio di OTP;
- Attivare sistemi di alert via mail o notifica su app per l’accesso ai servizi più sensibili;
- Attivare il sistema di verifica a due fattori previsto dalle app di messaggistica istantanea, che in caso di registrazione sul numero in altro telefono chiedono l’inserimento di un PIN supplementare.
Infine, per reagire efficacemente ad un attacco di SIM Swap è importante la tempestività. Occorre denunciare prontamente il furto del proprio numero e richiedere presso il gestore telefonico, ove è attiva la SIM, il blocco della numerazione in attesa di recupero e, dove sia possibile, modificare il numero di telefono di recupero o di invio di OTP associato ai siti o ai servizi utilizzati.
Attacchi cyber come questi possono danneggiare gravemente le attività lavorative. Imprese e professionisti però possono salvaguardare i propri dati grazie all’adozione di una polizza Cyber Risk. Questa copertura consente all’assicurato di tutelarsi dagli attacchi informatici e dalle conseguenti spese e perdite di dati e informazioni confidenziali. Inoltre, questa copertura fornisce l’intervento di un esperto per il recupero dei dati persi e per la decontaminazione da eventuali malware. Tutti questi sono servizi inclusi nella versione Smart, che prevede un massimale fino a €25mila. Ai propri clienti Lokky offre anche la possibilità di stipulare una versione Top della polizza, che prevede un aumento del massimale fino a €250mila e l’inserimento di numerose garanzie aggiuntive, tra cui una Diaria giornaliera per interruzione dell’attività e la copertura delle spese per il ripristino dell’immagine aziendale.
