La truffa SIM swap è la più utilizzata dai pirati informatici in questo periodo. Ed è pericolosa, molto pericolosa, perché comporta una perdita di identità digitale temporanea e, durante questo tempo, rischi di vederti portare via, oltre ai tuoi dati, le tue informazioni personali, i tuoi ricordi come foto e video, anche e sopratutto i tuoi soldi. Imparare a difendersi da questa truffa informatica è quindi importante e non è nemmeno difficile. Se sai come agisce il tuo nemico sai anche come contrastarlo.

Che cosa è la truffa SIM swap

Questa truffa, come la maggior parte delle truffe informatiche, inizia in modo del tutto analogico. Il truffatore di solito approfitta della superficialità di qualche operatore del tuo gestore telefonico. Grazie alla superficialità (quando non si tratta addirittura di complicità) di qualche commesso distratto riesce, denunciandone lo smarrimento, ad ottenere un duplicato della tua SIM. Da quel momento può utilizzare il tuo numero di telefono.

È importante notare che nel momento in cui entra in funzione una SIM clonata con questa tecnica, la SIM in tuo possesso smette di funzionare. Per questo motivo non ti accorgerai di niente di quello che sta facendo il truffatore ai tuoi danni. Magari tu penserai si tratti solo di un guasto e contatterai il tuo gestore telefonico. Solo così scoprirai che esiste qualcuno che sta usando il tuo numero di telefono. E che potrebbe essere già tardi. Anche perchè i tempi per riportare la situazione alla normalità non sono brevissimi. Di solito queste truffe vengono orchestrate per fare in modo che il tutto avvenga durate il fine settimana, momento nel quale è più difficile porre rimedio.

Cosa si può fare con una SIM clonata?

Con la tecnica SIM swap puoi ottenere una SIM clonata che di fatto è la chiave per accedere al modo digitale. I principali social network

  • Facebook
  • Instagram
  • Linkedin
  • Pinterest
  • TikTok

ma anche tutto il mondo legato agli account G-Mail utilizzano il sistema a due fattori con invio di SMS. Conoscendo anche solo la email o il nome utente ed avendo il telefono a disposizione, i truffatori possono recuperare le password di accesso e accedere a un’infinità di informazioni preziose.

In cosa consiste la truffa SIM swap?

Se il truffatore ti ha preso di mira con ogni probabilità avrà già setacciato i social network in cerca di informazioni sul tuo conto. Avrà già provato ad accedere al posto tuo in qualche tuo account alla ricerca di informazioni preziose, che, unite alla possibilità di utilizzare il tuo numero di telefono, lo rendono particolarmente pericoloso.

Il primo obiettivo del truffatore è il tuo conto corrente.

In seguito alla direttiva PSD2 sulla sicurezza dei pagamenti online, le banche hanno introdotto l’autenticazione a due fattori. Oltre alle credenziali d’accesso per accedere al conto devi fornire un codice numerico. Questo codice numerico può essere generato da un dispositivo OTP (One Time Password), ma le banche trovano più conveniente inviarti un SMS con il codice numerico (secondo fattore di autenticazione).

Ora dal momento che il truffatore, grazie alla tecnica SIM swap, può ricevere i tuoi SMS, se è in possesso anche delle credenziali di accesso, ti ha fregato. Il truffatore è libero di fare uno o più bonifici verso un proprio conto aperto in qualche paese dalla legislazione di favore. Ti svuoterà il conto corrente.

Altri obiettivi del truffatore sono le carte di credito. Ma anche gli account dei marketplace come Amazon, i quali conservano i tuoi dati di acquisto permettendoti di spendere dalle tue carte senza dover riscrivere ogni volta i dati necessari.

Come fa il truffatore ad avere i miei dati?

Le truffe informatiche sfruttano punti deboli, superati i quali trovano praterie. Una volta che un truffatore è riuscito a bucare anche uno solo dei tanti account che ognuno di noi ha, troverà dati e informazioni che gli permetteranno allargare la sua ricerca fino a trovare i nostri dati sensibili, i nostri documenti, le nostre credenziali.

A mio parere i punti deboli sono tanti, particolare attenzione bisogna prestarla alla posta elettronica e ai dati in cloud. È molto probabile che in una cartella condivisa tra il tuo PC e il tuo smartphone ci siano i tuoi documenti personali e anche le tue credenziali di accesso per i diversi sistemi a cui accesso.

Dropbox, Google Drive, OneDrive, iCloud, sono miniere d’oro per gli hacker che riescono ad accedervi. Con ogni probabilità all’interno di un drive virtuale troveranno tutto quello di cui hanno bisogno per mettere a segno la loro truffa.

Articoli simili

Via posta elettronica avremo inviato decine di volte i nostri documenti che quindi sono vulnerabili in caso di accesso alla nostra casella di posta. Chissà quanti altri dati sensibili potremmo aver inviato ma anche ricevuto, ad esempio le password.

Un altro sistema per che usano i truffatori per raccogliere dati personali è quello di offrire un accesso WiFi free. Tramite le reti aperte spesso vengono inoculati malware che poi raccolgono e inviano tutti i tuoi dati (anche tutto quello che scrivi) al malintenzionato di turno.

Come difendersi?

Per difendersi preventivamente da truffe i questo tipo bisogna essere attenti e mettere in atto alcuni accorgimenti.

Quando è possibile utilizza strumenti per la conferma dell’identità che facciano uso di dati biometrici. I token fisici (OTP), sono da preferire alle app che generano le password usa e getta e al sistema di invio tramite SMS. Se è possibile richiedi chiavi di sicurezza hardware, solo chi è in possesso di questa chiave fisica e delle credenziali, potrà accedere ai sistemi protetti.

Utilizza i social network con criterio. I truffatori ci spiano, guadano le nostre foto, i nostri video, i nomi dei nostri figli, mogli, fidanzate, le date di nascita, gli anniversari. Ricordo ancora di aver telefonato ad una mia cliente per dirle di cambiare la password di accesso alla sua PEC, perché le sue credenziali erano in bella vista, scritte su un post-it attaccato al bordo del monitor, in una foto pubblicata su Facebook.

Dobbiamo essere gelosi dei nostri dati personali perchè sono merce preziosa se cadono nelle mani dei truffatori.

Se il guaio è già fatto?

Se vedi che il tuo telefono non funziona, in particolare se lo smartphone ti dice di non riconoscere la SIM, contatta immediatamente il tuo gestore telefonico e blocca la SIM. Fai lo stesso anche con la tua banca, chiamali e chiedi di sospendere l’operatività dell’home banking. Blocca anche le tue carte di credito.

Se con banca e gestore telefonico bloccare la truffa è abbastanza facile, meno facile ti risulterà accedere ai tuoi account per cambiare le credenziali o i dati delle carte di credito in essi contenuti. Questo perchè alcuni sistemi inviano SMS con codici per confermare le operazioni richieste. SMS che però non riceveresti tu ma il malfattore che sarebbe così facilitato circa la direzione in cui muoversi.

Ricapitolando, se hai il sospetto di essere vittima di SIM swap:

  • blocca la SIM tramite il gestore telefonico
  • contatta la banca per bloccare l’operatività online
  • blocca le carte di credito
  • prova ad accedere ai tuoi account per  modificare le credenziali ed eliminare dati di pagamento
  • fai attenzione a che non ti vengano inviati SMS di conferma

Di chi sono le responsabilità?

I truffatori vanno a sfruttare le vulnerabilità che per negligenza o per superficialità si vengono a creare. Le responsabilità vanno addebitate, in primis, ai gestori telefonici che superficialmente rilasciano duplicati della SIM senza accertarsi dell’identità del richiedente.

Le banche non sono immuni da colpe, economizzare sui sistemi di sicurezza, affidandosi agli SMS, abbassa l’asticella della sicurezza. Inoltre le banche potrebbero bloccare le operazioni non in linea con il profilo dell’utente in attesa di una conferma autentica per evitare sottrazioni di denaro.

Recuperare il maltolto

Ma c’è un modo di incastrare il truffatore e di recuperare i soldi persi?  In generale sì, ma recuperare i soldi è più difficile.

Tutte le operazioni che facciamo online sono tracciate, anche quelle fatte dal  truffatore. Avendo accesso ai dati delle piattaforme utilizzate per mettere a segno il colpo ed incrociandoli tra loro è possibile ricostruire le operazioni e i dispositivi dai quali sono state fatte. Di fatto è possibile risalire al truffatore.

Questo tipo di lavoro, perchè abbia anche una valenza processuale, deve essere fatto con tempestività e in modalità forense. Ti toccherà servirti di un consulente informatico forense il quale utilizza, per l’acquisizione delle prove,  metodi scientifici di digital forensics. Il perito ti rilascerà una perizia informatica potrai che utilizzare in giudizio nel tentativo di recuperare i danni subiti.

Un articolo di Alessandro Nicotra pubblicato il 19 Dicembre 2019 e modificato l'ultima volta il 19 Dicembre 2019