Un nuovo tipo di truffa sta minacciando la sicurezza degli smartphone: si tratta della Sim Swap, sostituzione della scheda del cellulare che permette agli hacker di impossessarsi dei dati sensibili della vittima di turno.
Si tratta a tutti gli effetti di uno scambio, come dice il nome stesso del raggiro, della sim del telefono: in sostanza si viene a interrompere il filo che unisce l'identità fisica dell'utente, rappresentata per l'appunto dalla sim, e quella digitale, ovvero il numero di telefono e il profilo associato alla scheda. Inserendosi in quella faglia e creando una nuova corrispondenza, i truffatori riescono ad accedere a una serie di informazioni riservate della vittima, tra password, email, conti correnti, account di cloud, vari social network o anche wallet. La minaccia sta diventando così concreta che negli Usa anche l'Fbi ha iniziato a muoversi per arginare il problema.
Ma in che modo avviene questa sostituzione? Innanzitutto bisogna dire che è possibile rilevare qualche segnale, in apparenza innocuo, come le difficoltà a connettarsi con la rete o l'impossibilità di effettuare telefonate o inviare sms. In genere il primo tentativo da fare per porre rimedio alla situazione è quello di riavviare il dispositivo: qualora i problemi dovessero permanere, quello potrebbe essere un segnale di pericolo. Dovrebbe essere sufficiente, per togliersi ogni dubbio, contattare il servizio clienti del proprio operatore, spiegare la situazione e chiedere di verificare se sia stato fatto uno scambio della sim.
Cosa accade
In teoria sostituire una sim dovrebbe significare mettere mano su di essa e fare la clonazione e la sostituzione fisicamente. In realtà vi sono altri modi per poter agire.
Uno è la pratica del social engineering, con cui il malvivente truffa l'operatore telefonico spacciandosi per il proprietario della sim: l'obiettivo è quello di chiedere l'emissione di una nuova scheda per poi partire con la frode. Sono noti, per quanto rari, anche casi in cui risultano essere gli operatori telefonici stessi i complici del truffatore, rendendo più semplice allestire la trappola.
Si può puntare facilmente anche a ottenere il rilascio di una sim senza mostrare il documento di identità, pratica, questa, obbligatoria solo nel caso in cui l'utente voglia ottenere un cambio di contratto o l'attivazione di una nuova promozione. Idem accade quando si dichiara di aver smarrito la propria scheda. Insomma le situazioni per agire e clonare/sostituire la sim ci sono, ed ecco il perché della grande attenzione sul problema.
Ci si può difendere?
Un modo per ridurre i rischi può essere quello di evitare di fruire del sistema di autenticazione a due fattori, oggi sempre più diffuso specie sui social, mettendo a disposizione il proprio numero di telefono. Meglio puntare sulla conferma via mail e sulla compinazione con l'uso di app di autenticazione come Authy o Google Authenticator. Consigliabile anche proteggere con autenticazione a due fattori basato sull'uso di app anche l'accesso alla propria casella di posta elettronica.
Sul mercato sono disponibili anche sistemi hardware di autenticazione come YubiKey e Google Titan Security Keys, che applicano standard di protezione superiori.
Consiglio scontato, ma sempre da tenere presente, è quello di evitare di diffondere dati sensibili sui social o sulle app di messaggistica istantanea.
Infine potrebbe essere una buona idea quella di inserire un pin/passcode per accedere ai propri account ma anche alla sim stessa su tutti i dispositivi mobile. Con queste accortezze sarebbe ressoché impossibile procedere allo sim swapping anche nel caso in cui il truffatore entrasse in possesso fisicamente della scheda telefonica.