Negli ultimi anni, gli attacchi SIM swap hanno dimostrato tutta la loro efficacia. ENISA, Agenzia dell’Unione europea per la cybersicurezza, continua a denunciarne la pericolosità fornendo consigli concreti per evitare di cadere nella trappola dei criminali informatici.
La pratica del SIM swapping si configura come una frode informatica che coinvolge la sostituzione fraudolenta della scheda SIM o dell’eSIM di un utente con una diversa, sotto il diretto controllo dell’aggressore. Questi attacchi vanno in porto quando l’attaccante riesce a convincere l’operatore di telefonia mobile della vittima a trasferire il numero di telefono del malcapitato su una nuova SIM in possesso del cybercriminale stesso.
Supponiamo che nel corso di un attacco informatico l’aggressore abbia già recuperato nome utente e password corretti per l’accesso a un account online. Con la pratica del SIM swap, questi può impossessarsi anche dei codici inviati tramite SMS per l’autenticazione a due fattori. Potendo così accedere alle aree personali di altri utenti.
Abbiamo già detto che l’invio di un SMS è paragonabile alla spedizione di una cartolina postale cartacea: tutti possono leggerne il contenuto. Chi usa gli SMS come secondo fattore è responsabile, a nostro avviso, in caso di violazioni della sicurezza. Non c’è infatti pratica più sconsiderata che utilizzare i tradizionali SMS nei meccanismi di autenticazione a due fattori.
Il caso dei dipendenti di un operatore di telecomunicazioni contattati per favorire attacchi SIM swap
Stando a diverse segnalazioni pubblicate su Reddit e alle testimonianze raccolte dai colleghi di The Mobile Report, diversi dipendenti del noto operatore di telecomunicazioni T-Mobile sarebbero stati contattati al fine di porre in essere attività di SIM swapping sulle numerazioni di inconsapevoli clienti. Allo stato attuale, ovviamente, non ci sono conferme circa il fatto che qualche dipendente infedele abbia risposto alla “chiamata”. Quanto accaduto, tuttavia, non può non suonare come un ulteriore importante campanello d’allarme.
I messaggi inviati dai criminali informatici offrono 300 dollari per ogni attività di SIM swap. Le comunicazioni, trasmesse ai dipendenti del famoso provider, arrivano da numerazioni geografiche differenti, rendendo complessa l’identificazione del mittente.
Nel testo delle loro comunicazioni, i cybercriminali informano che il numero telefonico del dipendente T-Mobile è stato precedentemente acquisito da un elenco. Se ciò corrispondesse al vero, significherebbe che la lista degli impiegati T-Mobile, insieme con i relativi dati personali, è apparsa in rete – da qualche parte (verosimilmente su qualche sito .onion
) – in passato.
Stando alle prime verifiche, l’elenco dei dipendenti utilizzato dagli aggressori conterrebbe informazioni sul personale in forze presso la società ma anche riferimenti a persone che non collaborano più con l’azienda. La base di dati utilizzata potrebbe essere quindi vecchia almeno di qualche mese.
Contattata da The Mobile Report, T-Mobile ha così risposto: “Non abbiamo subìto alcuna violazione sui nostri sistemi. Continuiamo a indagare su questi messaggi che vengono inviati per sollecitare attività illegali. Sappiamo che altri fornitori di servizi wireless hanno segnalato la ricezione di messaggi simili“.
Cosa significa per i clienti titolari di utenze mobili
La notizia diffusasi in queste ore non è certamente rassicurante per i possessori di utenze mobili. È vero, infatti, che in Italia le nuove regole AGCOM per la portabilità delle numerazioni telefoniche mirano proprio a neutralizzare l’efficacia degli attacchi SIM swap. Ma possono esserci sempre casi di dipendenti infedeli che, per racimolare qualche soldo in più, si fanno ammaliare dal “canto delle Sirene” dei cybercriminali.
Come abbiamo ricordato in molteplici nostri articoli, la regola generale sarebbe quella di non dare credito alle informazioni ricevute via SMS. Il contenuto degli SMS dovrebbe essere ritenuto sempre “untrusted” ovvero non affidabile.
Per i servizi online che utilizzano l’autenticazione a due fattori, è indispensabile verificare che non si basino sugli SMS come secondo fattore. Allo scopo si possono invece ad esempio utilizzare codici OTP generati su un dispositivo mobile oppure su desktop. La configurazione dell’accesso ai vari servizi online può avvenire tramite Google Authenticator, Microsoft Authenticator oppure con l’eccellente app open source Aegis.