Cos’è il “SIM swap”, la nuova truffa che ti svuota il conto in banca
Da un po’ di tempo a questa parte gli hacker malevoli sembrano aver deciso di innovare. Basta con le solite tecniche di phishing, peraltro ormai molto ben documentate in rete. Ci saranno sempre potenziali vittime da “spremere”, ma i più, grazie agli avvisi pubblicati puntualmente, stanno imparando a non esporre con troppa leggerezza i dati della propria carta di credito, su richiesta di email improbabili o inaspettate. Così adesso è la volta del "SIM Swap".
Prima fase: Introduzione di uno spyware
Stavolta invece di tratte in inganno l’utente finale ci si rifà direttamente al gestore. L’utente però non è sollevato da ogni accortezza. Per poter portare a termine una frode di SIM Swap è indispensabile che gli hacker abbiano accesso in qualche modo al servizio bancario online della vittima. Uno strumento efficace a questo scopo potrebbe essere uno spyware, che infetta il dispositivo della vittima. Se pensate ancora che possedere un dispositivo Apple vi metta al sicuro potreste restare gravemente delusi. Un buon programma antimalware potrebbe rappresentare quindi la prima linea di difesa, sempre che sia possibile aggiornarlo adeguatamente.
La seconda fase: il trasferimento della SIM
La seconda linea di difesa a questo punto è rappresentata dal sito della vostra banca e dalle modalità di sicurezza del gestore telefonico. Sempre più spesso i servizi per accedere ai conti online sono dotati di un sistema a doppia identificazione, così sarà necessario attendere di ricevere tramite il proprio cellulare un codice di verifica per completare le operazioni. Si tratta del cosiddetto codice OTP. A questo punto gli hacker devono impadronirsi del vostro numero di telefono, prendendo il controllo della SIM. Grazie all’accesso ottenuto con lo spyware gli hacker conoscono già il tuo numero e possono vedere tutte le fatture dei pagamenti, devono solo convincere il gestore a trasferirlo in una nuova SIM, controllata da loro. Alcuni gestori si limitano a chidere il numero di telefono ed il codice della nuova scheda per effettuare il trasferimento, si tratta di una vera e propria falla di sicurezza. A questo punto se la banca non si accorge di questi movimenti fraudolenti in tempo per bloccarli il gioco è fatto.
Come possiamo prevenire questi attacchi?
Va detto che i controlli non sono facili da eludere. Per poter riuscire a effettuare questo tipo di trasferimento gli hacker devono avvalersi di diversi dati che il gestore chiederà per attivare l’operazione. Questo significa studiare la vittima tramite i dati raccolti dal suo dispositivo, ma anche quelli che rendiamo di pubblico dominio, magari nei social network. Si tratta anche di un lavoro di ingegneria sociale, che come avevamo trattato per la truffa del Business email compromise è parte integrante del lavoro di questo tipo di hacker, il quale necessita di studiare molto bene la vittima prima di colpire. Non possiamo quindi affidarci solo agli accorgimenti dei gestori telefonici e della nostra banca. Possiamo individuare almeno due segnali d’allarme che potrebbero fare la differenza: frequenti chiamate fastidiose volte a farci spegnere il cellulare; perdite di segnale improvvise.