Sim Swap Fraud, la frode che potrebbe portare alla fine dell’autenticazione a doppio fattore

Sim Swap Fraud
Sim Swap Fraud

Dove passerà la sicurezza degli utenti online? Dai dispositivi biometrici? Dai sistemi di cifratura o altro? Spesso per l’accesso ai sistemi online si utilizzano le password. Nel tempo abbiamo scoperto che queste possono essere facilmente intercettate andando a sottrarre gli archivi direttamente dai server dei siti.

Per questo motivo le società hanno poi integrato il sistema a doppia autenticazione, con una password che si riceve via SMS. Alla base c’è un ragionamento abbastanza semplice: se la SIM card è in un telefono e il telefono è di una persona, alla luce del fatto che per accedere alla SIM e al telefono c’è bisogno di una password, è plausibile pensare che far usare il telefono per autenticarsi sia sicuro.

Così moltissimi siti, tra cui quelli di molte banche, permettono di autenticarsi con un doppio fattore. Il secondo fattore, da associare alla password, è un codice monouso che si riceve via SMS. Fino ad ora si pensava che questo sistema fosse imbattibile, invece sempre più spesso si sente parlare di Sim Swap Fraud.

Si tratta della clonazione della SIM Card. Un fenomeno che risale al 2015, ma che si sta diffondendo sempre di più. Questo perché con la PSD2, il nuovo regolamento europeo sulle banche, avere l’accesso a doppio fattore per i conti è diventato obbligatorio.

Ma come funziona? In pratica il malfattore deve prima raccogliere informazioni sul malcapitato. Spesso lo si fa con email di phishing dove si spinge l’utente ad inserire dati personali, come codice fiscale e numero di carta di identità, ma anche sui social network. Successivamente il malvivente contatta l’operatore telefonico e chiede una SIM sostitutiva, perché dichiara di aver perso la SIM originale.

Fornendo tutti i dati raccolti in precedenza, convince l’operatore a ricevere una SIM sostitutiva mantenendo il numero di telefono. La SIM in nostro possesso viene disattivata e quella del malfattore diventa pienamente operativa e utilizzabile.

Si tratta di un sistema un po’ macchinoso e lento, ma le frodi in merito ci sono, con conti correnti svuotati e accesso a diversi account. Un caso celebre fu la sottrazione dell’account di Twitter di Jack Dorsey, CEO di Twitter.

Come si fa a non cadere in questa trappola? Ci sono cinque vie da prendere in considerazione:

  1. Usare un operatore telefonico le cui pratiche non consentono di ottenere una SIM card sostitutiva così facilmente.
  2. Evitare di lasciare dati personali nei siti e tenersi lontani dalle email con link dove si invita a farlo.
  3. Usare la generazione delle password usa e getta non via SMS, ma mediante i software di gestione password, come 1Password, che al loro interno contengono l’integrazione di questi sistemi.
  4. Usare una pendrive fisica per l’autenticazione nei siti, come quelle di Yubico.
  5. Evitare di usare i WiFi pubblici e aperti, soprattutto senza usare una VPN come filtro.

La speranza è di arrivare alla maturità per le eSIM ed evitare che queste siano clonabili facilmente dai malviventi. In caso di frodi non si può fare altro che denunciare e sperare di ottenere un risarcimento per la truffa subita.

Cosa ne pensi?