Ultimamente, soprattutto in questo periodo estivo, si stanno verificando numerosi casi di clonaggio delle SIM. “SIM Swap Scam”, questo il nome dato al fenomeno, dovrebbe preoccupare non tanto per le implicazioni a livello del numero telefonico (che, pur essendo preoccupanti, risultano comunque essere arginabili), quanto piuttosto per l’utilizzo che i malviventi possono fare con la SIM clonata. Ossia prosciugare il conto corrente del malcapitato.
Il fenomeno, che ha preso piede nel 2015 e ora pare stia tornando in voga tra gli hacker, consente ai malfattori di usufruire del numero di telefono per accedere al conto corrente online. Non è molto facile da attuare perché richiede un certo grado di destrezza e di abilità, oltre che una predisposizione della vittima a pubblicare informazioni personali sulle piattaforme online, ma nell’ultimo periodo gli utenti sono in allerta per la rinnovata diffusione di questa pratica.
Truffa delle SIM clonate: come svuotano il conto corrente col numero di telefono
La cosa paradossale è che la frode sfrutta proprio l’inasprimento delle misure di sicurezza, che hanno visto il normale token fisico essere sostituito dall’autenticazione a due fattori tramite numero telefonico. Al momento dell’accesso al conto online, infatti, la banca richiede un codice OTP (One Time Password) inviato proprio tramite SMS al numero rilasciato dall’intestatario.
Gli hacker quindi sfruttano tutte le informazioni reperibili sui profili social (compleanno, luogo di nascita, luogo di residenza) per creare documenti falsi. Successivamente, si cerca sempre sui social o su altre piattaforme il numero di telefono della vittima, per poi sfruttarlo per denunciare lo smarrimento della SIM all’operatore telefonico. In questa maniera si potrà richiedere una nuova copia della SIM, che andrà direttamente nelle mani degli hacker.
A questo punto, il difficile è ormai fatto e si potrà sfruttare il numero telefonico per richiedere nuovamente la password di accesso ai servizi di banking online. Gli operatori dei call center della banca, riconoscendo che il numero da cui perviene la chiamata corrisponde a quello presente nei server come secondo fattore di autenticazione, forniranno una nuova password per entrare nel conto virtuale. Basteranno così pochi minuti ai cybercriminali per svuotare completamente il saldo del conto corrente.