Skip to main content

Cybersecurity: sim swap fraud. Conti svuotati dalle schede telefoniche

Se all’improvviso il vostro smartphone non si collega più alla rete telefonica senza un buon motivo… forse è il caso che controlliate i vostri conti bancari.

Proviamo ad ipotizzare un caso non troppo lontano dalla realtà: ci troviamo a Milano, è una calda giornata di luglio. Il cellulare di Antonio Rossi, nome di fantasia, improvvisamente non si collega più alla rete mobile togliendogli la possibilità di ricevere e fare telefonate o di postare il suo disappunto sul suo social preferito.

Probabilmente la reazione di Antonio dopo aver inutilmente riavviato inutilmente il telefono varie volte sarà la classica imprecazione “Maledetta Tecnologia! Non funziona mai niente come dovrebbe, ma ora mi sentono! Oh se mi sentono!”.

Una volta tornato a casa, Antonio chiama il servizio clienti del proprio operatore telefonico da un altro telefono.

“Ma Sig. Rossi, non vedo alcun problema con la sua nuova SIM: sta funzionando correttamente”.
“Quale nuova SIM? Io non ho chiesto nulla!”
“Si Sig. Rossi, Lei ha richiesto un duplicato della sua SIM dal nostro punto assistenza di Via Roma a Caserta”
“Ma io non ho mai messo piede a Caserta! È un errore! Risolvetemi il problema!”.

Vi lasciamo immaginare come sia finita questa conversazione.

Appena messo termine a questa spiacevole conversazione con il proprio operatore telefonico, il Sig. Rossi riceve una chiamata dalla propria banca che, solo ora, dopo ore di tentativi infruttuosi di contattarlo al suo numero di cellulare, riesce ad avvisarlo che il suo conto corrente è stato bloccato dato che si stanno verificando delle attività insolite: sono stati prelevate diverse migliaia di euro ed è stato richiesto un prestito di altri 20.000 euro.

Qualcuno, dopo aver rubato l’identità digitale del Sigr. Rossi, sta cercando di accaparrarsi tutto ciò che poteva raggiungere online.

“Lo scenario di cui parliamo potrebbe essere l’esempio di una frode particolarmente sofisticata chiamata “SIM Swap Scam”” ci spiega Alessandro Rossetti, Intelligence Team Leader di Soft Strategy, che afferma che questo tipo di reato sta verificandosi sempre più spesso anche nel nostro paese: “Non sono in possesso di statiche precise, ma ogni anno ho notizia di un numero sempre crescente di questo tipo di frode”.

Rossetti ci spiega che generalmente, dopo aver individuato la vittima, i criminali si procurano i dati personali della vittima sui vari Social Network. Successivamente, tramite documenti falsificati ad hoc, hanno la possibilità di recuperare una copia della SIM card della vittima per poi ottenere dalla banca le credenziali per operare sul conto corrente e per superare l’autenticazione a due fattori nelle operazioni di home banking.

I primi casi si sono verificati negli Stati Uniti e già dal 2015 si è avuta notizia dei primi casi in Italia di cui ricordo in particolare un’indagine della Polizia Postale su una frode informatica ai danni di una banca on-line ai cui clienti, residenti in varie parti d’Italia, erano stati sottratti 300.000,00 euro” dice Rossetti.

“Il numero di telefono è quasi sempre utilizzato come secondo fattore nel processo di autenticazione in due fasi specialmente ora che le banche stanno abbandonando il vecchio sistema delle chiavette dispositive”, conferma Francesco Faenzi, Direttore della Business Unit Digital Trust di Soft Strategy.

È un tipo di frode particolarmente sofisticata e grave che può essere considerata una conseguenza del furto di identità. Oggi giorno la raccolta illecita di dati personali personale e password può essere fatto portata a termine con metodi diversi a partire dal cosiddetto “web scraping” dei social network, tramite cui si raccoglie una grandissima quantità di dati personali pubblici, tramite la diffusione di software malevolo negli store dei vari produttori telefoni o tramite reti WiFi libere preparate ad hoc in posti particolari come ad esempio la lobby di un hotel o un bar particolarmente grande. Queste app, una volta installate, riescono ad estrarre tutte le informazioni utili dallo smartphone e spedirle su server appositamente predisposti.

Rossetti raccomanda di prestare sempre particolare attenzione a ciò che decidiamo di diffondere online e cosa installiamo nei nostri smartphone. Può consigliando di avere una certa cautela nell’utilizzare connessioni Wi-Fi aperte e nell’evitare di utilizzare password troppo semplici od ovvie, ammette che queste misure possono solo mitigare il rischio di essere compromessi.

Inoltre, Rossetti afferma che anche se l’operatore telefonico ha implementato un protocollo rigoroso per quanto riguarda la consegna di nuove copie delle schede SIM ai propri clienti che vengono attivate solo dopo l’esibizione di un documento di identità dell’intestatario. Tutte queste misure sono nulle se un rivenditore telefonico è complice dei truffatori come nel caso accaduto ad Alassio, provincia di Savona, ai danni di un imprenditore che ha visto sparire più di 20mila euro dal suo conto corrente grazie anche alla complicità di un dealer campano.

Per mitigare questo rischio Faenzi ritiene che la conferma dell’identità debba passare attraverso sistemi di sicurezza sempre più forti come ad esempio l’avvalersi dei propri dati biometrici o di token fisici. Raccomanda infine di curare particolarmente la sicurezza delle proprie password conservandole con tutte le sicurezze del caso: utilizzando appositi password manager o dispositivi di sicurezza a due fattori inziando ad abituarsi all’idea di adottare una chiave di sicurezza hardware per i siti di maggior importanza per l’utente come l’home banking o i social network.

Download Comunicato Stampa