È solo una minuscola scheda di plastica all’interno del tuo telefono, ma può spianare la strada ai criminali informatici in attesa di mettere le mani sul tuo dispositivo: puntiamo i riflettori sulle schede SIM e sulla spaventosa truffa nota con il nome di “SIM swapping” (letteralmente, scambio di SIM). Una volta che un truffatore ha il controllo della tua SIM, prende virtualmente possesso del tuo telefono. Può ricevere chiamate, messaggi di testo e persino codici di verifica degli account (fortunatamente, dati come foto o app non vengono toccati!). Non limitarti a pensare al danno che potrebbe causare: adotta misure proattive per migliorare la sicurezza online con Avira Free Security. Ti aiuterà a proteggerti da malware, tentativi di phishing, frodi online e molto altro.
Che cos’è la truffa SIM swapping?
Probabilmente pensi di conoscere già tutti i trucchetti degli hacker. Non cliccheresti mai su un allegato sconosciuto perché potrebbe contenere un malware, ad esempio un ransomware, né abboccheresti a un subdolo tentativo di phishing apparentemente proveniente dalla tua banca. Eppure molti di noi non hanno mai sentito parlare di una truffa diabolica che lascia il tuo telefono letteralmente sotto il controllo di un hacker, per quanto fisicamente ancora nelle tue mani: Si tratta dell’attacco SIM swapping, che a qualcuno potrebbe ricordare un fumetto della Marvel, ma in realtà costituisce una minaccia mobile molto concreta.
Ma torniamo all’inizio. Per comprendere il SIM swapping, è necessario sapere cos’è una scheda SIM. Se rispondi subito “Subscriber Identity Module”, puoi anche saltare questo paragrafo. Una SIM è una minuscola scheda contenente un chip identificativo. Include i dati necessari per concederti l’autorizzazione a effettuare/ricevere chiamate e inviare SMS. Nessuna SIM, nessuna chiamata. Senza la SIM, potresti riuscire a utilizzare solo gli strumenti integrati del telefono, come la fotocamera, e le attività abilitate al Wi-Fi, come la navigazione sul Web.
Durante una truffa SIM swapping, il truffatore si spaccia per la vittima per convincere l’operatore di telefonia mobile a trasferire il numero di telefono della vittima sulla scheda SIM del truffatore. Quando il truffatore ha il controllo del numero di telefono cellulare, esercita tutto il potere che ne deriva, compreso l’accesso a molti aspetti della vita digitale della sua vittima, come gli account online. Fortunatamente, gli hacker non possono impossessarsi dei dati presenti sul telefono, come le foto, perché il SIM swapping influisce solo sui servizi collegati alla rete del dispositivo. Non devi preoccuparti che le chiamate, i messaggi e i messaggi vocali di tua madre finiscano nelle mani di terzi, ma stai attento a conseguenze più catastrofiche, ad esempio che un truffatore intercetti i codici per l’autenticazione a due fattori (2FA) o i messaggi con le password monouso. Cosa potrebbero pubblicare sui tuoi social media e quale danno potrebbero causare se avessero accesso ad account online, informazioni aziendali riservate e dati finanziari?
Per proteggersi dal SIM swapping, si applicano tutte le consuete misure, ma ne parleremo in dettaglio più avanti: utilizza password univoche e complesse per tutti i tuoi account online, attiva misure di sicurezza aggiuntive come l’autenticazione basata su app e fai molta attenzione a non condividere informazioni personali con sconosciuti. Alcuni operatori di telefonia mobile offrono funzionalità di sicurezza aggiuntive, come codici PIN o passphrase da fornire prima di poter apportare modifiche a un account. E ovviamente, la tua passphrase non può essere indovinata facilmente perché non si basa su informazioni personali che hai condiviso, vero?
Non importa quanto tu possa essere orgoglioso del tuo ultimo acquisto tecnologico, è importante ricordare che nessun telefono è immune al SIM swapping. Se ha una scheda SIM, è un possibile bersaglio. Oltre al “semplice” scambio di SIM, gli smartphone sono soggetti a diversi tipi di attacchi perché sono una miniera di dati personali e accessibilità. Dagli exploit ai tentativi di phishing, i criminali informatici utilizzano molti metodi per hackerare i telefoni.
Esaminiamo ora in dettaglio come fanno normalmente i truffatori a ottenere il controllo della minuscola scheda onnipotente che governa il mondo dei telefoni cellulari.
Come funziona il SIM swapping? Comprendere le mosse dei truffatori
Fase 1: pazienza e capacità di ricerca. I criminali informatici identificano le potenziali vittime ottenendo informazioni personali sensibili, che possono essere reperite tramite broker di dati, violazioni dei dati o semplicemente setacciando i marketplace del dark web, dove le informazioni di identificazione personale sono a disposizione di chiunque. Alcuni hacker utilizzano anche un software spyware (per monitorarti online e raccogliere i tuoi dati), oltre a e-mail di phishing apparentemente provenienti dall’operatore del tuo smartphone in cui ti viene chiesto di fornire informazioni personali come nome e data di nascita. Un’altra tecnica popolare per raccogliere i dati è detta smishing. Questa forma di phishing tramite SMS fa uso di messaggi di testo inviati da hacker che si spacciano per aziende legittime. Bloccali ed eliminali subito! Anche la ricerca sui social media è uno strumento utile, dal momento che diamo noi stessi una mano ai criminali informatici pubblicando dettagli personali sui nostri profili social. Non è che la risposta a una domanda di sicurezza è il cognome da nubile di tua madre o il nome della tua prima macchina, vero?
Fase 2: impersonificazione. Armato di dettagli personali, a questo punto il truffatore può contattare l’operatore di telefonia mobile della vittima e fingere di essere il legittimo proprietario della SIM. Utilizzerà le informazioni personali rubate in precedenza per cercare di eludere i controlli di sicurezza. “Buongiorno, sono Mario Rossi e ho perso il telefono/è stato danneggiato/è stato rubato” sono espressioni tipiche in caso di furto di identità. Al rappresentante del servizio clienti verrà quindi chiesto di attivare una nuova SIM di proprietà del truffatore. Così facendo, il numero di telefono della sfortunata vittima sarà trasferito (“porting”) sulla SIM nel dispositivo del criminale informatico. Una volta completato il trasferimento, le telefonate e gli SMS destinati al legittimo proprietario di quel telefono finiranno invece nelle mani del truffatore. La truffa è andata a segno. E i tuoi problemi sono appena iniziati.
Sapevi che le truffe SIM swapping hanno portato ad alcuni attacchi informatici di alto profilo? Nel 2019, l’account Twitter dell’ex CEO di Twitter, Jack Dorsey, è finito sotto il controllo di truffatori che hanno pubblicato commenti razzisti e sessisti. Nel 2020 è stata intentata una causa contro uno studente di 18 anni dell’ultimo anno di una scuola superiore di New York, accusato di avere sottratto all’investitore in criptovaluta Michael Terpin circa 24 milioni di dollari nel 2018. Quando ha commesso il reato, l’hacker aveva solo 15 anni e ha utilizzato dati rubati da smartphone tramite SIM swapping.
Il SIM swapping è sempre illegale?
È importante ricordare che il SIM swapping nasce come pratica legittima ma solo se avviene tra parti consenzienti. Ad esempio, il titolare dell’account potrebbe voler scambiare la SIM per consentire a qualcun altro di accedere alle informazioni sul proprio smartphone, ma di solito, si cambia la SIM quando si aggiorna il dispositivo o si viaggia in un altro paese. È quando una terza persona ottiene un accesso indesiderato al telefono di un’ignara vittima per scopi criminali che diventa una truffa SIM swapping, nota anche come “truffa di port-out”, “simjacking” (SIM hijacking) e “SIM splitting”.
Come riconoscere i segnali di una truffa SIM swapping
Il lato positivo è che di solito il SIM swapping è facile da identificare. Fai attenzione ai seguenti campanelli di allarme e intervieni tempestivamente:
- Non riesci a effettuare chiamate o inviare SMS: potrebbe significare che i truffatori hanno disattivato la tua SIM e ora stanno utilizzando il tuo numero di telefono. L’operatore di telefonia mobile può confermare se è avvenuto uno scambio o se si tratta semplicemente di un problema temporaneo.
- Ricevi notifiche di attività sconosciute: nelle prime fasi di un SIM swapping, potresti ricevere SMS o chiamate riguardanti una modifica al servizio. Contatta immediatamente il tuo gestore per scoprire quali misure sono state adottate.
- Perdi l’accesso agli account online: all’improvviso non riesci più ad accedere ai tuoi conti bancari, ai profili sui social media o alle tue e-mail? Potrebbero essere finiti nelle mani di truffatori che hanno modificato i dati di accesso. Ecco cosa fare se il tuo account e-mail è stato hackerato. Ti spiegheremo come recuperare il tuo account WhatsApp hackerato.
- I tuoi account social mostrano nuovi post anomali o altre modifiche: se sai di non aver aggiornato il tuo profilo sui social media e il tuo account riporta foto, commenti o post che non hai pubblicato tu, potrebbe essere all’opera un truffatore che sfrutta il SIM-jacking. Se possibile, esegui l’accesso per cambiare la password. Segui immediatamente questa procedura se il tuo account social è stato hackerato.
- Compaiono transazioni inaspettate: noti transazioni sospette sugli estratti conto della banca o della carta di credito? Ordini su Amazon che non hai effettuato? Potrebbe essere un altro segnale del SIM swapping. Contatta immediatamente i fornitori dei servizi e consulta questa guida se il tuo account Amazon è stato hackerato.
Come gestire la truffa SIM swapping
Se hai il sospetto che qualcosa non vada, agisci rapidamente! Più aspetti, maggiori saranno le ripercussioni dell’attacco, quindi non è il momento di una tazza di tè rilassante. Contatta immediatamente il tuo gestore di telefonia mobile per indagare sull’incidente, riprendere il controllo e scoprire come è avvenuto lo scambio. Contatta anche gli eventuali istituti finanziari per verificare transazioni inaspettate e problemi di accesso. E quando parli con qualcuno, adotta questa buona abitudine: chiedi un numero di riferimento per la tua chiamata e prendi nota di tutti gli interventi promessi in caso di controversie future. Non aver paura di chiedere conferma perché gli errori possono capitare! Assicurati che l’incidente che hai segnalato sia stato registrato correttamente: puoi anche richiamare e controllare.
A proposito di segnalazioni… come farai a effettuare queste chiamate fondamentali se il tuo dispositivo è fuori uso? Non farti cogliere impreparato e prendi in considerazione l’idea di avere un telefono di backup da utilizzare in caso di truffa SIM swapping.
Se ti trovi in Inghilterra, Galles o Irlanda del Nord dovresti segnalare tutti i crimini informatici ad Action Fraud. In Scozia, contatta le forze dell’ordine chiamando il 101 e visita il sito Web Cyber Scotland per risorse utili e informazioni sui servizi informatici.
Il futuro le SIM non saranno più in circolazione e le eSIM possono contribuire a prevenire il SIM swapping?
I giorni della SIM fisica sono contati? I produttori di telefoni (con Apple in testa) stanno rapidamente passando alle SIM incorporate o “eSIM”, che essendo preinstallate non possono essere inserite o rimosse. Rendono la configurazione di un nuovo telefono un gioco da ragazzi ed è anche più facile passare a un’altra rete perché non sarà necessario cambiare fisicamente la scheda. Non dovrai più andare in cerca di quegli introvabili aggeggi per “espellere” la SIM! Ma ci sono anche degli svantaggi. Se il tuo telefono smette di funzionare, non puoi estrarre rapidamente la SIM e utilizzarla su un altro telefono. Se viaggi spesso all’estero, potresti dover cambiare regolarmente le SIM nel tuo telefono e, con un’eSIM, questa operazione diventa più difficile. Che ti piaccia o no, gli smartphone e i dispositivi wearable più recenti sono dotati di eSIM, tra cui iPhone (iPhone XR e versione successive), Samsung Galaxy e Google Pixel.
Ma il passaggio alle SIM incorporate aiuta a prevenire le truffe SIM swapping? Spesso i truffatori affermano di aver perso o danneggiato la SIM per ottenere il trasferimento del numero su un’altra scheda. Se un telefono non ha una SIM rimovibile, questa scusa non sarà più plausibile. Sfortunatamente, le eSIM non possono eliminare del tutto le truffe SIM swapping, perché il numero di telefono associato a una eSIM può comunque essere trasferito su un altro dispositivo compatibile con eSIM. Se un truffatore riesce a sfruttare le vulnerabilità nei processi di autenticazione di una rete mobile, può comunque mettere a segno un attacco SIM swapping indipendentemente dal tipo di SIM coinvolta.
I sei passaggi per contribuire a prevenire le truffe SIM swapping
Non rinunciare al cellulare perché pensi che sia una bomba a orologeria pronta a scoppiarti in mano! Nessuno ormai può fare a meno del telefono. Ma per ridurre al minimo le possibilità di un attacco SIM swapping, segui questi consigli.
- Attieniti alle regole fondamentali della sicurezza online: stai all’erta e rifletti bene prima di cliccare su un link, aprire un allegato o scaricare un file. Fai molta attenzione alle e-mail che richiedono dati personali sensibili e verifica sempre l’identità del mittente. I provider di servizi non chiederanno mai ai titolari degli account di fornire questi dettagli via e-mail, quindi è molto probabile che si tratti di e-mail di phishing che devono essere bloccate ed eliminate.
- Chiedi di essere richiamato: alcune banche o operatori di telefonia mobile offrono questo servizio. Se devono apportare modifiche al tuo account, chiedi che ti contattino al numero associato all’account per procedere. Così facendo, potrai contribuire ad arrestare una frode SIM swapping in corso!
- Non usare un numero di telefono per l’autenticazione degli account: scegli sempre l’autenticazione a due fattori se disponibile, ma opta per un’app sicura anziché per un numero di telefono. In questo modo il processo di autenticazione viene collegato al tuo dispositivo fisico e non solo al numero di telefono. A meno che un truffatore non ti abbia rubato il telefono, non sarà in grado di intercettare i messaggi di autenticazione e, in caso di SIM swapping, avrà accesso a meno account.
- Scegli più livelli di sicurezza per gli account telefonici: la maggior parte delle compagnie telefoniche consente ai titolari di account di impostare password, codici PIN e domande di sicurezza per aumentare la sicurezza. Assicurati che siano in atto queste misure in modo che sia molto più difficile per una persona autorizzata ottenere l’accesso e apportare modifiche. Non riutilizzare mai la stessa password per più account e verifica di utilizzare una combinazione complessa e casuale di lettere maiuscole e minuscole, numeri e simboli. Disponibile gratuitamente, Avira Password Manager consente di creare, archiviare e gestire password complesse per tutti i tuoi account online.
- Sfrutta la biometria: l’innovazione tecnologica consente di scansionare il volto, le impronte digitali e a volte persino l’iride per verificare l’identità di una persona. Configura questa opzione dove possibile per proteggere l’accesso al tuo telefono quando scarichi software e così via.
- Pubblica poche informazioni personali sui social media: che si tratti del cognome da nubile di tua madre, del tuo primo animale domestico o della tua data di nascita, evita di divulgare qualsiasi informazione che potrebbe aiutare un criminale informatico ad accedere ai tuoi account online.
Ecco un breve riepilogo su come contribuire a proteggere lo smartphone da malware e criminali informatici.
Resta al sicuro da truffe online, malware e molto altro
Ricordati che, indipendentemente dal dispositivo, i criminali informatici trovano sempre nuove vulnerabilità da sfruttare. Ci sono molti tipi diversi di hacker e quelli animati da intenti criminali e illegali vengono definiti hacker “black hat”. Per tenere a bada anche gli attacchi online più sofisticati, è essenziale poter contare su una sicurezza online affidabile. Avira Free Security per Windows e Free Security per Mac combinano diversi strumenti, tra cui Antivirus, VPN, Password Manager e altro ancora, in un’unica pratica soluzione per privacy, prestazioni e protezione ottimali. Per i dispositivi mobili, sono disponibili Avira Free Security per Android e Avira Mobile Security per iOS. Entrambi i prodotti si basano su una sicurezza multilivello per aiutarti a proteggerti dai pericoli del Web.