Che cos’è il SIM Swap. Ecco come funziona

In questi giorni, gli smartphone sono praticamente nelle tasche di tutti.

Li usiamo per l’intrattenimento, l’invio dei messaggi, l’archiviazione di note, lo scatto di foto, il trasferimento di denaro e persino per “telefonare”, cosa per la quale erano nati.

I nostri telefoni sono diventati un’appendice essenziale della nostra vita.

Se hai mai perso fisicamente il telefono, conosci quella sensazione disperata di controllare tutte le tue tasche e borse e temere … “qualcuno potrà vedere le mie cose?”.

Ma un furto di un telefono, oltre che “fisicamente”, può avvenire anche in altro modo, attraverso il fenomeno del SIM Swap.

Cosa è il SIM Swap

Lo scambio di SIM, viene chiamato anche SIM jacking o SIM hijacking, è una forma di furto di identità in cui un criminale ruba il tuo numero di cellulare assegnandolo a una nuova scheda SIM. E’ quindi possibile inserire la nuova SIM (con di fatto la tua identità associata alle tue APP mobile) in un telefono diverso per accedere agli account ed impersonare l’identità della persona truffata.

La SIM, per chi non lo sapesse, è un modulo di identità dell’abbonato ed è quella piccola scheda con chip rimovibile utilizzata in un telefono cellulare. Ogni scheda SIM è unica e associata all’account mobile. Puoi estrarla dal telefono e inserirlo in un altro, e il tuo numero di telefono ei dati dell’account viaggeranno assieme ad essa.

Un attacco di SIM Swap, inizia quando una persona si spaccia per te mentre contatta il tuo operatore di telefonia mobile, affermeranno di avere la SIM rotta.

Nella realtà questo può capitare veramente quando la carta SIM viene persa, oppure si è rotta, oppure l’hai venduta accidentalmente assieme allo smartphone.

Molto probabilmente l’operatore di telefonia mobile richiederà alcune verifiche dell’identità, come ad esempio il PIN dell’account o le domande di sicurezza che hai impostato o le ultime quattro cifre del tuo numero di previdenza sociale.

Una volta che il criminale ha convinto il rappresentante del servizio clienti del gestore di telefonia mobile che sei il cliente legittimo, è in grado di riassegnare il tuo numero di telefono alla sua nuova SIM.

A questo punto il criminale ha sostanzialmente scollegato il tuo numero di telefono dalla rete e lo ha assegnato alla sua scheda SIM, che ha inserito quindi nel suo dispositivo.

Avendo “sovrascritto” la tua SIM il criminale potrà ripristinare le password degli account e assumere il controllo di qualsiasi autenticazione a due fattori che va sul tuo telefono tramite messaggio di testo. (vedi whatsapp, Telegram, ecc…) e quindi possibile accedere a una moltitudine di account, e-mail, sistemi di pagamento digitale, social media, acquisti e così via.

Torniamo ai dettagli sul PIN del tuo account e sulle ultime quattro cifre del tuo numero di previdenza sociale.

Come farebbe qualcuno a conoscere queste informazioni?

È qui che le cose si fanno interessanti e mostrano la direzione che stanno prendendo i criminali informatici moderni con le violazioni dei dati e i data leak (di cui parleremo la prossima settimana in un altro articolo su RHC).

Le violazioni dei dati

Nel corso degli anni, si sono verificate migliaia di violazioni dei dati con miliardi di record rubati, inclusa la fuga di dati da Facebook dell’aprile 2021 che ha avuto un impatto su 533 milioni di account. Ma tu cambi le password costantemente, e quindi la cambierai anche in questo caso. Questo ti fa sentire al sicuro, giusto?

Non esattamente.

Mentre le persone sono seriamente preoccupate per il loro conto bancario e le informazioni di sicurezza sociali che vengono visualizzate in una violazione dei dati, sono meno preoccupate per il loro nome, indirizzo e-mail o data di nascita.

Eppure, una volta messe insieme, questo è esattamente il tipo di informazioni che è rischioso per la sicurezza della tua banca, le tue cartelle cliniche, il tuo operatore di telefonia mobile e qualsiasi account online. Ecco perché.

Man mano che la quantità di dati violati cresce, i criminali informatici si sono organizzati, collegando i vari dump di dati insieme per creare immagini più complete di ogni individuo in modo da poterlo utilizzare in seguito. Considera il seguente scenario:

• Gennaio 2019: Big Breach A: include il tuo nome, indirizzo e-mail, password e numero di telefono. Hai cambiato la tua password su quell’account e sei andato avanti.
• Novembre 2020: Big Breach B: Include il tuo indirizzo e-mail, numero di previdenza sociale, indirizzo fisico e data di nascita. Questo era allarmante, quindi hai cambiato la password solo per sicurezza.
• Aprile 2021: Data Scrape C: Include il tuo nome, indirizzo email, numero di telefono e identità di genere. Non ne hai mai sentito parlare perché non si trattava affatto di una violazione dei dati. Queste informazioni sono state estratte da informazioni che hai reso pubbliche tramite i tuoi account sui social media.

Ecco una semplice visualizzazione in tabella di ciò che hanno raccolto:

I criminali informatici ora possono collegare questi record tramite il tuo indirizzo e-mail, che era comune a tutti e tre, fornendo loro un quadro più completo delle informazioni su di te.

Parliamo del PIN del tuo account mobile. Ti ricordi?

Secondo i ricercatori sulla sicurezza, c’è un’alta probabilità che il tuo PIN sia qualcosa di facile da ricordare, come il tuo compleanno, anno di nascita, indirizzo o codice postale.

Guardando la tabella sopra, il criminale informatico ora ha quei dati ed è associato al tuo numero di telefono. Possono fare alcune ipotesi plausibili sul tuo PIN per ottenere l’accesso al tuo account.

Se ciò non funziona, potrebbero semplicemente dire al rappresentante del servizio clienti mobile Wow, ho impostato quel PIN molto tempo fa e non ho idea di cosa sia. Molto credibile!

Nessun problema, dice il rappresentante del servizio clienti, dimmi solo le ultime quattro cifre del tuo numero di previdenza sociale.

BINGO, il criminale ha questi dati a portata di mano. Il trasferimento della SIM richiede alcuni minuti. Al termine, verrai espulso dall’account del tuo telefono.

Conclusioni

Dovete avere paura dei data scrape esattamente come i databreach.

Queste informazioni correlate creano una impronta molto precisa di una persona, utilizzando dati che generalmente non vengono cambiati.

Quindi ogni volta che uno dice (si ma i dati sono di 2 anni fa), ditegli che sta dicendo una idiozia, in quanto si tratta di dati molto “freschi” e molte informazioni possono essere correlate per ricreare una identità molto precisa e hackerare un potenziale obiettivo.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.