Il SIM swap o SIM swapping è una delle minacce più recenti in ambito sicurezza informatica: un’attività illecita che permette ai malintenzionati di entrare in possesso delle utenze telefoniche delle loro vittime.
Esistono diverse strade che permettono di effettuare una sostituzione della scheda SIM senza che il titolare se ne accorga: dalle operazioni di social engineering alle truffe svolte in collaborazione con eventuali complici.
Per fortuna però è possibile imparare come riconoscere il SIM swape come difendersi. Il consiglio in tal senso è di imparare a prestare attenzione a determinati campanelli d’allarme e di cambiare alcuni comportamentionline.
Cosa significa SIM swap
Shutterstock
Per iniziare a capire cos’è il SIM swap e come difendersi si può partire da una definizione chiara dei termini utilizzati. A partire da SIM, una parola più che nota alla stragrande maggioranza degli utenti mobile.
L’acronimo SIM sta per Subscriber Identity Module e fa riferimento a una scheda identificatrice che permette di individuare in maniera univoca ogni abbonato a servizi di telefonia mobile.
Il verbo “to swap” invece significa letteralmente “scambiare”: è un valido sinonimo di altri verbi inglesi come “switch” o “exchange”, ma ha anche un utilizzo specifico in determinati ambiti. Ad esempio in Borsa lo swap fa riferimento ad una pratica ben precisa: un contratto con scambio di somme di denaro tra parti.
Il SIM swap, o SIM swapping, è una pratica illecita che si lega allo scambio di una scheda SIM. Grazie al SIM swap un malintenzionato è in grado di accedere al numero di telefono della vittima.
Questo genere di truffa dunque va a creare una nuova corrispondenza univoca tra l’identità digitale dell’utente (in questo caso il suo numero di telefono) e la sua identità fisica (in questo caso la scheda SIM).
SIM swap significa sostituzione della scheda SIM: si tratta di una truffa che permette di accedere a beni e informazioni sensibili dell’utente.
Il SIM swap ha a che fare con la sicurezza informatica dell’utente, sia in termini di informazioni sensibili che di beni veri e propri. Basta considerare il numero di servizi a cui generalmente si accede tramite smartphone: dalla posta elettronica ai conti correnti; dai servizi cloud ai social network o ai wallet di criptovalute.
Proprio l’esplosione delle diverse crypto sembra avere dato nuova linfa ai fenomeni di SIM swapping. Oggi il pericolo è tale da avere portato l’FBI statunitense a parlarne pubblicamente. Allo stesso modo diverse aziende specializzate in blockchain e sicurezza informatica considerano il SIM swapping una delle minacce più diffuse e importanti di questo periodo storico.
Ecco perché è davvero molto importante prestare massima attenzione a determinati campanelli d’allarme: dai problemi di connessione alla rete del proprio smartphone all’impossibilità di telefonare o di inviare SMS.
Di fronte a questo genere di avvisaglie il consiglio è innanzitutto di riavviare il dispositivo. Quindi, in caso di persistenza del problema, sarebbe opportuno contattare il proprio servizio clienti e chiedere esplicitamente se sia stata effettuata una sostituzione della SIM.
Come avviene il SIM swap
Shutterstock
unto di vista teorico il SIM swap dovrebbe essere molto difficile da praticare. Il malintenzionato deve riuscire a ottenere una SIM legata al numero di telefono della vittima, senza che questa se ne accorga.
Allo stesso tempo esistono diverse strategie che permettono di arrivare a questo genere di risultato. Ad esempio è possibile ricorrere al social engineering per ingannare l’operatore telefonico spacciandosi per un cliente: in questo modo è possibile ottenere l’emissione di una nuova SIM e quindi dare il La alla truffa.
Esistono poi delle circostanze in cui il malintenzionato lavora con la collaborazione di un operatore telefonico: magari un elemento del customer care, attraverso cui riesce a perpetuare il SIM swapping.
Infine, esistono anche i casi in cui le SIM vengono rilasciate senza passare per la richiesta di un documento di identità. Secondo quanto riportato dall’Agcom, in Italia la richiesta di visione di documenti è obbligatoria soltanto nel caso in cui l’utente richieda un cambio di contratto o l’attivazione di un nuovo servizio.
Coloro che si limitano a richiedere una nuova SIM dunque spesso non vengono controllati: un presupposto che rende la vita dei truffatori molto più semplice. Lo stesso discorso vale per coloro che dichiarano di avere smarrito la propria scheda telefonica.
SIM swap: come difendersi
Shutterstock
Purtroppo ad oggi non esistono tecniche o abitudini che permettano a un utente di prevenire al 100% la possibilità di cadere vittima di SIM swap. Ciononostante ci sono diverse difese che possono venire attivate, in modo da ridurre sensibilmente il livello di rischio.
Una prima attenzione consiste nell’evitare di usare il proprio numero di telefono in processi di autenticazione a due fattori che prevedano l’invio di SMS. Conviene preferire l’uso di app di autenticazione, come ad esempio Authy o Google Authenticator. Software che impediscono l’accesso a eventuali malintenzionati, anche nel caso siano già in possesso del numero di telefono della vittima designata.
In alternativa è possibile optare per sistemi che ricorrono alla verifica attraverso l’invio di una email. Dopodiché, per essere ancora più sicuri, è possibile dotare la casella di posta elettronica di un’autenticazione a due fattori basata sull’uso di app, come descritto nel capoverso precedente.
Esistono poi hardware dedicati proprio all’autenticazione: da Google Titan Security Keys a YubiKey. Questo genere di dispositivi va addirittura oltre la classica autenticazione a due fattori e sposa il cosiddetto U2F (Universal 2nd Factor): un nuovo standard che alza notevolmente il livello di sicurezza informatica.
Infine è sempre utile ricordare alcuni suggerimenti di buon senso legati alla propria attività in rete. Ad esempio sarebbe sempre bene evitare di diffondere informazioni sensibili sul web: sui social network, ma anche all’interno di email o messaggistica privata.
Allo stesso modo è buona norma dotare di PIN o passcode sia l’accesso agli account sia quello alle SIM dei dispositivi mobile (smartphone o tablet). In questo modo un malintenzionato non potrà procedere col SIM swapping anche nel caso in cui entri fisicamente in possesso di una scheda telefonica.
Per saperne di più: Sicurezza informatica, guida alla navigazione sicura sul web