La società di consulenza finanziaria e rischio Kroll ha reso noto che un attacco di SIM swapping contro uno dei suoi dipendenti ha causato il furto di informazioni sugli utenti di BlockFi, FTX e Genesis, tre piattaforme di criptovaluta per cui Kroll sta disbrigando le procedure di bancarotta. Stando alle informazioni ufficiali diffuse da Kroll, l'incidente è avvenuto il 19 agosto 2023 e ha già portato alcuni clienti delle tre aziende sopraccitate a ricevere messaggi di phishing.

È Kroll stessa, con assoluta trasparenza, a riassumere i fatti. Gli attaccanti hanno preso di mira l'account T-Mobile di un suo dipendente, ottenendo da T-Mobile il trasferimento del suo numero di telefono a quello di un cyber criminale senza che il legittimo titolare ne fosse informato. Questo ha permesso all'attaccante di accedere ad alcuni file contenenti informazioni personali delle persone coinvolte della bancarotta di BlockFi, FTX e Genesis. I diretti interessati sono stati tempestivamente informati, non ci sono prove del coinvolgimento di altri sistemi o account e sono in corso le indagini per individuare i responsabili.

SIM Swapping

Il SIM swapping, o scambio di SIM o simjacking, consiste nel trasferire un numero di telefono da una SIM a un’altra. È un’operazione del tutto legale quando viene svolta dal legittimo titolare della SIM, per esempio per la portabilità del numero nel cambio di operatore telefonico o quando si necessita di una SIM con un formato differente per il nuovo smartphone.

Come spesso accade, attività del tutto legali possono essere abusate ai fini criminali. Nel caso delle SIM, gli attaccanti sfruttano lo stesso meccanismo per ottenere illegalmente accesso al numero di telefono altrui, così da poterne leggere gli SMS, intercettare le chiamate vocali e altro. Un modo efficace per sbloccare gli account protetto con l’autenticazione a due fattori, per esempio. La catena di attacco non è veloce: i criminali informatici sfruttano il phishing o i social media per collezionare informazioni personali sui loro obiettivi: compleanni, nomi da nubile della madre, le scuole superiori frequentate, eccetera. Usano questi dati per convincere l'operatore telefonico a trasferire il numero di telefono delle vittime su una delle proprie schede SIM, e a questo punto il gioco è fatto.

Come più volte indicato, il SIM swapping è in aumento e quanto accaduto a Kroll è solo uno dei tanti casi registrati in tutto il mondo. Ecco perché all'inizio di questo mese il Cyber Safety Review Board (CSRB) del Dipartimento della Sicurezza Nazionale degli Stati Uniti ha esortato i fornitori di telecomunicazioni a utilizzare protocolli di sicurezza più forti per prevenire il SIM Swapping, per esempio applicando controlli più rigorosi per la verifica delle identità.