La truffa consiste in una “sostituzione” della scheda SIM senza che il legittimo proprietario se ne accorga. Vediamo insieme come avviene questo raggiro e come difendere le nostre schede.
SIM swap significa letteralmente “scambio di SIM“, ed è un genere di truffa particolarmente pericoloso, oltre che complesso. Con questa pratica infatti si va a creare una nuova corrispondenza univoca tra l’identità fisica di un utente (qui rappresentata dalla SIM) e quella digitale (in questo caso corrisponde al numero di telefono associato a questa SIM).
Attraverso questa pratica i truffatori hanno la possibilità di accedere a beni ed informazioni sensibili dell’utente. Basti pensare al numero di servizi a cui di solito è possibile accedere tramite smartphone: email, conti correnti, account di cloud, social network e wallet. Dunque, in pericolo non ci sono solo i nostri dati, ma anche i nostri beni come i nostri soldi o file personali. Ad oggi il pericolo è diventato così concreto da aver portato l’FBI statunitense ad intervenire pubblicamente sulla questione.
Ci sono diversi modi affinché si possa realizzare questa sostituzione senza che le vittime se ne accorgano. Le prime avvisaglie possono riguardare problemi di connessione alla rete del proprio cellullare o anche l’impossibilità di telefonare o mandare SMS. In questi casi prima di tutto si può procedere riavviando il proprio dispositivo. In caso i problemi persistano allora bisogna immediatamente contattare il servizio clienti del proprio operatore, spiegare l’accaduto e chiedere di controllare se sia stata effettuata una sostituzione della SIM.
Se partiamo da un discorso puramente teorico è facile intuire che il SIM swap dovrebbe essere difficile da effettuare poiché bisognerebbe entrare in possesso della suddetta SIM per poterla clonare. Purtroppo, però ci sono dei metodi trasversali che permettono di effettuare la truffa con una maggiore facilità.
Un esempio può essere il social engineering, pratica con la quale il truffatore inganna l’operatore telefonico della SIM, spacciandosi per il proprietario, per ottenere così l’emissione di una nuova SIM e dare inizio all’imbroglio. Ci sono altri casi, più rari, in cui i truffatori collaborano con degli operatori telefonici riuscendo così ad effettuare tramite il complice lo scambio della scheda.
L’ultima possibilità riguarda il rilascio delle SIM senza richiesta di un documento di identità. Secondo l’Agcom in Italia la richiesta di visionare il documento è obbligatoria solo quando l’utente richiede un cambio di contatto o l’attivazione di una nuova promozione. Questo rende più facile per i truffatori richiedere ed ottenere il rilascio di una SIM che si intende clonare. Stesso procedimento si può effettuare quando si dichiara di aver smarrito la propria scheda telefonica.
Bisogna stare attenti ad alcuni dettagli, che possono essere dei campanelli d’allarme, ed imparare ad avere dei corretti comportamenti online. Questo purtroppo non ci fornisce una garanzia totale, ma di sicuro può aiutare a prevenire questa truffa, così tutte le altre che girano in rete.
Pe ridurre il rischio di essere truffati bisogna prima di tutto evitare di utilizzare il proprio numero di telefono nei processi di autenticazione a due fattori. Sarebbe piuttosto preferibile l’uso di app di autenticazione, come Authy o Google Authenticator. Questi software impediscono l’accesso a possibili truffatori anche quando quest’ultimi entrano in possesso del numero di telefono della loro vittima. Altri sistemi invece utilizzano la verifica attraverso l’invio di una email, che può essere una valida alternativa. E per aumentare il livello di sicurezza è bene utilizzare anche per la propria casella di posta un’autenticazione a due fattori basato sull’uso di app. Inoltre, esistono alcuni hardware per l’autenticazione come YubiKey e Google Titan Security Keys che utilizzano uno standard di protezione superiore. Oltre all’autenticazione questi sistemi spostano il cosiddetto U2F (Universal 2nd Factor) aumentando la sicurezza informatica dei dispositivi su cui vengono installati.
Oltre a questo tipo di interventi pratici è bene evitare di diffondere informazioni sensibili sui social, ma anche in email o app di messaggistica privata. Infine, è utile dotare di PIN e passcode l’accesso ai propri account, ma anche alla propria SIM su tutti i dispositivi mobile. Seguendo questi brevi procedimenti si impedisce ai truffatori di procedere con il SIM swapping anche se entra fisicamente in possesso della nostra scheda telefonica.