La pratica fraudolenta con cui un gruppo di soggetti malintenzionati ottengono illegalmente il controllo di un’utenza mobile altrui si chiama SIM swap. Ciò che succede è che i criminali informatici sostituiscono la scheda SIM associata al numero telefonico della vita con una sotto il proprio diretto controllo. Il “rimpiazzo” avviene di solito contattando l’operatore di telefonia mobile della vittima, spesso fingendo di essere la vittima stessa o utilizzando informazioni rubate ottenute per altre vie.
Una volta ottenuto il controllo del numero di telefono della persona presa di mira, i truffatori possono accesso ai messaggi di testo, alle chiamate vocali e ad altre forme di comunicazione dirette al legittimo proprietario dell’utenza.
Questo tipo di espediente è generalmente utilizzato per aggirare le misure di sicurezza, come ad esempio l’autenticazione a due fattori basata sull’uso degli SMS e farsi strada sugli account di online banking e sugli altri servizi Web.
Per contrastare la pratica del SIM swap, in Italia sono entrate in vigore nuove regole per la portabilità del numero e il cambio di SIM.
Un ex manager rivela di aver accettato 1.000 dollari per ogni operazione di SIM swap
A conferma del mercimonio legato al fenomeno del SIM swapping, un ex manager di una società di telecomunicazioni con sede nel New Jersey (USA) si è dichiarato colpevole confermando di aver ricevuto denaro per autorizzare trasferimenti di schede SIM senza aver ricevuto alcuna richiesta da parte dei legittimi interessati.
Come conferma il Dipartimento della Giustizia in una breve nota, l’ex dirigente – Jonathan Katz – ha abusato della sua posizione manageriale e del suo account dotato di privilegi elevati per superare le misure di sicurezza imposte dalla normativa vigente ed eseguire trasferimenti di numeri non autorizzati.
Questi tipi di attacchi, infatti, poggiano su attacchi di ingegneria sociale sferrati nei confronti del personale che offre assistenza clienti (lato provider mobili) o facendo perno su dipendenti infedeli delle aziende di telefonia mobile.
L’attività di Katz si sarebbe sviluppata a metà 2021 e avrebbe permesso, a un gruppo di criminali informatici, di assumere il controllo dei numeri di cellulare delle vittime e successivamente di ottenere l’accesso ai loro account, inclusi email, social media e portafogli di criptovalute.
A fronte del suo comportamento, Katz rischia un massimo di cinque anni di carcere e una multa fino a 250.000 dollari. Poiché l’ex manager lucrava anche sull’accesso agli account delle vittime, potrebbe essere chiamato a rifondere le perdite finanziarie oppure a risarcire il doppio di quanto introitato illecitamente. Una decisione definitiva è attesa per il 16 luglio 2024.