La Sim Swap non è una truffa nuova, ma è in forte crescita. Si basa sulla violazione di alcuni servizi online attraverso l’appropriazione indebita del numero di cellulare della vittima. In questo modo si ha accesso a conti correnti, mail, cloud e anche wallet bitcoin. Lo dice il nome stesso, il meccanismo gira attorno alla sim del malcapitato.
Che cos’è
Esiste una corrispondenza univoca tra l’identità fisica (la Sim) e l’identità digitale (il numero di telefono). La truffa Sim Swapping consiste nel trasferimento da una scheda a un’altra di questa corrispondenza. È lo stesso principio per cui si cambia Sim (e gestore) mantenendo lo stesso numero, ma i fini in questo caso non sono leciti. In pratica, il truffatore riesce ad accedere illegalmente al numero telefonico di una persona ignara e può fare una serie di operazioni fingendosi il vero proprietario del numero.
Gli hacker possono usare tecniche di social engineering, per indurre gli operatori telefonici a emettere una nuova card. Possono corrompere i gestori/commessi di un negozio fisico, presentare un documento falso oppure ottenerla perché – al momento della richiesta – non viene chiesta la carta d’identità.
Recentemente, per ottenere il numero di telefono è stato denunciato un falso smarrimento/furto delle Simdei malcapitati. Al negozio, insieme alla fotocopia di un documento altrettanto falso, i criminali sono riusciti ad avere il passaggio del numero di telefono su un’altra scheda. In questo modo sono riusciti ad avere accesso ai codici bancari, gli OTP. Si sono serviti dei prelievi cardless (senza carta di credito o bancomat ma attraverso lo smartphone).
La Sim Swap è pericolosa perché è il primo passo per violare l’account online del malcapitato, infatti spesso il numero di telefono è usato per l’autenticazione a due fattori (password e codice inviato attraverso un sms).
Ecco allora che il truffatore riesce ad avere accesso proprio a quel codice che, in realtà, dovrebbe arrivare sul cellulare del legittimo proprietario della Sim, ma che invece viene dirottato. In questo modo possono anche essere modificate le password per tagliare fuori completamente la vittima del sistema. Non sono a rischio solo i profili social, ma anche i conti correnti, i wallet bitcoin, la posta elettronica e tanto altro.
Come ci si difende
Ci sono dei campanelli d’allarme a cui prestare attenzione: il cellulare improvvisamente non ha più campo, se il problema persiste (anche dopo avere spento e riacceso lo smartphone) è bene fare una verifica con il gestore. Succede spesso la sera, così i truffatori guadagnano tempo prezioso senza essere scoperti.
Il modo migliore per difendersi dalla truffa della Sim Swap è non utilizzare il proprio numero di telefono per l’autenticazione a due fattori tramite sms. Si possono usare app apposite come Google Authenticator e Authy, inaccessibili da terze persone. In alternativa meglio optare per la verifica via mail oppure servirsi di autenticatori hardware come Google Titan Security Keys o YubiKey.
Il consiglio è sempre quello di non diffondere dati personali sensibili sui social oppure online. Se si è in possesso di criptovalute, è sempre meglio non spargere la voce. Anche il proprio gestore telefonico può attivare dei sistemi di protezione: si può chiedere l’impostazione di un PIN (o passcode) per accedere all’account e predisporlo per effettuare ogni modifica. A proposito di malintenzionati, ecco come difendersi dalla truffa della multa che arriva dall’estero.
