Il sim swap (o sim swapping) è un tipo di attacco che consiste nell’impossessamento completo da parte dell’attaccante di un numero di telefono dell’attaccato (tecnicamente identificato anche con la sigla MSISDN).

Questo tipo di attacco è diffuso in tutto il mondo, compresa l’Europa, tanto che l’Europol – il coordinamento europeo delle forze di polizia – ha svolto in passato delle iniziative di sensibilizzazione pubblica per informare i cittadini europei su questa minaccia.

Il numero di telefono, normalmente, è associato ad una sola utenza di rete mobile, identificata attraverso un altro codice univoco (IMSN) conservato all’interno della carta SIM, a sua volta identificata dal codice ICCD. Si tratta di quello che, normalmente, viene indicato come seriale della carta sim.

L’attaccante può impossessarsi del numero della vittima:

  1. se ha fisicamente accesso al dispositivo del bersaglio, impossessandosi della sim e scambiandola (da qui l’espressione “sim swap”) con un’altra per ingannare la vittima;
  2. se è in possesso dei documenti di identità della vittima e/o del codice ICCD, chiedendo al gestore presso il quale la numerazione è attiva la sostituzione della sim associata alla numerazione, secondo la procedura utilizzata in caso di furto, smarrimento o malfunzionamento della sim oppure avviando un processo di portabilità del numero mobile (detta anche Mobile Number Portability o MNP) verso un diverso gestore, che emetterà una nuova sim alla quale associare il numero.

Nel momento in cui l’attaccante ha portato a termine una di queste azioni, avrà il controllo completo del traffico in entrata ed in uscita relativo a quella particolare numerazione.

Conseguenze di un attacco sim swap

Il furto del numero di telefono equivale al furto di uno dei principali elementi che concorrono a determinare la nostra identità digitale.

La finalità che più comunemente viene associata agli attacchi di sim swap è quella della violazione dei sistemi di autenticazione o autorizzazione a due fattori che si basano sull’invio tramite SMS di un codice temporaneo (OTP). Il caso tipico è quello dei servizi di home banking che prevedono l’invio tramite SMS del codice dispositivo per disporre pagamenti o bonifici. Ma ci sono numerosi altri servizi, come lo SPID, che si basano sull’invio di un codice tramite SMS per l’autenticazione degli utenti.

Molti altri servizi (come Facebook, Paypal o Gmail), poi, prevedono la possibilità di reimpostare la password di accesso ad un account mediante l’uso di una OTP inviata per SMS. Questi account possono essere violati da chi abbia preso il controllo del numero di telefono.

Tutti i principali e più diffusi servizi di messaggistica istantanea (come Telegram, WhatsApp o Signal) identificano gli utenti con il loro numero di telefono e prevedono l’identificazione tramite SMS. Impossessandosi del numero di cellulare, è possibile prendere il controllo anche di questi servizi.

Un attacco sim swap può essere però posto in essere anche per altre finalità, ad esempio per sostituirsi al bersaglio dell’attacco ed inviare comunicazioni ad una terza persona, che potrebbe essere il vero destinatario di un tentativo di truffa.

Quanto è probabile essere vittima di sim swap

Come abbiamo visto, l’impossessamento del numero di telefono è normalmente possibile soltanto da parte di chi può prendere fisicamente il controllo della sim card o da chi è in grado di concludere con successo delle procedure di sostituzione sim o MNP che normalmente richiedono l’identificazione dell’interessato attraverso un documento di identità.

Molte persone credono di non essere esposte ad un pericolo significativo di essere vittima di un attacco sim swap, sentendosi dunque falsamente al sicuro. Bisogna però ricordare che non siamo noi a decidere quanto siamo appetibili per i criminali informatici.

Ad esempio, in ragione della nostra posizione lavorativa, potremmo essere considerati un anello utile (e debole) di un attacco di social engineering rivolto a persone che lavorano nella nostra stessa azienda, o con le quali abbiamo contatti professionali.

Ancora, i criminali potrebbero aver già acquistato sul dark web una parte della nostra identità digitale (ad esempio indirizzo email, copia di un documento di identità, credenziali di accesso a servizi online) e siamo pertanto divenuti bersagli mirati.

È dunque importare essere consapevoli di questa minaccia ed osservare alcune regole di prudenza per limitare il pericolo di questi attacchi.

Le nuove regole sulla portabilità del numero di telefono adottate per prevenire gli attacchi di sim swap

Per prevenire gli attacchi di SIM swap, l’Autorità per le Garanzie nelle Comunicazioni ha adottato nel luglio 2021 la delibera 86/21/CIR, che ha introdotto alcune importanti misure di sicurezza. Queste misure, alle quali i gestori hanno cominciato ad adeguarsi a partire dal novembre 2022, si applicano alle procedure di sostituzione della SIM e di portabilità del numero mobile.

Il cambio SIM può essere richiesto solo dall’intestatario della linea

In base alla delibera, tutte le richieste di cambio SIM, incluse le sostituzioni per furto, smarrimento o portabilità del numero possono essere richieste esclusivamente dal titolare della SIM. Non è dunque più possibile effettuare queste operazioni come “reale utilizzatore dell’utenza”. Se non si è il titolare della SIM, è necessario – prima di procedere alla sostituzione della scheda – attivare la procedura di modifica dell’intestatario della linea.

L’utilizzo di deleghe al cambio della SIM è consentito solo nel caso delle SIM aziendali, secondo procedure che assicurino comunque un adeguato livello di sicurezza.

Procedure di identificazione della persona che richiede il cambio SIM

In base alle nuove regole, il gestore telefonico o il rivenditore che procede alla sostituzione della SIM, anche per portabilità del numero, dovrà procedere alla preventiva identificazione del richiedente. In particolare, è previsto che acquisisca dal titolare della SIM una copia del documento di identità e del codice fiscale del richiedente ed una copia della vecchia sim o della denuncia di smarrimento. Non sarà più possibile, dunque, procedere alla richiesta di sostituzione o di portabilità del numero senza essere in possesso della SIM che si vuole sostituire.

Procedura di validazione della richiesta

È inoltre previsto che il gestore telefonico, prima di evadere la richiesta di sostituzone della SIM, attivi una procedura di validazione della richiesta. La procedura potrà avvenire mediante l’invio di un SMS, al quale sarà necessario rispondere per validare la richiesta; in alternativa il gestore potrà chiamare il cliente ed ottenere conferma registrando la chiamata.

Gli operatori sono obbligati ad interrompere il processo di sostituzione della SIM indesiderato quando il cliente risponde negativamente al messaggio o manifesti la volontà di bloccare la procedura chiamando il customer care, o accedendo ad un’area riservata sul sito web. Nel caso di MNP, l’opposizione alla prosecuzione della procedura determina la sospensione della portabilità. Il gestore dovrà effettuare degli accertamenti e, se si accerta che la richiesta è stata fatta contro la volontà del titolare dell’utenza, dovrà bloccare la procedura.

La procedura vale anche per le SIM destinate ad essere installate su dispositivi (es SIM per dispositivi M2M, IoT o sistemi d’allarme). In questo caso, le comunicazioni dovranno essere effettuate ad un numero alternativo indicato al momento della conclusione del contratto.

Identificare i segnali di un attacco sim swap

Le nuove procedure di sicurezza dovrebbero consentire di prevenire in misura significativa gli attacchi di sim swap. In alcuni casi limite, però, gli attaccanti potrebbero riuscire ad aggirarle e portare comunque a termine in modo fraudolento le procedure per la sostituzione della SIM. È dunque opportuno prestare attenzione ai segnali che possono rivelare di essere rimasti vittima di sim swap:

  • si ricevono messaggi che preannunciano un prossimo passaggio del numero ad un operatore mobile diverso;
  • la sim cessa di funzionare improvvisamente ed il telefono mostra un messaggio di errore del tipo “registrazione sim fallita”;
  • si ricevono notifiche (ad esempio via email) di reimpostazione della password dei nostri account su siti, servizi, piattaforme non richieste;
  • si ricevono notifiche di accesso ai nostri account da dispositivi sconosciuti o da Paesi diversi da quello dove si risiede.

È fondamentale non ignorare o sottovalutare questi segnali, se ci si presentano, e verificare immediatamente le cause di queste anomalie.

Prevenzione e reazione agli attacchi

Ci sono delle regole di buonsenso che possiamo osservare per limitare il pericolo di essere colpiti da sim swap:

  • evitare di lasciare incustodito il telefono cellulare;
  • conservare in un luogo sicuro la scheda plastificata fornita con la sim nella quale è riportato il codice ICCD della sim;
  • non inserire a “cuor leggero” il numero di telefono che utilizziamo anche per ricevere OTP in siti web, piattaforme online e servizi;
  • non diffondere pubblicamente il numero di telefono usato anche per l’invio di OTP;
  • attivare sistemi di alert via mail o notifica su app per l’accesso ai servizi più sensibili;
  • attivare il sistema verifica in due passaggi previsto dalle app di messaggistica istantanea (come Telegram e WhatsApp), che in caso di registrazione sul numero in altro telefono chiedono l’inserimento di un pin supplementare.

Per reagire efficacemente ad un attacco di sim swap è importante la tempestività. Occorre denunciare prontamente il furto del proprio numero e richiedere presso il gestore telefonico ove è attiva la sim il blocco della numerazione in attesa di recupero e, dove sia possibile, modificare il numero di telefono di recupero o di invio di OTP associato ai siti o ai servizi utilizzati.