Il titolo che abbiamo scelto per questo articolo non è casuale. SIM e conto in banca sono in correlazione tra loro ed hanno come parte in comune una truffa difficile da scoprire ed allo stesso tempo davvero molto pericolosa. Dal momento in cui gli istituti bancari e postali hanno adottato la politica dell’autenticazione digitale sono proliferati gli attacchi di tipo Swap Scam che dall’estero sono sbarcati ora anche in Italia. Senza nessuna eccezione diciamo che riguardano sia gli utenti con scheda telefonica di operatore virtuale che di TIM, WindTre, Vodafone ed Iliad.
La SIM sembra non funzionare: segnali di allarme per possibile truffa
La nostra identità digitale è importante al pari di quella reale. Non ci sogneremo mai di fornire tessera sanitaria, patente e carta di identità al primo sconosciuto che passa. Eppure in rete il pericolo del furto dati è semplificato dalla presenza di applicazioni e social network. Forum online, Facebook, WhatsApp, Instagram ed altre piattaforme sono una vera e propria miniera di informazioni per gli attacker con metodo social engineering.
Un malintenzionato annidato all’interno di un gruppo WhatsApp o un amico Facebook potrebbe estrapolare informazioni come il numero di telefono per sferrare un complesso attacco informatico che ha come obiettivo il conto in banca. La situazione che si verifica è la seguente.
- Telefono della vittima: sparizione del segnale per lunghi periodi di tempo in assenza di down
- Hacker: richiesta di SIM con numero dell’utente vittima, ricezione dei supporto, utilizzo per autenticazione bancaria e dirottamento fondi su conti off-shore o Waller Top Secret
Sulla base dei punti precedenti si capisce che l’hacker ottiene una sim clonata contattando l’operatore e fornendo i falsi dati personali e di recapito che si ottengono dalla profilazione incrociata delle app. L’utente ignaro riscontra una mancanza di segnale che sembra una interruzione di servizio ma non lo è. Alla fine il criminale informatico ottiene l’accesso al conto in banca mentre la vittima viene derubata.
Consigliamo di limitare le info online sui social. Nascondere, ove possibile, il proprio numero di telefono così da non concedere al cyber criminale la ricezione degli SMS OTP con le password temporanee per l’accesso al conto in banca che si ottiene mediante ulteriori tecniche di spionaggio come il phishing.