Il SIM swap è una forma di furto di identità che in Europa si è particolarmente intensificata a fine 2019. È un vero e proprio "furto", anche se non fisico, della nostra SIM. Chi lo perpetra riesce a convincere il nostro operatore a trasferire la nostra SIM su una in suo possesso. Disattivando nel contempo quella che è inserita nel nostro smartphone. Fatto questo, chi ha "rubato" la SIM è come se avesse in mano proprio il nostro cellulare.

Questo apre molti scenari possibili. Per il furto di identità in generate e, in particolare, per le frodi bancarie. Certo non basta violare una SIM per violare anche un conto bancario. Ma il SIM swap è una forma di attacco che viene accompagnata da altri più convenzionali. Come l'invio di trojan bancari. O campagne di phishing per esfiltrare dati personali da un computer.

Quale che sia il complesso dei metodi usati, in uno scenario ideale di SIM swap i criminali hanno alla fine in mano diverse informazioni su di noi. In casi "fortunati", anche le scansioni dei documenti personali. E comunque la possibilità di fare e ricevere telefonate - o inviare e ricevere messaggi - dal nostro numero telefonico.

Questa è una vulnerabilità pericolosa per le banche che usano ancora, per identificare un cliente, l'invio di codici via SMS. Ma lo è in generale, se i criminali ne sanno abbastanza di ingegneria sociale. Abbastanza da convincere l'assistenza di una banca ad aiutarli, ad esempio. Anche se la gran parte delle frodi da SIM swap non arriva a tanto.

Come avvengono i furti via SIM swap

Di norma, i criminali riescono ad accedere all'home banking del malcapitato utente. E usano il SIM swap per intercettare le one-time password inviate via SMS. E così autorizzare le transazioni. Un gruppo criminale che seguiva questo modus operandi è stato recentemente sgominato da Europol e dalla Polizia spagnola. Nell'ambito di una operazione battezzata Quinientos Dusim.

L'operazione ha portato all'arresto di 12 persone, in Spagna. Ma l'organizzazione criminale contava su una rete di collaboratori anche in Italia, Romania e Colombia. Si stima che abbia eseguito oltre cento attacchi usando il SIM swap. Rubando complessivamente oltre tre milioni di euro. Da notare che ogni attacco è durato solo una o due ore. Il lasso di tempo oltre il quale qualunque vittima si accorge che il proprio smartphone non funziona più come deve.

Europol e la polizia rumena hanno condotto una seconda operazione collegata al SIM swap. Battezzata operazione Smart Cash, ha colpito una organizzazione criminale rumena che aveva violato diversi conti bancari austriaci. Più precisamente, i criminali duplicavano le SIM e acquisivano le credenziali di home/mobile banking delle vittime. Poi usavano la loro app di mobile banking per ritirare contante via sportelli automatici.

Il SIM swap permetteva di intercettare la one-time password che veniva inviata via SMS. E che serviva ad autorizzare il ritiro di denaro. Si stima che, in questo modo, i criminali abbiano raccolto nel tempo una somma superiore ai 500 mila euro.

Europol sottolinea il fatto che il SIM swap è solo una parte di un attacco multi-vettore. Prima di duplicare una SIM, i criminali acquisiscono informazioni sulle potenziali vittime. Usando malware per esfiltrarle, ma anche semplicemente i social network. Per difendersi bisogna quindi impedire questo accesso alle informazioni personali. Proteggendo in generale la propria identità, i propri device e i propri account. Nel caso degli account bancari, o simili, bisogna attivare una autenticazione a più fattori. Cosa che dovrebbe essere comunque obbligata.