SIM SWAP: come prosciugare un conto corrente

E’ noto che le banche ormai, abbandonato l’utilizzo del token, stiano ricorrendo alla autenticazione a due fattori sfruttando quest’ultima anche per la conferma dei pagamenti inviando un SMS con un numero casuale al proprio cellulare.

Ma quanto è sicuro questa procedura?

Esiste una metodologia di attacco che mira a prendere il controllo di un PC per carpire gli account protetti da autenticazione a due fattori in cui viene utilizzato il token SMS del cellulare. L’attacco è molto semplice e insidioso ed è basato su una tecnica di “inganno” verso l’operatore telefonico chiedendo una nuova SIM per conto della vittima.

Le procedure di sostituzione della SIM sono fuori dal nostro controllo e gli operatori telefonici non chiedono molte cose in caso di richieste di questo tipo. Una volta acquisita la SIM con il numero di telefono della vittima, l’hacker può accedere alla banca ed effettuare operazioni di trasferimento fondi senza altri problemi in quanto la nuova SIM funziona sul numero di telefono del malcapitato mentre la vecchia viene automaticamente disabilitata.

Come ci accorgiamo di essere vittime di un attacco simile?

Ovviamente sulla rete non possono coesistere due SIM collegate allo stesso numero di telefono per cui la mancanza di linea telefonica (o un accesso alla rete rifiutato) è un segnale inequivocabile che qualcuno ha provveduto a richiedere una nuova SIM e sta usando il nostro numero.

Sembra inverosimile una simile situazione, ma attacchi di questo tipo, vista anche la semplicità con cui si può entrare in possesso di questi dati una volta che è stato violato il PC, sono più frequenti di quanto si possa immaginare.

Per difendersi è consigliabile l’uso di app specifiche (es google Authenticator) o di token fisici per l’autenticazione a due fattori perchè, come abbiamo visto, l’uso degli SMS sul cellulare non sempre riesce a garantire una sicurezza assoluta.

Le app tipo google authenticator, ma anche Aruba OTP, sono collegate direttamente al dispositivo fisico (nel nostro caso il cellulare) che non può essere sottratto facilmente. Resta comunque il fatto che bisogna stare attenti alle email di phishing e alle informazioni che mettiamo in rete.