Cos’è un attacco SIM swapping e come è possibile difendersi
Ultimamente gli attacchi di "SIM Swapping" si stanno diffondendo a macchia d'olio, per questa ragione è bene conoscere come funzionano queste tecniche e correre ai ripari in caso di attacco. In pratica, tramite alcuni sistemi non proprio ortodossi, viene trasferito il numero di telefonico della vittima su un'altra SIM Card. Proprio come avviene in caso di trasferimento ad un altro operatore mantenendo il numero telefonico o quando viene sostituita la SIM in caso di malfunzionamento/smarrimento della stessa.
Com'è possibile immaginare, una volta che il malintenzionato poterà a termine l'operazione di SIM Swapping ed entrerà in possesso del numero di telefono della vittima, sarà in grado di violare tutti quei servizi online che usano il numero telefonico per effettuare l'accesso.
Come può accadere tutto ciò?
Nella maggior parte dei casi questi criminali informatici riescono a raggirare gli operatori telefonici e indurli ad emettere una nuova SIM, spesso esibendo un falso documento di identità del malcapitato di turno.Tuttavia, come riportato dal Garante delle Comunicazioni, in alcuni casi può capitare che gli operatori emettano una nuova SIM senza richiedere documenti, poiché non obbligatori per la semplice sostituzione.
Cosa si rischia con un attacco di SIM swapping
Un attacco di SIM swapping è pericoloso perché attraverso l'appropriazione indebita del numero telefonico della vittima, il criminale informatico è in grado di violare tutti quegli account online che utilizzano il numero di telefono come fattore di autenticazione, ad esempio account Google, profili Facebook ma anche conti correnti online. Molto interessante è l'esperienza raccontata da un noto YouTuber "Andrea Bentivegna - BlackGeek", il quale ha raccontato in un video la sua esperienza con il SIM Swapping, ovvero come alcuni hacker sono riusciti a "clonare" la sua SIM per prendere possesso degli account Instagram e WhatsApp a scopo di frode.
Come difendersi dal SIM Swapping
Come spesso accade con altri attacchi informatici, anche in questo caso la prevenzione è un fattore fondamentale. Innanzitutto è bene non rendere pubblico il proprio numero telefonico online, proprio per evitare di essere presi di mira da eventuali malintenzionati. Se proprio non è possibile farne a meno, una buona pratica è quella di usare come fattore di autenticazione applicazioni come Google Authenticator per generare dei codici univoci, proprio come accade con i token fisici di alcune banche. Inoltre nel caso di account online banking è bene disabilitare l'invio di password tramite SMS a favore dei sistemi di autenticazione "one time password" via app.
Iscrivendoti al blog, ti invieremo un'e-mail settimanale con la selezione dei migliori articoli.