I cri­mi­nali pun­tano alla vostra scheda SIM e da lì al conto bancario

Gli hacker rubano o clo­nano le schede SIM e le sfrut­tano per acce­dere alle app e ai dati ban­cari. In genere la loro prima mossa è un mes­saggio di phi­shing.

Negli Stati Uniti alcuni truf­fa­tori sono riu­sciti a impos­ses­sarsi di 68 milioni di dol­lari con il cosid­detto «SIM swap­ping» o «scambio di SIM», una pra­tica con cui alle vit­time viene sot­tratta o clo­nata la SIM, grazie alla quale si accede poi alle app e ai dati ban­cari (fonte: Heise Secu­rity, 20 Minuten).

Casi di scambio di SIM sono noti anche in Sviz­zera, anche se rela­ti­va­mente pochi. Nella mag­gior parte dei casi, l’attacco ini­ziale avviene tra­mite phi­shing, con mes­saggi di posta elet­tro­nica, SMS o sistemi di mes­sag­gi­stica che con­ten­gono un link a un sito Internet con­traf­fatto e gestito dagli hacker nel quale l’ignaro utente viene invi­tato a inse­rire i propri dati della tele­fonia mobile e/o i dati di accesso a uno spe­ci­fico ser­vizio online o e-ban­king. In alcuni casi, i dati d’accesso ven­gono acqui­stati anche tra­mite fughe di dati su larga scala (p. es. nella Dar­knet).

Poiché sui por­tali di e-ban­king e altri ser­vizi online è sempre più dif­fusa l’auten­ti­ca­zione a due o più fat­tori (2FA, MFA), un utente malin­ten­zio­nato neces­sita, da un lato, di un nome utente o di un numero di con­tratto abbi­nato a una pas­sword e, dall’altro, di una scheda SIM rubata o rior­di­nata dall’operatore tele­fo­nico per poter inter­cet­tare e uti­liz­zare il secondo ele­mento di sicu­rezza. I dati rubati o diver­sa­mente acqui­siti e le schede SIM ven­gono quindi uti­liz­zati dai truf­fa­tori per acce­dere ille­ci­ta­mente a quel por­tale di e-ban­king o ser­vizio online.

Pro­teg­ge­tevi così:

• Non uti­liz­zate mai un link rice­vuto via e-mail, SMS o ser­vizio di mes­sag­gi­stica o scan­sio­nato tra­mite codice QR per acce­dere a un isti­tuto finan­ziario o a un ser­vizio online.
• Non com­pi­late mai i moduli rice­vuti via e-mail che chie­dono di inse­rire i dati d’accesso.
• Gestite con grande pru­denza gli alle­gati delle e-mail e dei ser­vizi di mes­sag­gi­stica breve.
• Durante le tele­fo­nate non comu­ni­cate mai infor­ma­zioni riser­vate come le pas­sword.
• Inse­rite l’indirizzo della pagina di accesso del vostro for­ni­tore di ser­vizi online o isti­tuto finan­ziario sempre manual­mente, nella barra degli indi­rizzi del browser.
• Quando aprite la pagina di accesso, veri­fi­cate che la con­nes­sione sia SSL (https://, icona a forma di luc­chetto) e assi­cu­ra­tevi di tro­varvi sulla pagina desi­de­rata con­trol­lando l’indirizzo Internet nella barra degli indi­rizzi del browser.
• Non per­dete mai di vista il vostro dispo­si­tivo e bloc­cate imme­dia­ta­mente il dispo­si­tivo e la scheda SIM in caso di smar­ri­mento o furto.
• In caso di incer­tezze o dubbi rivol­ge­tevi al vostro isti­tuto finanziario.