Pensate all’improvvisa impossibilità di utilizzare il vostro telefono, di inviare messaggi o di accedere ai vostri account Internet. Tutti gli account. Questo è l’attacco SIM Swapping, ed è più diffuso di quanto si possa credere.
Vediamo quindi cos’è e come viene eseguito un attacco di SIM Swapping, come riconoscerne i segnali in anticipo e come proteggersi in tempo. Poi, come procurarsi un software specifico per la sicurezza dei cellulari che vi aiuti a proteggere i vostri dati sensibili
La truffa del SIM Swapping avviene quando i truffatori utilizzano il vostro numero di telefono per accedere ai vostri account sfruttando una falla nell’autenticazione e nella autenticazione a due fattori (2FA).
Il SIM Swapping avviene quando i truffatori si mettono in contatto con il fornitore del vostro cellulare e lo convincono ad attivare una scheda SIM di loro proprietà. Una volta fatto questo, i truffatori hanno accesso al vostro numero di telefono. Chiunque contatti questo numero tramite telefono o SMS parlerà con il dispositivo del truffatore, non con il vostro smartphone.
Si tratta della cosiddetta truffa del SIM Swapping, che indica che i truffatori potrebbero utilizzare il vostro nome utente e la vostra password per accedere al sito web della vostra banca. Per accedere al vostro conto online, dovrete poi fornire il codice di autenticazione a due fattori che la banca invierà via SMS al numero di telefono che avete fornito.
Il problema? Quel numero ora si connette allo smartphone o a un altro dispositivo di proprietà dei truffatori dopo un SIM Swapping. Potrebbero quindi accedere al vostro conto bancario utilizzando quel codice.
L’obiettivo principale è evitare che i truffatori vengano a conoscenza del nome utente e della password per i conti bancari o delle carte di credito online. Inoltre, è utile tenere d’occhio i più tipici segnali di allarme per le frodi legate al SIM swapping per fermare in tempo i malintenzionati.
Indice dei contenuti
Cos’è una carta SIM
Per comprendere il SIM Swapping è necessario innanzitutto capire cos’è una scheda SIM.
Una carta SIM, talvolta chiamata modulo di identità dell’abbonato, è una piccola scheda con un chip all’interno. Per funzionare, è necessario inserire una scheda SIM nello smartphone. È possibile utilizzarla per inviare SMS ed effettuare o ricevere telefonate.
La carta SIM del telefono può memorizzare molti dati. Questi dati includono informazioni che dimostrano che siete autorizzati a effettuare chiamate e inviare SMS. Senza una scheda SIM, lo smartphone può essere utilizzato solo per scattare foto o navigare sul web tramite una rete Wi-Fi.
Come funziona il SIM Swapping
In una truffa di SIM Swapping, i ladri ottengono l’accesso al vostro telefono ingannando il vostro operatore e facendo in modo che il vostro numero di telefono sia associato a una scheda SIM di loro proprietà. In sostanza, questi truffatori si impossessano del vostro numero di cellulare.
I truffatori iniziano acquisendo quante più informazioni personali possibili su di voi prima di utilizzare l’ingegneria sociale per impossessarsi del vostro numero.
Per prima cosa, i truffatori telefonano al vostro gestore di telefonia mobile spacciandosi per voi e lamentando il fatto che la loro carta SIM, che in realtà è la vostra, è stata smarrita o danneggiata. Chiedono quindi all’agente dell’assistenza clienti di attivare una nuova carta SIM che il truffatore sta utilizzando. Il vostro numero di telefono sarà trasferito allo smartphone del criminale, che ha la sua carta SIM. Tutte le chiamate e i messaggi destinati a voi andranno invece al cellulare del truffatore dopo che il vostro operatore avrà soddisfatto questa richiesta.
Come fanno i truffatori a rispondere alle domande di sicurezza poste dal vostro gestore telefonico
Quando si cerca di capire se siete voi all’altro capo del telefono, l’addetto all’assistenza clienti del vostro gestore di smartphone chiederà come poter fornire informazioni personali.
Le informazioni che i truffatori hanno appreso su di voi attraverso e-mail di phishing, spyware o ricerche sui social media saranno utili in questa situazione.
Potete ricevere un’e-mail da un truffatore che si spaccia per il vostro fornitore di smartphone. Potrebbe esservi richiesto di cliccare su un link in questa e-mail per mantenere aperto il vostro account. Una volta cliccato, viene visualizzata una nuova pagina che richiede l’inserimento di dati personali, come nome, data di nascita e password. La pagina web potrebbe persino richiedere il vostro numero di previdenza sociale. Una volta compilato il modulo e premuto “Invia”, i truffatori avranno accesso ai dati necessari per frodare il vostro gestore di telefonia mobile attraverso uno schema di SIM Swapping.
Altri truffatori riescono a farvi cliccare su link di posta elettronica che installano malware sul vostro computer e registrano ogni tasto premuto, comprese le password o le risposte alle domande di sicurezza. Ancora una volta, questo fornisce ai truffatori le conoscenze necessarie per effettuare con successo un SIM Swapping.
Sul dark web, i truffatori potrebbero acquistare le vostre informazioni finanziarie e personali. Inoltre, questo fornirebbe ai truffatori le conoscenze necessarie per eseguire correttamente il loro schema.
I truffatori utilizzano le informazioni ottenute da voi o dal dark web per contattare il vostro fornitore di smartphone e convincerlo a spostare il vostro numero su una nuova scheda SIM.
Il vostro numero di cellulare viene quindi ottenuto da questi truffatori, che possono utilizzarlo per accedere alle vostre conversazioni telefoniche con banche e altre aziende, in particolare ai vostri messaggi di testo.
Possono quindi ottenere qualsiasi codice o reimpostazione di password per qualsiasi account chiamato o inviato per SMS a quel telefono. Sono dentro, tutto qui.
In che modo i truffatori accedono ai nostri fondi
Potrebbero aprire un secondo conto corrente a vostro nome presso la vostra banca, dove i controlli di sicurezza potrebbero essere meno severi perché siete già clienti. È possibile che i trasferimenti tra questi conti a vostro nome non suscitino alcun allarme.
Qual è il ruolo dei social media nelle truffe di SIM Swapping
Quando cercano di portare a termine una frode con SIM Swapping, i truffatori possono utilizzare le informazioni che hanno appreso sui vostri siti di social media per spacciarsi per voi.
Come esempio di risposta alle domande di sicurezza, si può citare il cognome da nubile di vostra madre o la mascotte del vostro liceo. Il vostro profilo Facebook potrebbe contenere queste informazioni, alle quali un truffatore potrebbe accedere. La buona notizia è che i social media possono anche avvertirvi quando siete vittime di una truffa.
Prendiamo ad esempio la nota truffa di SIM Swapping ai danni del CEO di Twitter Jack Dorsey. L’account Twitter di Dorsey è stato compromesso quando i truffatori sono entrati in possesso del suo numero di telefono.Nei quindici minuti necessari a Dorsey per recuperare il controllo del suo account, i truffatori hanno continuato a pubblicare commenti sgradevoli usando il suo nome su Twitter.
Come hanno fatto gli hacker a ottenere il numero di telefono di Dorsey? Sono riusciti a convincere il gestore telefonico di Dorsey a scambiare effettivamente le schede SIM, dando alla loro scheda SIM e al loro telefono il numero di telefono di Dorsey. Hanno poi inviato i loro messaggi su Twitter utilizzando la funzione text-to-tweet di Cloudhopper.
Aumento delle truffe di SIM Swapping
L’FBI riferisce che i truffatori utilizzano sempre più spesso schemi di SIM Swapping. Secondo il dipartimento, l’FBI ha ricevuto 1.611 denunce di SIM Swapping nel 2021. Questi reati hanno causato perdite per un totale di 68 milioni di dollari.
Tra gennaio 2018 e dicembre 2020 sono state segnalate all’FBI solo 320 denunce di SIM Swapping, che sono costate alle vittime di questi reati 12 milioni di dollari.
Un esempio attuale di questa frode? Un utente di Tampa ha scoperto nel gennaio 2022 di non poter più utilizzare il suo conto Coinbase, che permetteva agli utenti di scambiare criptovalute. L’uomo ha poi scoperto di non poter più utilizzare il suo smartphone per effettuare telefonate o inviare messaggi, secondo quanto riportato dalla fonte di notizie WFTS di Tampa Bay.
Il numero di telefono dell’uomo è stato preso dai truffatori, che hanno anche ottenuto il suo codice di autenticazione a due fattori. Dopo aver avuto accesso al suo conto Coinbase con questo codice, i truffatori hanno rubato circa 15.000 dollari in bitcoin.
Secondo CNET, un incidente analogo si è verificato l’anno precedente con un’altra vittima.A quanto pare, dopo aver acquisito il numero di telefono della vittima, i truffatori hanno avuto accesso al suo conto Coinbase e lo hanno utilizzato per acquistare Bitcoin per un valore di 25.000 dollari utilizzando il codice di autenticazione a due fattori della vittima.
Come capire se si è vittima di un SIM Swapping
È fondamentale capire i segnali rivelatori di un SIM Swapping. In questo modo è possibile bloccare istantaneamente l’accesso dei truffatori al vostro telefono e a tutti i messaggi e le chiamate che riceve, impedendo loro di causare troppi danni.
Un segnale di allarme, come dimostrato nel caso di Dorsey, è la partecipazione non autorizzata ai social media. Dorsey è stato messo al corrente della vulnerabilità dai tweet inviati al suo account Twitter. Ecco altri quattro indizi fondamentali che indicano che potreste essere stati vittima di un SIM Swapping.
#1 – Non è possibile inviare SMS o effettuare chiamate.
State tentando di chiamare o inviare un SMS ma ricevete un errore? Quando le chiamate e i messaggi di testo non vengono recapitati, questo potrebbe essere il primo indizio che siete stati vittima di un SIM Swapping.
Ciò suggerisce che i truffatori hanno disabilitato la vostra carta SIM e la stanno utilizzando insieme al vostro numero di telefono.
#2 – Qualcuno vi avverte di un comportamento altrove
Se il vostro gestore telefonico vi avvisa che la vostra carta SIM o il vostro numero di telefono sono stati attivati su un altro dispositivo, saprete di essere una vittima.
#3 – L’accesso al conto è bloccato.
È possibile che i truffatori abbiano cambiato le vostre password e i vostri nomi utente, magari dopo aver ottenuto il controllo del vostro numero di telefono, se i vostri dati di accesso non funzionano più per conti come quelli della banca e della carta di credito. Assicuratevi di informare subito la vostra banca e le altre agenzie.
#4 – Vi imbattete in transazioni che non ricordate di aver fatto.
Potreste essere stati vittime di una truffa di SIM Swapping se, controllando il conto della vostra carta di credito online, vedete diverse transazioni che non ricordate di aver completato.
Ciò indica che i ladri hanno ottenuto i dati della vostra carta di credito e li stanno utilizzando per effettuare acquisti fraudolenti. È possibile che abbiano avuto accesso al vostro conto ottenendo prima il vostro numero di telefono e sfruttando i dati in esso contenuti.
Come difendersi dalla truffa di SIM Swapping
Fortunatamente, ci sono delle misure che potete adottare per evitare di cadere vittima di una frode con SIM Swapping, così come i vostri fornitori di servizi. Ecco alcune delle accortezze principali che possono fare una differenza sostanziale nel difendersi da questo e altri tipi di attacchi informatici e truffe online ai nostri danni:
- Comportamento online
Fate attenzione alle e-mail di phishing e ad altri tentativi da parte di criminali di accedere alle vostre informazioni personali in modo da potersi spacciare per voi presso la vostra banca o il vostro ufficio.
Non cliccate sui link contenuti nelle e-mail ricevute da mittenti sconosciuti.Ricordate inoltre che la vostra banca, la società di TV via cavo, la società di carte di credito e altri fornitori di servizi non vi contatteranno per chiedervi informazioni personali o finanziarie. - Sicurezza del conto
Aumentate la sicurezza del vostro account smartphone utilizzando una password forte e unica, insieme a domande e risposte di sicurezza forti che conoscete solo voi. - Codici PIN
Pensate di utilizzare una password o un PIN diverso per le vostre conversazioni, se il vostro gestore telefonico lo consente. Potrebbe offrire un ulteriore livello di difesa. - Documenti d’identità
Non basate la verifica della vostra identità e la vostra sicurezza esclusivamente sul vostro numero di telefono. Questo vale anche per gli SMS, che non sono criptati. - App per l’autenticazione a due fattori (2FA)
Potete utilizzare un’applicazione per l’autenticazione a due fattori, come Google Authenticator, che si riferisce al vostro dispositivo effettivo piuttosto che al vostro numero di telefono. - Avvisi dalle banche e dai gestori di telefonia mobile
Chiedete alle vostre banche e al vostro provider di telefonia mobile se possono collaborare per incorporare avvisi agli utenti e controlli supplementari quando vengono fornite le carte SIM, ad esempio, e per condividere le loro informazioni sull’attività di SIM Swapping. - Tecnologia che monitora il comportamento dei consumatori
Le banche possono utilizzare questa tecnologia per identificare i dispositivi violati e avvisare i clienti di non trasmettere le password via SMS. - Richiami
Alcune aziende richiamano i clienti per confermare che sono quelli che dichiarano di essere e per arrestare i ladri di identità.
Un fattore che rende un numero di telefono un pessimo controllore di identità è il SIM Swapping. Può essere ingannato come un autenticatore. I vostri conti e la vostra identità possono essere più sicuri se aggiungete altri livelli di sicurezza. Il SIM Swapping è ovviamente solo uno dei metodi di furto d’identità.
