In una truffa SIM swap un malintenzionato prende possesso, in modo fraudolento, del numero di telefono del legittimo proprietario.
Una tecnica esistente da molti anni e che ha registrato una impennata con l’avvento dei servizi online, come quelli di home banking.
Servizi che prevedono come opzione quella di utilizzare il numero di telefono per dimostrare la nostra identità digitale con l’autenticazione a due fattori (2FA).
Come il nome suggerisce, tutto gira intorno alla SIM card del nostro gestore di telefonia mobile.
La sostituzione della SIM card
Sostituire la SIM card mantenendo il medesimo numero, in realtà, nasce per esigenze lecite: il malfunzionamento, il furto o la rottura della SIM card originale, il cambio di dispositivo (smartphone) che supporti solo un differente formato fisico di SIM rispetto a quella in nostro possesso, il cambio di provider telefonico con portabilità del numero e così via.
Per effettuare tale sostituzione è necessario esibire la vecchia SIM card, a meno del caso del furto/smarrimento, e la seguente documentazione:
- Documento d’identità del richiedente
- Codice Fiscale dell’intestatario o della Persona Giuridica intestataria del contratto
- Copia della denuncia rilasciata dalle competenti Autorità in caso di furto o smarrimento.
Purtroppo non è quello che accade in caso di azioni fraudolente.
Tutto ha inizio riuscendo ad ottenere dalla vittima informazioni personali e, soprattutto, le credenziali dell’home banking (tramite tecniche di phishing o sue varianti, software malevoli scaricati dagli store con app non verificate o utilizzo di reti wi-fi pubbliche o free non verificate).
In seguito, mediante dei documenti falsificati ad hoc o adducendo il furto di smartphone e documenti, utilizzando sofisticate tecniche di social engineering si cerca di indurre gli operatori di telefonia mobile a emettere una nuova SIM card.
O peggio, si corrompe chi lavora presso uno store o presso il customer care dei provider.
Infine, sostituita la SIM card della vittima e dunque grazie al medesimo numero di telefono, si ottengono direttamente dalla banca i codici temporanei per operare sul conto online.
Come ci si accorge di essere vittima di una truffa SIM swap
È proprio la serrata successione temporale delle varie sequenze attraverso le quali si snoda la frode informatica in esame a non consentire alla vittima di attivarsi tempestivamente.
La vittima inizia ad accorgersi che qualcosa non va perché non ha più segnale sullo smartphone.
La cosa più sensata da fare, se nemmeno con il riavvio dello smartphone si risolve il problema, sarebbe:
- chiamare immediatamente il Customer Service del gestore telefonico (da un altro smartphone ovviamente) e chiedere immediate spiegazioni;
- se viene confermata la sostituzione della SIM card, mettersi subito in contatto con la banca e verificare i movimenti sul proprio conto corrente.
La direttiva europea Payment Services Directive (PSD2), che ha regolato l’autenticazione a più fattori con i servizi di home banking, prevede che a fronte di un disconoscimento dell’operazione da parte del cliente la banca provveda al risarcimento.
Previa verifica che il comportamento del cliente stesso sia stato diligente.
Con uno scenario complicato dal coinvolgimento di in operatore telefonico.
Come difendersi da una truffa SIM swap
Il primo consiglio sempre valido è quello di non diffondere informazioni personali “identificative” su social network e sul web in generale; il rischio, altrimenti, è che queste informazioni vengano utilizzate per effettuare un furto di identità.
Contestualmente, se possibile, non utilizzare il nostro numero di telefono per processi di autenticazione a due fattori che prevedano come modalità di ricezione del secondo fattore di autenticazione l’invio di un SMS.
Molto più sicuro un metodo di autenticazione basato sulle app, con il codice secondario generato direttamente da una delle applicazioni installate in memoria (come la stessa app della banca o delle app di autenticazione come Google Authenticator o Authy), oppure l’utilizzo di dati biometrici.
Ove non possibili le soluzioni precedenti, prediligere una verifica via mail proteggendo l’autenticazione a tale casella mail con un meccanismo di autenticazione a due fattori basato sull’utilizzo di un’app di autenticazione (sopra citate).
Un’altra via è l’utilizzo di autenticatori hardware come Google Titan Security Keys o YubiKey, che innalzano ulteriormente il livello di sicurezza del sistema di autenticazione.
Ma sicuramente il consiglio più efficace resta sempre lo stesso: non abbassiamo mai la guardia!