In estate, inevitabilmente, si moltiplicano i tentativi da parte dei malintenzionati di raggirare gli utenti per prosciugare i loro conti correnti. Il phishing (o smishing) è ormai pratica consolidata: per averne conferma, talvolta, basterebbe aprire la propria casella di posta e verificare che sia arrivata una delle mail truffaldine che circolano proprio in questo periodo dell’anno.
Approfittando infatti di un’apparente distrazione degli utenti, gli hacker tentano di imitare in tutto e per tutto le comunicazioni ufficiali delle principali banche, così da far cadere in trappola i malcapitati.
Ma quest’anno in particolare sembrerebbe esser tornata in voga un’altra modalità di phishing, più raffinata ed elaborata rispetto alle altre, ma estremamente efficace nel momento in cui andasse a segno. Si tratta del SIM Swap Scam, inventato nel 2015 e riproposto da alcuni cybercriminali negli scorsi mesi.
La truffa in questione fa leva sulle nuove procedure di sicurezza per l’accesso ai conti correnti. Dal momento che non si utilizza più il token fisico, ma un messaggio OTP in arrivo sul proprio telefono, per accordare l’accesso all’internet banking, clonare la SIM si rivela il metodo perfetto per prosciugare il conto degli utenti.
Basta infatti creare documenti falsi sulla base di informazioni della vittima riportate sui social e su altri siti web. Successivamente, questi verranno utilizzati per richiedere una nuova copia della SIM, fingendo che sia stata smarrita. Ottenuta la SIM, dunque, si potrà accedere al servizio clienti della banca della vittima per farsi consegnare una nuova password per l’internet banking, anche qui usando la scusa di averla persa o dimenticata. Gli operatori della banca, riconoscendo la corrispondenza del numero e dei documenti, provvederanno a fornire ai malfattori una nuova chiave d’accesso per i servizi di banking online. E il gioco è fatto.
Per fortuna, ci sono delle accortezze che si possono mettere in atto per premunirsi a fronte di queste truffe. Le principali, senza dubbio, sono regole che dovrebbero valere per qualsiasi attività sul web: non fornire troppe informazioni sui propri dati personali e non lasciare il numero di telefono sui social o su altri siti. Inoltre, nel momento in cui venisse attivato il clone della SIM, l’originale smetterebbe di funzionare. Questo potrebbe rappresentare un importante campanello d’allarme per correre immediatamente ai ripari.