Il Sim Swap, o Sim Swapping, è un tipo di attacco che sta guadagnando sempre più terreno nel panorama della cybercriminalità. Questa pratica consiste nel prendere il controllo totale di un numero di telefono di un individuo, tecnicamente identificato come MSISDN. Questo tipo di attacco è diffuso a livello globale, compresa l’Europa, tanto che Europol ha avviato campagne di sensibilizzazione per informare i cittadini su questa minaccia.
Il numero di telefono, di solito, è associato a un solo utente di rete mobile, identificato attraverso un codice univoco (IMSN) conservato all’interno della carta SIM, a sua volta identificata dal codice ICCD. Questo è ciò che viene normalmente indicato come seriale della carta SIM.
L’attaccante può prendere il controllo del numero della vittima in due modi:
- Se ha accesso fisico al dispositivo della vittima, prendendo la sim e scambiandola con un’altra per ingannare la vittima.
- Se è in possesso dei documenti di identità della vittima e/o del codice ICCD, può chiedere al gestore presso il quale la numerazione è attiva la sostituzione della sim associata alla numerazione, secondo la procedura utilizzata in caso di furto, smarrimento o malfunzionamento della sim. Oppure può avviare un processo di portabilità del numero mobile (detta anche Mobile Number Portability o MNP) verso un diverso gestore, che emetterà una nuova sim alla quale associare il numero.
Una volta che l’attaccante ha completato una di queste azioni, avrà il controllo completo del traffico in entrata ed in uscita relativo a quella particolare numerazione.
Le conseguenze di un attacco Sim Swap
Il furto del numero di telefono equivale al furto di uno dei principali elementi che concorrono a determinare la nostra identità digitale. L’obiettivo più comune degli attacchi di sim swap è la violazione dei sistemi di autenticazione o autorizzazione a due fattori che si basano sull’invio tramite SMS di un codice temporaneo (OTP). Il caso tipico è quello dei servizi di home banking che prevedono l’invio tramite SMS del codice dispositivo per disporre pagamenti o bonifici. Ma ci sono numerosi altri servizi, come lo SPID, che si basano sull’invio di un codice tramite SMS per l’autenticazione degli utenti.
Molti altri servizi (come Facebook, Paypal o Gmail) prevedono la possibilità di reimpostare la password di accesso ad un account mediante l’uso di una OTP inviata per SMS. Questi account possono essere violati da chi abbia preso il controllo del numero di telefono.
Tutti i principali e più diffusi servizi di messaggistica istantanea (come Telegram, WhatsApp o Signal) identificano gli utenti con il loro numero di telefono e prevedono l’identificazione tramite SMS. Prendendo il controllo del numero di cellulare, è possibile prendere il controllo anche di questi servizi.
Un attacco sim swap può essere eseguito anche per altri scopi, come sostituirsi alla vittima dell’attacco ed inviare comunicazioni a una terza persona, che potrebbe essere il vero destinatario di un tentativo di truffa.
Quanto è probabile essere vittima di Sim Swap
L’appropriazione del numero di telefono è normalmente possibile solo da parte di chi può prendere fisicamente il controllo della sim card o da chi è in grado di completare con successo le procedure di sostituzione sim o MNP che normalmente richiedono l’identificazione dell’interessato attraverso un documento di identità.
Molte persone credono di non essere esposte a un rischio significativo di essere vittime di un attacco sim swap, sentendosi quindi falsamente al sicuro. Tuttavia, bisogna ricordare che non siamo noi a decidere quanto siamo appetibili per i criminali informatici.
Ad esempio, a causa della nostra posizione lavorativa, potremmo essere considerati un anello utile (e debole) di un attacco di social engineering rivolto a persone che lavorano nella nostra stessa azienda, o con le quali abbiamo contatti professionali.
Inoltre, i criminali potrebbero aver già acquistato sul dark web una parte della nostra identità digitale (ad esempio indirizzo email, copia di un documento di identità, credenziali di accesso a servizi online) e siamo quindi diventati bersagli mirati.
È quindi importante essere consapevoli di questa minaccia e seguire alcune regole di prudenza per limitare il rischio di questi attacchi.
Le nuove regole sulla portabilità del numero di telefono adottate per prevenire gli attacchi di Sim Swap
Per prevenire gli attacchi di SIM swap, l’Autorità per le Garanzie nelle Comunicazioni ha adottato nel luglio 2021 la delibera 86/21/CIR, che ha introdotto alcune importanti misure di sicurezza. Queste misure, alle quali i gestori hanno iniziato ad adeguarsi a partire dal novembre 2022, si applicano alle procedure di sostituzione della SIM e di portabilità del numero mobile.
Il cambio SIM può essere richiesto solo dall’intestatario della linea
In base alla delibera, tutte le richieste di cambio SIM, incluse le sostituzioni per furto, smarrimento o portabilità del numero possono essere richieste esclusivamente dal titolare della SIM. Non è quindi più possibile effettuare queste operazioni come “reale utilizzatore dell’utenza”. Se non si è il titolare della SIM, è necessario – prima di procedere alla sostituzione della scheda – attivare la procedura di modifica dell’intestatario della linea.
L’uso di deleghe per il cambio della SIM è consentito solo nel caso delle SIM aziendali, secondo procedure che assicurano comunque un adeguato livello di sicurezza.
Procedure di identificazione della persona che richiede il cambio SIM
In base alle nuove regole, il gestore telefonico o il rivenditore che procede alla sostituzione della SIM, anche per portabilità del numero, dovrà procedere alla preventiva identificazione del richiedente. In particolare, è previsto che acquisisca dal titolare della SIM una copia del documento di identità e del codice fiscale del richiedente ed una copia della vecchia sim o della denuncia di smarrimento. Non sarà più possibile, quindi, procedere alla richiesta di sostituzione o di portabilità del numero senza essere in possesso della SIM che si vuole sostituire.
Procedura di validazione della richiesta
È inoltre previsto che il gestore telefonico, prima di evadere la richiesta di sostituzione della SIM, attivi una procedura di validazione della richiesta. La procedura potrà avvenire mediante l’invio di un SMS, al quale sarà necessario rispondere per validare la richiesta; in alternativa il gestore potrà chiamare il cliente ed ottenere conferma registrando la chiamata.
Gli operatori sono obbligati a interrompere il processo di sostituzione della SIM indesiderato quando il cliente risponde negativamente al messaggio o manifesta la volontà di bloccare la procedura chiamando il customer care, o accedendo ad un’area riservata sul sito web. Nel caso di MNP, l’opposizione alla prosecuzione della procedura determina la sospensione della portabilità. Il gestore dovrà effettuare degli accertamenti e, se si accerta che la richiesta è stata fatta contro la volontà del titolare dell’utenza, dovrà bloccare la procedura.
Identificare i segnali di un attacco Sim Swap
Le nuove procedure di sicurezza dovrebbero consentire di prevenire in misura significativa gli attacchi di sim swap. Tuttavia, in alcuni casi limite, gli attaccanti potrebbero riuscire a eludere queste misure e portare a termine in modo fraudolento le procedure per la sostituzione della SIM. È quindi opportuno prestare attenzione ai segnali che possono indicare di essere rimasti vittima di sim swap:
- Si ricevono messaggi che preannunciano un prossimo passaggio del numero ad un operatore mobile diverso;
- La sim cessa di funzionare improvvisamente ed il telefono mostra un messaggio di errore del tipo “registrazione sim fallita”;
- Si ricevono notifiche (ad esempio via email) di reimpostazione della password dei nostri account su siti, servizi, piattaforme non richieste;
- Si ricevono notifiche di accesso ai nostri account da dispositivi sconosciuti o da Paesi diversi da quello dove si risiede.
È fondamentale non ignorare o sottovalutare questi segnali, se si presentano, e verificare immediatamente le cause di queste anomalie.
Prevenzione e reazione agli attacchi
Ci sono delle regole di buonsenso che possiamo seguire per limitare il rischio di essere colpiti da sim swap:
- Evitare di lasciare incustodito il telefono cellulare;
- Conservare in un luogo sicuro la scheda plastificata fornita con la sim nella quale è riportato il codice ICCD della sim;
- Non inserire a “cuor leggero” il numero di telefono che utilizziamo anche per ricevere OTP in siti web,piattaforme online e servizi;
- Non diffondere pubblicamente il numero di telefono usato anche per l’invio di OTP;
- Attivare sistemi di alert via mail o notifica su app per l’accesso ai servizi più sensibili;
Attivare il sistema verifica in due passaggi previsto dalle app di messaggistica istantanea (come Telegram e WhatsApp), che in caso di registrazione sul numero in altro telefono chiedono l’inserimento di un pin supplementare.Per reagire efficacemente ad un attacco di sim swap, la tempestività è fondamentale. È necessario denunciare prontamente il furto del proprio numero e richiedere presso il gestore telefonico dove è attiva la sim il blocco della numerazione in attesa di recupero. Inoltre, dove sia possibile, è consigliabile modificare il numero di telefono di recupero o di invio di OTP associato ai siti o ai servizi utilizzati.
Conclusione
L’attacco Sim Swap è una minaccia crescente nel panorama della cybercriminalità. Nonostante le misure di sicurezza adottate dalle autorità e dai gestori telefonici, è fondamentale essere consapevoli del rischio e adottare comportamenti prudenti per proteggere la propria identità digitale. Ricordate, la sicurezza inizia sempre da noi stessi.