SIM Swapping: cos'è e come proteggersi

In seguito ad un ipotetico furto di dati ai danni di Ho.mobile, per il momento negato dall'operatore, si è tornati a parlare del fenomeno del SIM Swapping, una pratica che viene spesso menzionata perché illegale ma che nasce come un processo del tutto lecito e al servizio del cliente. Vediamo di capirci di più.

Lo si capisce probabilmente semplicemente traducendo dall'inglese. Vuol dire sostituire una SIM, ovvero la piccola scheda che inseriamo nei nostri smartphone o modem mobile per avere un numero di telefono e poter chiamare e connettersi ad internet. Questa pratica è la stessa che in molti hanno già fatto negli anni andando dal proprio negoziante di fiducia e facendosi sostituire la SIM, magari perché danneggiata, smarrita o di un formato non compatibile con il nostro telefono. Si fa trasferire tutte le informazioni su una nuova SIM e quella precedente smette di funzionare.

Ovviamente la pratica di sostituire la SIM è qualcosa che solo l'intestatario della SIM stessa dovrebbe poter fare, ma purtroppo sappiamo che non è così.

Di fatto ci sono stati moltissimi casi negli anni in cui ci sono stati fenomeni di SIM Swapping non autorizzati. Come? Il metodo principale è l'hacking sociale, ovvero il convincere la persona "attaccata" a farlo al posto nostro, fingendosi qualcuno di fiducia o magari qualcuno dell'operatore stesso, spesso approfittando dell'ingenuità della persona con cui stiamo parlando.

Ci sono poi casi in cui l'ingenuo è il negoziante o l'operatore telefonico che casca in un tranello sociale e avvia una procedura di sostituzione SIM swapping senza avere davvero di fronte (o al telefono) il vero intestatario del servizio. Non sono mancati i casi in cui questi soggetti fossero in malafede e eseguissero queste operazioni sotto pagamento.

Ci sono poi ancora casi in cui l'attaccante è venuto in possesso di tutte (o quasi) le informazioni necessarie per fingersi l'intestatario, compreso il codice ICCID della SIM (il codice univoco che identifica la vostra tessera), permettendogli quindi di sostituirsi all'intestatario e effettuare SIM swapping.

Al netto del problema indubbio di veder la propria identità telefonica rubata, ci sono problemi più seri da considerare. L'idea principale è che un attaccante in possesso della vostra SIM potrebbe fingersi facilmente voi andando a farsi autenticare presso persone, aziende o istituzioni, magari inviando un semplice SMS o WhatsApp. Ma ancor di più avrebbe in mano uno strumento di verifica in due passaggi per molti servizi online. Ormai i furti di dati e password sono all'ordine del giorno (potete verificare qui) ma quello che tiene i malintenzionati lontani dai vostri account è spesso l'autenticazione in due fattori, ovvero un secondo tipo di conferma che siate proprio voi ad accedere ai servizi. Un esempio? La banca, gli store online o anche i social network.

L'autenticazione in due fattori certifica in qualche modo che siate davvero voi, ma se il numero di telefono non è più in mano vostra ovviamente l'attaccante avrebbe l'ultimo tassello per poter entrare nei vostri servizi.

Prima di tutto bisogna porre molta attenzione a chi ci chiede i dati della nostra SIM, soprattutto al telefono e diffidare il più possibile. In più vale sempre la regola di avere password diverse per ogni servizio e cambiarle dopo un certo lasso di tempo. L'autenticazione in due fattori non è sufficiente se la password non è stata svelata. E viceversa.

Per proteggervi, soprattutto se pensate di essere a rischio SIM swapping è quello di sostituire, nei servizi che lo consentono, l'autenticazione in due fattori con altri sistemi. Le banche spesso offrono l'autenticazione tramite applicazione proprietaria e molti servizi permettono di fare lo stesso tramite le app di terze parti, come quelle di Google o Microsoft. Benché non perfetto, se il sistema non permette l'autenticazione con l'app, potete optare per quella tramite email. Per chi ha molti dati da tenere al sicuro si può pensare anche ad una chiave fisica, come la Titan di Google.

Il sintomo che potreste essere stati attaccati è se la vostra SIM non ha più segnale. Questo perché il SIM swapping presuppone che l'altra SIM sia la nuova attiva e poiché non possono esserci più SIM attive con lo stesso numero (per semplificare) la vostra perderà accesso alla rete. Magari il problema è altrove (la SIM si è guastata o il vostro smartphone ha problemi), ma se sospettate un problema di questo tipo non perdete tempo e contattate il vostro operatore.

Se risulta un cambio SIM che voi non avete fatto chiedete subito un nuovo cambio SIM e la disattivazione della SIM che è attualmente in funzione.

Altri sintomi del problema è se doveste vedere (grazie a mail o notifiche app) segnali di accessi non autorizzati in servizi che utilizzano l'autenticazione in due fattori.