SIM Swapping: come viene rubata l’identità telefonica

Non solo le tattiche dei criminali informatici sono innumerevoli, ma alcune si ripresentano periodicamente. L’evoluzione degli ambienti informatici può creare delle inaspettate finestre di opportunità per gli attaccanti.

Il “SIM Swapping”, ad esempio, sta tornando ad essere una metodologia sempre più usata e insidiosa. L’attacco è possibile perché le compagnie telefoniche fanno corrispondere il numero di telefono ad una determinata SIM fisica mediante un collegamento di tipo logico che può essere cambiato immediatamente e senza difficoltà dal provider stesso. Questo consente di gestire facilmente le problematiche di SIM perdute, difettose o indisponibili. Ma cosa succede se un hacker riesce a fingersi per il legittimo proprietario e di conseguenza richiede al provider di associare un’altra SIM ad un certo numero telefonico?

In questi casi tutto il traffico telefonico (compresi gli SMS) sarà convogliato verso la nuova SIM (in possesso dell’hacker).

Se l’attacco riesce, non solo saranno compromessi la confidenzialità dei dati relativi al traffico telefonico e messaggistico della vittima (si pensi a quante informazioni ormai viaggiano su WhatsApp …), ma anche i suoi accessi a molti servizi telematici, anche critici.

La recrudescenza di questi attacchi è dovuta anche al fatto che gli SMS (o le chiamate vocali da sistemi automatici) sono ormai spesso usati come secondo fattore di autenticazione per moltissimi servizi, bancari, finanziari ecc.

Le difese sono legate solo alle procedure di sicurezza del provider e alla capacità della vittima di accorgersi immediatamente dell’attacco. Il primo aspetto dipende dal livello di awareness dell’azienda telefonica e dalla sua cultura di sicurezza. Ormai tutti i provider consentono di chiedere il cambio di SIM online o telefonicamente, ma l’autenticazione di chi si collega via web o telefona può avvenire in modo più o meno rigoroso.

Lato utente, l’unico segnale di allarme è costituito dalla perdita improvvisa delle funzionalità telefoniche del cellulare, che però può facilmente essere scambiato per un problema tecnico del provider.

La soluzione consigliata è ormai quella di non utilizzare più gli SMS come secondo sistema di autenticazione, ma di affidarsi alle app di autenticazione o ancora meglio a token hardware. Non a caso già dal 2016 il NIST americano “deprecava” gli SMS come sistema di autenticazione forte.