Frodi online: le insidie degli attacchi SIM-SWAP

Frodi online: le insidie degli attacchi SIM-SWAP

Come riconoscere e prevenire la truffa che svuota il conto corrente

Tra le tecniche fraudolente in significativo aumento che hanno visto una vera impennata negli ultimi mesi, la cosiddetta SIM-swap -ovvero lo “scambio della scheda telefonica SIM“- sembra essere una delle più insidiose.

Nel rapporto IOCTA 2020, la valutazione annuale delle minacce della criminalità organizzata su Internet di Europol, se ne parla come di una tendenza che ha registrato un numero sempre più crescente di casi in tutta Europa: risulta essere, infatti, tra le operazioni della polizia di portata maggiore lo scorso anno la Quinientos Dusim, che ha visto impegnati in Spagna la Polizia Nazionale, la Guardia Civile e l’Europol. La maxi-investigazione ha coinvolto una banda di criminali –composta da soggetti di nazionalità italiana, rumena, colombiana e spagnola, di età compresa tra i 22 e i 52 anni– che ha perpetrato in poco tempo un centinaio di attacchi, sottraendo alle ignare vittime importi di denaro tra i €6.000 e i €137.000. ¹

La SIM-swap è un particolare furto d’identità finalizzato a realizzare operazioni bancarie, in particolare bonifici, con le credenziali della vittima.²

La particolarità di questa truffa è il suo manifestarsi con un problema della linea telefonica, causato dalla duplicazione, all’insaputa del malcapitato, del numero di telefono cellulare utilizzato per ricevere informazioni e trasmettere disposizioni alla propria banca.

All’origine, vi è sempre un attacco informatico (phishing, malware, accesso abusivo a un profilo social, app malevola, ecc.), che permette al frodatore di ottenere dati personali da utilizzare a suo vantaggio. Questo aspetto è estremamente importante ai fini della prevenzione: la consapevolezza e la prudenza sono cruciali per evitare che malintenzionati possano avere accesso a informazioni sensibili.

Una volta in possesso dei dati necessari infatti, il frodatore può agire in modo estremamente rapido e, perfino nell’arco di una sola notte, svuotare (o quasi) un conto bancario: ottenuta la duplicazione della SIM presso un negozio di telefonia, con documento e denuncia di smarrimento falsi, accede all’online banking della vittima e ne utilizza il numero telefonico per ricevere le notifiche della banca e i codici per autorizzare le transazioni.

Può accadere quindi che una mattina, ci si accorga di non riuscire più a telefonare e usare il proprio cellulare, ricevendo addirittura finti messaggi di rassicurazione da parte della compagnia telefonica che segnala fantomatici disguidi tecnici in corso di risoluzione. Di fronte a questa strategia sofisticata, può essere molto difficile capire che sia in corso un’azione fraudolenta. Si può realizzare di esserne vittime anche a distanza di tempo, scoprendo sul proprio conto bancario una serie di bonifici o pagamenti con carta prepagata mai effettuati e mai autorizzati.

1internet_organised_crime_threat_assessment_iocta_2020.pdf

2 https://economiapertutti.bancaditalia.it/notizie/la-truffa-sim-swap/

Vediamo dunque come riconoscere un attacco SIM-swap, come comportarsi e cosa fare per prevenirlo.

Riconoscere un attacco SIM-swap

Ecco i segnali più comuni a cui fare attenzione:

• Il telefono cellulare smette di funzionare, perde inaspettatamente il segnale e non è più possibile effettuare chiamate e inviare/ricevere SMS;
• In alcuni casi, un presunto operatore telefonico potrebbe chiamare o inviare un SMS segnalando problemi di linea sullo smartphone, in corso di risoluzione;
• Si potrebbero ricevere diverse telefonate fastidiose, per far sì che il cellulare venga spento.

Come comportarsi in caso di sospetto attacco SIM-swap

È assolutamente imperativo tenere alta la guardia e diffidare di telefonate o SMS relativi a problemi tecnici legati alla funzionalità del proprio telefono cellulare. È inoltre opportuno non tenere spento il telefono nel caso in cui smetta di funzionare.

Ecco cosa fare se si sospetta un attacco SIM-swap:

• Verificare appena possibile il conto bancario;
• Contattare tempestivamente il servizio clienti della banca per bloccare

temporaneamente l’operatività del proprio conto;

• Contattare il proprio operatore telefonico per segnalare la truffa e bloccare lo scambio della SIM;
• Segnalare il caso alla Polizia Postale e delle Comunicazioni.

Come prevenire i casi di frode SIM-swap

Difendersi dalla sofisticata frode SIM-swap significa, a monte, proteggersi dal furto di dati personali evitando qualsiasi azione potenzialmente rischiosa sia online che offline. Come suggerito dall’Interpol:

• Assicurarsi che il software dei propri dispositivi elettronici sia sempre aggiornato – browser, anti-virus e sistema operativo compresi;
• Vigilanza e cautela sui social media: limitare le informazioni condivise;
• Non aprire mai link o allegati ricevuti via e-mail o SMS senza previa verifica;
• Non rispondere mai a e-mail sospette;
• Vigilanza e cautela al telefono: non fornire mai dati personali o informazioni sensibili;
• Aggiornare regolarmente le proprie password;
• Acquistare online esclusivamente da siti affidabili, verificandone anche le recensioni dei clienti;
• Prudenza nello scaricare delle app: assicurarsi che siano versioni ufficiali e leggere attentamente i permessi richiesti;

• Ove possibile, evitare di associare il proprio numero di telefono ad account online

“sensibili”;

• Creare un PIN di accesso alla propria SIM e non condividerlo con nessuno;
• Verificare spesso il proprio conto

È bene ricordare che l’online banking e i pagamenti basati sull’online banking (OBeP – Online Banking ePayments), come il bonifico immediato MyBank, presentano livelli di sicurezza elevatissimi.

Da quest’anno la sicurezza della transazione viene ulteriormente potenziata dall’obbligo -per tutti gli istituti bancari e gli operatori coinvolti nei processi di e-payment -di implementare l’autenticazione forte SCA (Strong Customer Authentication) prevista dalla Direttiva europea 2015/2366 sui Servizi di Pagamento (PSD2). Si tratta di un processo di autenticazione rafforzato da almeno due di tre requisiti: informazioni note soltanto al cliente (come un PIN); un oggetto posseduto solo dal cliente (come un telefono cellulare); caratteristiche possedute dal cliente (come le impronte digitali).

Chiamata anche “autenticazione a più fattori”, la SCA rende l’accesso al conto bancario e i pagamenti  più  sicuri:  nel  caso  di  un  e-payment,  i  due  o  tre  elementi  richiesti   vengono combinati in modo dinamico legando ciascuna transazione ad un importo e un beneficiario specifico, certificandone l’unicità. Le violazioni in rete da parte di cyber-criminali diventano quindi decisamente più difficoltose.

Per MyBank, soluzione di bonifico online immediato basata sull’online banking, la SCA è stata da sempre un requisito nativo per i pagamenti. Pioniera nell’adottarla, fin dal suo lancio sul mercato nel 2013, MyBank considera la SCA un prezioso alleato per un eco-sistema dei pagamenti sicuro, a beneficio del settore e-commerce.

Certamente la frode SIM-swap dimostra come la cyber-criminalità sia capace di evolversi e trovare continuamente nuove modalità di attacco. Immaginiamo però come sarebbe facile la vita dei pirati informatici se non ci fosse neanche una misura di autenticazione come la SCA.

A questo proposito è d’uopo ricordare che per quanto la verifica via SMS per effettuare un pagamento online sia una delle più utilizzate, non è l’unica modalità prevista dalla SCA a disposizione degli utenti.

Conclusioni

La frode SIM-swap risulta essere una delle più insidiose e difficili da riconoscere tempestivamente, ma la prevenzione è possibile.

Occorre tenersi informati sui rischi e le modalità fraudolente esistenti –per esempio, consultando regolarmente il sito della Polizia Postale e delle Comunicazioni– ed adottare la massima cautela in tutte le situazioni in cui i propri dati personali vengono richiesti.

Proteggersi dal phishing e dal furto di dati significa difendersi anche dalla frode SIM-swap:

rimanere vigili e cauti di fronte a email o SMS che richiedono di cliccare su un link, anche

quando sembrano provenire da un soggetto o un fornitore di servizi credibili; non rispondere mai a email o SMS sospetti; diffidare sempre da richieste di informazioni personali al telefono. Queste sono alcune misure chiave che stanno alla base della prevenzione.

È opportuno infine tenere sempre a mente che la propria banca, così come MyBank, non chiederanno mai di fornire dati personali, codici di autorizzazione o credenziali di accesso, tramite email, SMS, telefono e social network. Diffidare sempre in caso di simili richieste.