approfondimento: cos’è l’attacco via SIM swapping

scheda SIM per cellulare

Il SIM swapping, la tristemente nota tecnica con cui qualcuno si impossessa della nostra identità tramite accesso alla nostra scheda telefonica. E da lì, ai nostri conti correnti, ai nostri profili social e chissà a quanti altri nostri account.

Il SIM swapping è una tecnica di attacco molto “in voga” in questi mesi. Consente di avere accesso al numero di telefono del legittimo proprietario, attraverso la scheda SIM. E così, permette di violare diverse tipologie di servizi online che usano proprio il numero di telefono. Come i sistema di autenticazione per il web banking. O l’accesso ai propri profili social.

Ledger Nano X - The secure hardware wallet

E’ una minaccia tanto per i portafogli dei privati che per le informazioni confidenziali delle aziende. Vediamo quindi di capirci di più. E magari capire come difendersi. O, quantomeno, come innalzare l’asticella delle difese.

Beninteso: si parla molto di SIM swapping in tempi recenti. Ma il furto di credenziali del numero telefonico è vecchio quanto le SIM stesse. L’unica differenza è che allora la tecnica serviva per telefonare spacciandosi per un altro, o intercettarne le comunicazioni. Oggi, invece, serve per autenticare i vari servizi disponibili sul cellulare, come il web banking.

Il punto centrale del’attacco è la scheda SIM.

Trezor - hardware wallet

Vediamola come un dispositivo fisico che permette l’accesso ai servizi di telefonia ed internet forniti dal nostro gestore telefonico. Facendo riconoscere tramite un opportuno codice, accoppiato al nostro numero telefonico. Insomma, tramite la SIM il gestore telefonico riconosce la nostra “identità digitale”. Cioè il numero di telefono cellulare registrato a nostro nome.

Ecco quindi chiarito che vuol dire SIM swapping. Vuol dire trasferire da una SIM card a un’altra questa corrispondenza. E quindi, in soldoni, vuol dire spacciarsi per noi.

Attenzione. La possibilità di cambiare SIM mantenendo il medesimo numero è un fatto lecito. Succede tutte per malfunzionamento o la rottura della SIM card originale. Per cambio di formato fisico della SIM, ad esempio da SIM “normale” a SIM nano. Per portabilità verso un altro operatore. Tutte operazioni lecite. A patto che si compiano in piena coscienza e volontà del proprietario.

Le tecniche per ottenere, viceversa, il trasferimento della scheda SIM del proprietario ad un’altra senza che questi lo sappia spesso sono del tipo “social engineering”. Si cerca di sapere quante pi cose possibili sulla vittima. Codice fiscale, conto in banca di addebito delle spese telefoniche, residenza eccetera.

Con tutte queste informazioni, il furfante contatta l’operatore telefonico, si spaccia per il legittimo proprietario e chiede di emettere una nuova SIM card.

In alcuni casi, il furfante arriva ad avere un “infiltrato” presso lo store o il customer care del provider telefonico. Come avverte la REACT Task Force californiana, squadra governativa all’opera proprio contro tali crimini. La quale spiega:

If you’re working at a mobile phone store and making 12 dollars an hour and suddenly someone offers you 400 dollars to do a single SIM Swap, that can seem like a pretty sweet deal.

(Se lavori in un negozio di telefonia cellulare a 12 dollari all’ora. E ad un tratto qualcuno ti offre 400 dollari per clonare una sola SIM. Beh, ti sembrerà proprio un buon affare)

Perché clonare la SIM? L’abbiamo detto. Perché è la porta di accesso a tantissimi servizi erogati dal cellulare. Globalmente, è l’ingresso per la violazione degli account online della vittima. Perché il numero di telefono cellulare è ormai diffusamente utilizzato per l’autenticazione a due fattori (2FA).

Ricordiamo infatti che la 2FA è basata sulla necessità di essere in possesso di due credenziali differenti per potersi autenticare a un determinato servizio, come account social, web banking o wallet di criptovalute. Cioè, bisogna possedere sia nome utente e password. E questo è un passaggio abbastanza semplice. Che accesso al proprio cellulare. E qui entra in gioco la scheda SIM clonata.

A questo punto, pensate a quanti vostri account richiedono conferma con cellulare, tramite App o tramite SMS.

E capirete, così, la pericolosità del SIM swapping. Ad esempio, la nostra banca ci obbliga ad autenticarci, oltreché con una password, anche tramite un codice temporaneo inviato via SMS. Giusto, la banca lo fa per la nostra sicurezza. Ma se la scheda SIM viene clonata, quel messaggio viene intercettato dal furfante. Che, in tal modo, entra nel nostro account di web banking. E, come prima mossa, cambia la password. Così da tagliarci fuori e compiere ogni atto illecito fino a quel momento consentito a noi, in modo indisturbato.

Stesso discorso vale per i wallet di criptovalute. Una volta ottenuto l’accesso, possono spostare i fondi al loro account. Compiere ogni tipo di cambio o trasferimento come fossimo noi a compierlo. Anzi, complice il concetto di anonimato che domina il mondo delle criptomonete, è certamente più appetibile per questi furfanti rubare criptovalute che denaro fiat.

La pericolosità di tale attacco risiede nel fatto che non occorre che la vittima compia le classiche operazioni sconsigliate.

Come fare click ad email strane. Visitare siti di dubbia sicurezza. O scaricare App non verificate. In genere, non c’è contatto tra il cellulare della vittima e la SIM clonata dal furfante. Quindi, può capitare anche al più cauto degli utenti di cadere vittima di questo attacco.

Allora, come difendersi? Semplice, evitando l’autenticazione via SMS ad importanti nostri assetti, come il conto online. Proprio perché l’SMS verrebbe intercettato dal furfante. Diversamente, ripieghiamo su altre tecniche di autenticazione a due fattori. Come le App 2FA, tipo Google Authenticator o Authy. Al momento, le più sicure alternative all’SMS.

Questo perché il furfante, anche se in possesso di SIM clonata, non sarà comunque in grado di ottenere accesso a queste applicazioni. In alternativa, funziona bene anche la verifica via email. Sempre a patto di proteggere l’autenticazione a tale casella di email. Ad esempio, con un meccanismo di autenticazione a due fattori basato sulle citate App.

Va detto che le App in questione sono software. Quindi, in linea di principio, suscettibili ad attacchi cibernetici.

A virus informativi, cioè. Se quindi volete sentirvi più sicuri anche da questo punto di vista, la soluzione sono gli autenticatori hardware. Come Google Titan Security Keys o YubiKey. Dispositivi che superano il concetto di 2FA. Ed abbracciano il nuovo standard U2F (Universal 2nd Factor) di FIDO Alliance. In questo modo l’asticella della sicurezza si innalza sensibilmente. Ma, non dimentichiamolo, anche a scomodità per l’utente.

Oltre che affilare le armi, un buon consiglio è quello di usare un basso profilo. Non diffondere informazioni sensibili sui social. Informazioni come codice fiscale, residenza, documenti di identità ed altro vanno trattate in modo molto riservato. Perché non si sa mai che fine fanno, una volta pubblicate sulla bacheca di un profilo pubblico.

Altro consiglio è quello di evitare di pubblicizzare il fatto di possedere criptomonete.

Di utilizzare determinati exchange. O di avere determinati dispositivi di sicurezza. Così come chi ha una cassaforte zeppa di preziosi in casa non lo racconta in giro. Altrimenti si diventa, inconsapevolmente, bersaglio di malintenzionati. I quali, prima o poi, troveranno la strada per arrivare alla cassaforte.

Ancora, negli USA è di moda un’altra misura di sicurezza. Proteggere il proprio account di telefonia cellulare tramite codice PIN. Necessario per dare qualunque disposizione all’operatore telefonico. Come il cambio di SIM con stesso numero di telefono.

Ultimo accorgimento, impostare un PIN per accedere alla nostra SIM. Meglio se non banale, come la data di nascita. In tal modo, nel caso la nostra SIM venga sottratta, non sarà possibile ottenere l’accesso alla nostra SIM senza l’inserimento del PIN.

Come si diceva, l’attacco di SIM swapping è una tecnica abbastanza vecchia.

Già nel 2016, il NIST statunitense, il National Institute of Standards and Technology, deprecava pubblicamente l’utilizzo della tecnica 2FA basata sull’invio di SMS. Proprio per la possibilità di subire SIM swapping.

Poi, con l’avvento delle criptomonete, il problema della SIM clonata è ritornato in auge. Perché garantirsi l’accesso a un wallet corposo, invece che ad un conto corrente, può significare avere la possibilità di rubare una quantità qualunque di denaro con una sola operazione. E senza lasciare tracce visibili.

Ha parlato di SIM swapping anche l’FBI. L’ufficio USA ha sentito la necessità di avvertire pubblicamente del pericolo e del possibile impatto di questa tipologia di attacco. Lo stesso ha fatto Ciphertrace, l’azienda specializzata nello sviluppo di soluzioni di sicurezza e tracciamento nel campo delle criptovalute e della blockchain. La quale ha esplicitamente citato l’attacco di SIM swapping come una delle minacce più attuali.

Spendiamo qualche parola per citare esempi concreti di cosa succede quando qualche furfante mette in atto la tecnica del SIM swapping.

Perché nessuno pensi che si tratti di meri rischio “potenziali”. Purtroppo no, non sono elucubrazioni mentali. Sono eventi che succedono tutti i giorni.

Joel Ortiz è un ventenne californiano. Aveva costituito una banda. Specializzata in attacchi SIM swapping. Ed è accusato di avere rubato milioni di dollari in criptovalute. E’ stato arrestato lo scorso anno.
Oppure Nicholas Truglia. Un ventunenne di Manhattan. Arrestato con l’accusa di aver sottratto 24 milioni di dollari da un wallet di monete virtuali di Michael Terpin. Pensate, Di recente Terpin ottenuto un risarcimento di oltre 75 milioni di dollari. Frutto della causa intentata contro Truglia. E, prima ancora, della denuncia alla compagnia di telefonia, la AT&T. La quale aveva consentito il cambio di SIM su tentativo del furfante.

Veniamo ora ai segnali con cui accorgersi che siamo oggetto di SIM swapping.

Il segnale principe è che il cellulare, improvvisamente, non è più in grado di connettersi alla rete.

Non ha più campo, insomma. In tal caso, è bene fare un test: provare a spegnere e riaccendere il cellulare. Se allora il segnale, pur debole, non torna, il motivo potrebbe essere quello. L’alternativa è un disservizio dell’operatore. Ma ciò sarebbe un problema generale, e non solo della nostra SIM.

Che fare allora, se tutt’ad un tratto non abbiamo più segnale? Chiamare, evidentemente con altro telefono, il Customer Service del nostro gestore telefonico e chiedere notizie. Se ci dicono che abbiamo richiesto il cambio di SIM, beh, allora possiamo concludere che siamo vittime di SIM swap e dobbiamo subito contrattare, richiedendo di annullare tale richiesta.

Infatti, appena il furfante attiva la SIM clonata, interrompe la validità della SIM originale, che quindi non può più connettersi alla rete. Un po’ come succede per il cambio di carta di credito, quando se ne riceve una nuova che sostituisce quella prossima alla scadenza. Guarda caso, questi attacchi succedono tipicamente in orari notturni. O comunque in orari in cui si presuppone che l’utente non sia vigile.

Billfodl - seed custodian

FONTE: https://www.cybersecurity360.it/

Scrivi un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *