SIM swap, la frode informatica che può svuotarvi il conto corrente
Cos'è e cosa si può fare per prevenirla
Chi l'avrebbe mai detto che un semplice numero di telefono sarebbe diventato la via d'accesso per dei criminali informatici? Eppure è così. Andiamo con ordine.
Da qualche anno (e ultimamente si è verificata pure una recrudescenza) si è diffusa (tra le tante) una frode informatica chiamata SIM swap che si fonda sulla autenticazione al cellulare. Se la truffa va a buon fine, i ladri, impadronendosi del vostro numero di cellulare, lo useranno per accedere ai vostri dati sensibili personali e persino al vostro conto corrente.
Ecco dove puoi acquistare il tuo nuovo smartphone ai migliori prezzi
Come funziona la truffa SIM swap?
Provate ad accedere al vostro conto, che sicuramente (dopo l'entrata in vigore della direttiva PSD2 riguardante la sicurezza dei pagamenti online) utilizza un tipo di autenticazione in due passaggi basata su testo. Un'espressione complicata per dire che, in sostanza, dopo aver digitato nome utente e password (o codice titolare e pin, o combinazioni simili) la banca invia un codice di accesso al vostro cellulare (anche tramite SMS), in modo che sia possibile completare la procedura di login.
Cosa succederebbe se dei truffatori riuscissero a cambiare la SIM associata al vostro cellulare? Semplice: avrebbero il controllo totale su quel numero e, cosa peggiore di tutte, potrebbero ricevere il codice di accesso (o PIN) del vostro conto corrente.
Da un punto di vista tecnico, i cybercriminali approfittano di un punto debole nell'autenticazione in due passaggi e nella verifica, là dove si prevede che al legittimo possessore della SIM venga inviato un SMS o venga effettuata una chiamata al numero di cellulare.
Premessa: dentro le SIM sono contenuti i dati dell'utente dei cellulari che usano il sistema GSM. Senza la SIM il cellulare non sarebbe autorizzato a usare la rete mobile. Per questo motivo, un cybercriminale che avesse il vostro numero di telefono partirebbe già avvantaggiato. Per rubarlo, i truffatori cercano di raccogliere quante più informazioni possibili su di voi, usando anche tecniche di "ingegneria sociale".
In pratica, chiamano il vostro operatore mobile, spacciandosi per voi, facendo finta di aver perso o danneggiato la loro (cioè la vostra) SIM, e chiedendo di attivare una nuova SIM (in loro possesso). In questo modo, il vostro numero di telefono viene portato sul dispositivo del truffatore che contiene, come abbiamo appena detto, una nuova SIM. In alternativa, potrebbero sostenere di aver bisogno di aiuto per passare a un nuovo cellulare.
Come fanno i truffatori a rispondere alle domande di sicurezza?
Con vari metodi: attraverso email di phishing (sembra incredibile ma ancora oggi molti vengono ingannati da email fasulle e forniscono dati sensibili con molta leggerezza), ricerche sui social network, sul dark web o attraverso malware/spyware installato più o meno inconsapevolmente sul proprio pc.
Una volta ottenuto il numero di cellulare, i truffatori possono accedere alle comunicazioni tra voi e la banca, e soprattutto possono intercettare i messaggi di testo. E' così che ricevono codici o reset di password inviati a quel telefono (più precisamente: a quella SIM) tramite telefonata o testo per uno qualsiasi dei vostri account.
Come fanno i cybercriminali a sottrarre denaro?
Predisponendo un secondo conto corrente col vostro nome nella vostra banca (dove, essendo già clienti, i controlli potrebbero essere più "morbidi"), e i trasferimenti tra un conto e l'altro col vostro nome potrebbero non suscitare alcun allarme.
I social network e la truffa SIM swap
Un truffatore può raccogliere informazioni su di voi attraverso i dati che, innanzitutto, scrivete nel vostro profilo. Oppure nei vostri post. Una pessima idea è quella di usare, come domanda di sicurezza, la propria data di nascita o altri dati ai quali chiunque può facilmente risalire (il nome del figlio, o del gatto di casa etc.) .
Da cosa ci si può accorgere che si è vittime di una truffa SIM swap?
In certi casi si possono cogliere dei segnali di allarme e impedire che i tecnocriminali portino a termine il loro attacco. Eccoli:
1) Qualcuno sta postando al posto vostro: improvvisamente notate che sui vostri account social compaiono dei post che non vi sareste mai sognati di scrivere? E' un segno che qualcuno vi ha hackerato l'account
2) Non riuscite a telefonare o messaggiare: a parte un ovvio esaurimento di credito o di grossi problemi con l'operatore, è un segnale che indica una elevata possibilità che i truffatori abbiano disattivato la vostra SIM e stiano usando il vostro numero di cellulare
3) Vi viene notificato un messaggio di attività sospetta: se la vostra compagnia telefonica vi avvisa che la vostra SIM o il numero di cellulare sono stati attivati su un altro dispositivo è un chiaro segno che siete stati presi di mira
4) Non riuscite ad accedere agli account: se le vostre credenziali del conto corrente e della carta di credito non funzionano più, è molto probabile che ve le abbiano rubate.
Come ci si può proteggere dalle truffe SIM swap?
Ci sono diversi modi per non diventare vittime dei cybertruffatori. Ecco quali:
- Atteggiamenti da tenere online: fate attenzione alle email ingannevoli e ad altri modi nei quali i criminali potrebbero cercare di accedere ai vostri dati personali che verrebbero usati per convincere la vostra banca o compagnia telefonica che siete proprio voi a fare certe richieste. In sostanza, non condividere mai sui social network, o in genere in rete, informazioni come numero di telefono, data di nascita o altri dati che verrebbero usati dai cybercriminali per "impersonarvi" con più credibilità possibile
- Sicurezza dell'account: aumentate il livello di sicurezza dell'account del cellulare con una unica password molto robusta e con domande e risposte di sicurezza che siano più complesse e meno intuitive possibile
- PIN: se la vostra compagnia telefonica consente di impostare un PIN separato, fatelo subito. In questo modo avrete aggiunto un ulteriore livello di sicurezza alle vostre comunicazioni.
- Identità: non costruite la vostra sicurezza e l'autenticazione dell'identità esclusivamente attorno al vostro numero di cellulare. Ciò include gli SMS, che non sono cifrati.
- App per l'autenticazione: per aumentare ancora il livello di sicurezza potete usare app come Google Authenticator o Authy, che offre l'autenticazione in due passaggi collegata al vostro dispositivo fisico e NON al numero di cellulare.
- Autenticazione hardware: E' probabilmente, ad oggi, la più sicura, perchè prevede l'utilizzo di chiavette fisiche non intercettabili per effettuare il login ai vari servizi . Una di queste è Yubico, un'altra è la Titan Security Key di Google (non ancora in vendita in Italia)
- Avvisi provenienti dalla banca e dalla compagnia telefonica: è ovvio che siano entrambi importanti, ancora di più se quest'ultima può mandarvene di ulteriori che riguardino, ad esempio, la riattivazione di una SIM.
E se vuoi acquistare un nuovo cellulare, qui trovi i migliori prezzi e le ultime novità