Una nuova modalità di truffa si sta diffondendo a macchia d’olio nel nostro Paese. E si tratterebbe di un metodo piuttosto raffinato per arrivare ai conti correnti passando attraverso le SIM dei clienti.
Non si tratta di una modalità di phishing, che invece potrebbe essere utilizzato per rubare i dati necessari alla prima fase di questa truffa. Si parla invece di SIM Swap Scam, il raggiro delle SIM clonate, che sta colpendo trasversalmente i clienti TIM, Vodafone, Wind, Tre e Iliad – i principali operatori telefonici attivi in Italia.
La truffa consiste nello sfruttare informazioni sensibili (come ad esempio i connotati giuridici di una persona, il suo nome, il suo indirizzo, la sua data di nascita) per clonare la SIM della vittima e utilizzarla per accedere al conto corrente.
A partire dallo scorso settembre, infatti, l’unica modalità di autenticazione al banking online riconosciuta consiste nell’inserire il codice OTP pervenuto sullo smartphone dell’intestatario. Non più il token fisico, quindi, che è stato sostituito da un SMS sul proprio telefono. Ed è proprio su questo che si basa la SIM Swap Scam.
La truffa si articola in diversi passaggi, ma se portata a termine con dovizia, può assicurare risultati che altri raggiri non garantirebbero.
Si tratta sostanzialmente di utilizzare la nuova modalità di autenticazione entrata in vigore per poter penetrare illecitamente nell’home banking della vittima. Appare chiaro, infatti, che clonando la SIM dell’intestatario si possa ottenere – per il procedimento sopra descritto – il codice OTP per accedere al conto.
Combinando insieme a questa altre modalità di truffa, come il phishing, è possibile entrare in possesso dei dati dell’utente per falsificarne i documenti. Dopo di che, il malintenzionato richiede una nuova copia della SIM, accampando la scusa di averla smarrita e consegnando i documenti (falsi) necessari a questo processo. Successivamente, contatta la banca per ottenere una nuova password: gli operatori bancari, riconoscendo il numero come corrispondente a quello dell’intestatario, consegnano una nuova password d’accesso. E il gioco è fatto.
Dal momento che tutta la parte iniziale della truffa si basa sull’estrarre dati personali e altro genere di informazioni sensibili, per prevenire simili risvolti è consigliabile non lasciare sui social o sul web troppi indizi su quale possa essere, ad esempio, l’indirizzo di casa, la data di nascita o il luogo di nascita. Inoltre, la SIM originale smette di funzionare quando il clone viene attivato. In caso di malfunzionamento della scheda, è caldamente consigliato rivolgersi presso il centro più vicino del proprio operatore.