La tecnica SIM swapping o SIM hijacking consiste in una modalità di attacco tesa a sottrarre informazioni personali e denaro dagli account delle vittime.
L’accesso a molti servizi online è possibile oggi soltanto previa attivazione dell’autenticazione a due fattori (2FA). Oltre al nome utente e alla password l’utente è cioè chiamato a utilizzare un “secondo fattore” confermando ad esempio un codice ricevuto sullo smartphone.
Google e tutti i principali esperti hanno da sempre evidenziato che usare gli SMS come secondo fattore è molto meno sicuro rispetto ad altre soluzioni (utilizzo di chiavette FIDO2, autenticazione biometrica, uso di app che generano password a breve scadenza o OTP,…).
Un attacco SIM swap mira ad associare il numero dell’utenza mobile della vittima con il codice identificativo di una SIM che non è quella legittimamente detenuta dall’utente.
Il personale autorizzato, ad esempio i centri di telefonia, trasferiscono un’utenza mobile da una SIM all’altra per avviare la portabilità del numero, per sostituire una scheda persa o danneggiata, per consegnare al richiedente una SIM in altro formato.
Un aggressore può riuscire però a compiere la stessa operazione con il preciso intento di sottrarre i codici di autenticazione inviati via SMS dai vari servizi online.
Avviare un’operazione di SIM swapping all’insaputa del legittimo proprietario è ancora oggi più che possibile. La stessa AGCOM ha avviato una procedura con il preciso obiettivo di migliorare e rafforzare le procedure di portabilità delle numerazioni mobili (Delibera n. 334/20/CIR).
In Italia l’identificazione del soggetto che richiede una nuova SIM è prevista nel caso della sottoscrizione di nuovi contratti oppure allorquando venga richiesta il cambio di operatore (portabilità del numero).
Non sono strettamente richiesti controlli accessori quando venisse richiesta la sostituzione di una SIM o quando essa fosse dichiarata come smarrita o rubata.
Vulnerabilità nelle reti di telecomunicazioni, con particolare riferimento ai protocolli SS7, permettono poi di dirottare SMS e chiamate verso SIM diverse da quelle dei legittimi proprietari.
Per questo tipo di attacchi gli aggressori spesso si appoggiano a piccoli operatori di telecomunicazioni con sede legale in qualche stato sovrano libero da legami con altri Paesi.
A fine 2021 Europol ha avviato un’indagine che ha portato all’arresto di 10 individui che facevano parte di un’associazione criminale dedita ad attacchi di SIM swapping nei confronti di vittime di alto profilo residenti negli Stati Uniti. Gli aggressori operavano da Regno Unito, Belgio e Malta.
Nel caso di specie gli aggressori, una volta assunto il controllo della SIM altrui, accedevano agli account delle vittime utilizzando nomi utente e password corretti (raccolti in precedenza o utilizzando i meccanismi di recupero delle password) quindi effettuavano il login superando l’autenticazione a due fattori (ricevendo il codice via SMS). A quel punto modificavano le password degli account e impedivano qualunque tentativo di login da parte dei legittimi proprietari.
Secondo Europol i criminali informatici hanno potuto “rubare denaro, crittovalute e informazioni personali, compresi i contatti sincronizzati con gli account online. Hanno anche assunto il controllo degli account social delle vittime al fine di pubblicare contenuti e inviare messaggi assumendo l’identità altrui“.
Si ritiene siano stati sottratti più di 100 milioni di dollari in criptovalute accedendo ai conti di migliaia di persone note tra cui sportivi, influencer e musicisti.
Di questi giorni è la notizia dell’individuazione di un gruppo di criminali da parte della polizia spagnola che utilizzava la tecnica SIM swapping per svuotare i conti correnti delle vittime.
Le verifiche sono partite da una serie di denunce a fronte di trasferimenti di denaro fraudolenti non eseguiti dai titolari dei conti.
Quasi contemporaneamente l’FBI ha pubblicato un avvertimento circa l’escalation di attacchi SIM swap registrata nell’ultimo anno: sono infatti oltre 1.600 le denunce avanzate a seguito di questo tipo di attacchi che l’agenzia ha ricevuto soltanto nel 2021. Negli Stati Uniti i furti a seguito di attività di SIM swapping sono arrivati lo scorso anno a circa 70 milioni di dollari.
Come difendersi? La misura più efficace per evitare che soggetti terzi possano accedere ai propri account è non usare gli SMS come secondo fattore affidandosi a strumenti per l’autenticazione a due fattori molto più sicuri (ad esempio la generazione di un codice OTP sul dispositivo mobile; da digitare poi nel servizio al quale si sta accedendo).
L’utilità di password complesse e autenticazione a due fattori è spiegata da Google con un bel gioco online che tutti possono provare.