La violazione di dati subita da ho-mobile nel dicembre 2020 ha fatto scoprire a molte persone la minaccia alla sicurezza rappresentata dagli attacchi di sim swap.

Questo tipo di attacco, diffuso in realtà da diversi anni in tutto il mondo, compresa l’Europa, tanto che l’Europol – il coordinamento europeo delle forze di polizia – ha svolto in passato delle iniziative di sensibilizzazione pubblica per informare i cittadini europei su questa minaccia.

Tutti i titolari di un numero di telefono mobile, infatti, sono potenzialmente esposti ad un attacco sim swap. È dunque importante comprendere in cosa consiste questo attacco e quali sono le difese che possono essere predisposte.

Sim swap: cos’è e come funziona

Il sim swap (o sim swapping) è un tipo di attacco che consiste nell’impossessamento completo da parte dell’attaccante di un numero di telefono dell’attaccato (tecnicamente identificato anche con la sigla MSISDN).

Questo codice, normalmente, è associato ad una sola utenza di rete mobile, identificata attraverso un altro codice univoco (IMSN) conservato all’interno della carta SIM, a sua volta identificata dal codice ICCD. Si tratta di quello che, normalmente, viene indicato come seriale della carta sim.

L’attaccante può impossessarsi del numero della vittima:

  1. se ha fisicamente accesso al dispositivo del bersaglio, impossessandosi della sim e scambiandola (da qui l’espressione “sim swap”) con un’altra per ingannare la vittima;
  2. se è in possesso dei documenti di identità della vittima e/o del codice ICCD, chiedendo al gestore presso il quale la numerazione è attiva la sostituzione della sim associata alla numerazione, secondo la procedura utilizzata in caso di furto, smarrimento o malfunzionamento della sim oppure avviando un processo di portabilità del numero mobile (detta anche Mobile Number Portability o MNP) verso un diverso gestore, che emetterà una nuova sim alla quale associare il numero.

Nel momento in cui l’attaccante ha portato a termine una di queste azioni, avrà il controllo completo del traffico in entrata ed in uscita relativo a quella particolare numerazione.

Conseguenze di un attacco sim swap

Il furto del numero di telefono equivale al furto di uno dei principali elementi che concorrono a determinare la nostra identità digitale.

La finalità che più comunemente viene associata agli attacchi di sim swap è quella della violazione dei sistemi di autenticazione o autorizzazione a due fattori che si basano sull’invio tramite SMS di un codice temporaneo (OTP). Il caso tipico è quello dei servizi di home banking che prevedono l’invio tramite SMS del codice dispositivo per disporre pagamenti o bonifici. Ma ci sono numerosi altri servizi, come lo SPID, che si basano sull’invio di un codice tramite SMS per l’autenticazione degli utenti.

Molti altri servizi (come Facebook, Paypal o Gmail), poi, prevedono la possibilità di reimpostare la password di accesso ad un account mediante l’uso di una OTP inviata per SMS. Questi account possono essere violati da chi abbia preso il controllo del numero di telefono.

Tutti i principali e più diffusi servizi di messaggistica istantanea (come Telegram, WhatsApp o Signal) identificano gli utenti con il loro numero di telefono e prevedono l’identificazione tramite SMS. Impossessandosi del numero di cellulare, è possibile prendere il controllo anche di questi servizi.

Un attacco sim swap può essere però posto in essere anche per altre finalità, ad esempio per sostituirsi al bersaglio dell’attacco ed inviare comunicazioni ad una terza persona, che potrebbe essere il vero destinatario di un tentativo di truffa.

Quanto è probabile essere vittima di sim swap

Come abbiamo visto, l’impossessamento del numero di telefono è normalmente possibile soltanto da parte di chi può prendere fisicamente il controllo della sim card o da chi è in grado di concludere con successo delle procedure di sostituzione sim o MNP che normalmente richiedono l’identificazione dell’interessato attraverso un documento di identità.

Molte persone credono di non essere esposte ad un pericolo significativo di essere vittima di un attacco sim swap, sentendosi dunque falsamente al sicuro. Bisogna però ricordare che non siamo noi a decidere quanto siamo appetibili per i criminali informatici.

Ad esempio, in ragione della nostra posizione lavorativa, potremmo essere considerati un anello utile di un attacco di ingegneria sociale rivolto a persone che lavorano nella nostra stessa azienda o con le quali abbiamo contatti professionali.

Ancora, i criminali potrebbero aver già acquistato sul dark web una parte della nostra identità digitale (ad esempio indirizzo email, copia di un documento di identità, credenziali di accesso a servizi online) e siamo pertanto divenuti bersagli mirati.

È dunque importare essere consapevoli di questa minaccia ed osservare alcune regole di prudenza per limitare il pericolo di questi attacchi.

Identificare i segnali di un attacco sim swap

Occorre prestare particolare attenzione ai segnali che possono rivelare di essere rimasti vittima di sim swap:

  • si ricevono messaggi che preannunciano un prossimo passaggio del numero ad un operatore mobile diverso;
  • la sim cessa di funzionare improvvisamente ed il telefono mostra un messaggio di errore del tipo “registrazione sim fallita”;
  • si ricevono notifiche (ad esempio via email) di reimpostazione della password dei nostri account su siti, servizi, piattaforme non richieste;
  • si ricevono notifiche di accesso ai nostri account da dispositivi sconosciuti o da Paesi diversi da quello dove si risiede.

È fondamentale non ignorare o sottovalutare questi segnali, se ci si presentano, e verificare immediatamente le cause di queste anomalie.

Prevenzione e reazione agli attacchi

Ci sono delle regole di buonsenso che possiamo osservare per limitare il pericolo di essere colpiti da sim swap:

  • evitare di lasciare incustodito il telefono cellulare;
  • conservare in un luogo sicuro la scheda plastificata fornita con la sim nella quale è riportato il codice ICCD della sim;
  • non inserire a “cuor leggero” il numero di telefono che utilizziamo anche per ricevere OTP in siti web, piattaforme online e servizi;
  • non diffondere pubblicamente il numero di telefono usato anche per l’invio di OTP;
  • attivare sistemi di alert via mail o notifica su app per l’accesso ai servizi più sensibili;
  • attivare il sistema verifica in due passaggi previsto dalle app di messaggistica istantanea (come Telegram e WhatsApp), che in caso di registrazione sul numero in altro telefono chiedono l’inserimento di un pin supplementare.

Per reagire efficacemente ad un attacco di sim swap è importante la tempestività. Occorre denunciare prontamente il furto del proprio numero e richiedere presso il gestore telefonico ove è attiva la sim il blocco della numerazione in attesa di recupero e, dove sia possibile, modificare il numero di telefono di recupero o di invio di OTP associato ai siti o ai servizi utilizzati.