Come farsi prosciugare il Conto corrente: SIM SWAP, Una frode di importazione
La frode informatica che può svuotare il conto corrente bancario utilizzando semplicemente il numero di cellulare rubato
(AGR) Pensate di svegliarvi una mattina, prendere il vostro smartphone dal vostro comó sul quale ha giaciuto tutta la notte e verificare chi vi ha scritto, quante email avete ricevuto durante il vostro sonno o cosa é successo nel mondo magari accedendo a servizi di rassegna stampa! Pensate…
E pensate invece che nel momento in cui prendete il vostro smartphone in mano per fare tutto questo, in effetti vi accorgete che qualcosa non va. Il vostro cellulare è senza linea telefonica, non presenta alcuna icona che possa dirvi immediatamente cosa sta succedendo e premendo qualsiasi App tutto tace. Tecnicamente il vostro cellulare è morto!
E qui, inizierà il vero inferno.
Scoprirete infatti che da qualche giorno avrete fatto richiesta di portabilità telefonica ad un altro operatore telefonico... Si, peccato però che non siete stati voi ma dei criminali che si sono impossessati del vostro numero di telefono a vostra insaputa!
Si chiama SIM Swapping il trasferimento da una SIM CARD ad un’altra la corrispondenza dello stesso nostro numero di telefono. Questo servizio offerto dalle compagnie telefoniche nasce in effetti da esigenze lecite come ad esempio il malfunzionamento oppure la rottura di una SIM CARD, oppure il cambio da un dispositivo all’altro anche attraverso un formato diverso della SIM ( tipo alla nano SIM) oppure il cambio del gestore telefonico o semplicemente per smarrimento.
Questo è quello che è successo ad una imprenditrice romana, Adriana (nome di fantasia), qualche settimana fa che ha scoperto di essere vittima di un reato denominato proprio SIM SWAP e che ha vissuto l’inferno nel tentativo di proteggersi da questi criminali “ ... la mia disavventura inizia il 26 novembre quando alla mattina mi accorgo che il mio cellulare era senza linea telefonica. Chiamo così il mio gestore Wind il quale mi comunica che avevo fatto richiesta il 24 novembre di passare a Iliad. Dunque mi affretto a chiamare Iliad che mi conferma di essere diventata una loro cliente e che la mia SIM era a bordo del corriere Bartolini per la consegna. Peccato, però, che il destinatario della nuova SIM era un uomo e l’indirizzo non era il mio!”.
E qui per la nostra imprenditrice romana inizia il vero calvario, infatti l’ufficio frodi e sicurezza della Iliad accorgendosi di tutto questo attiva subito le procedure di sicurezze e blocca la SIM che al 3 dicembre ritorna nelle mani del legittimo proprietario non prima però, come continua l’imprenditrice nell’intervista “... che faccio tutte le email per disconoscere tutto quanto e procedo a fare denuncia alla Questura, altrimenti il mio gestore non mi avrebbe riattivato la linea”.
Bene, penserete voi, tutto è bene ciò che finisce bene e invece la nostra malcapitata qualche giorno dopo la riattivazione del suo numero, il 7 dicembre si sveglia e “... trovo di nuovo il mio telefono senza linea... mi affretto a fare di nuovo la telefonata a Wind e mi dicono che stavolta la linea è passata a Vodafone! Allora mi sono affrettata a fare tutto come la volta precedente ma purtroppo Vodafone non ha accettato di sospendere la SIM perché io non risultavo la titolare, proteggendo il ladro e non me!”.
In questi casi il tempo diventa veramente prezioso poiché chi ha in mano il numero di telefono rubato riesce a fare in autonomia tutte le operazioni che solitamente solo il possessore e titolare del cellulare riesce a fare come, ad esempio, quelle legate all’home banking, e infatti, il racconto di Adriana, si fa ancora più pungente “... mentre io cercavo di avere da Vodafone un loro riscontro e allertavo la banca, ho subito 4 tentativi di esecuzione di bonifici per un totale di 45,000€ ! La Banca ha bloccato tutto nonostante la persona in questione fosse entrata nel mio conto e grazie al cellulare in suo possesso riusciva a autorizzare i bonifici utilizzando i codici che arrivavano sul mio numero di cellulare !”.
Insomma un vero inferno vissuto dall’imprenditrice romana presa di mira da malfattori utilizzando la tecnica SIM Swap e che nessuno di noi dovrebbe sottovalutare ma che al contrario è importante portare a conoscenza di tanti che pensano poco, molto poco alla propria sicurezza e privacy.
Se pensate che sia una cosa che tanto non succederà mai a voi ma sempre agli altri è invece importante iniziare a pensare che gli altri siete voi, siamo tutti noi e che questa tecnica dell’attacco SIM swapping è più semplice da perpetrare di quanto si immagini perché non richiede competenze particolari se non eventualmente quelle di social engineering ed è perciò nei fatti alla portata di chiunque poiché non vi è nessuna necessità di interazione lato utente: in altre parole, non ci sono clic da effettuare a valle della ricezione di mail né software malevoli da scaricare.
Chi perpetra questo tipo di crimine è un criminal hacker che raggiunge il proprio scopo attraverso varie modalità tra le quali le più accreditate, oltre a quelle del social engineering che induce dunque gli operatori di telefonia mobile ad emettere subito una nuova SIM CARD, vi è quella della corruzione di qualcuno che lavora presso uno dei dealer store sul territorio degli operatori telefonici, oppure la riproduzione di documenti falsi.
Il fenomeno sta diventando importante anche da noi, come negli USA.
È la stessa AGCOM (Autorità per le Garanzie nelle Telecomunicazioni) a denunciare una falla nel sistema normativo procedurale, poiché può capitare che l’utente ottenga una SIM senza che gli venga richiesto un documento di identità. Adesso infatti non è obbligatorio chiedere i documenti a chi vuole un cambio SIM, essendo questi richiesti solo per un cambio di contratto oppure per un'attivazione di nuovi servizi. Non ci sono controlli nemmeno se, per un cambio operatore, si dichiara SIM smarrita o falsa.
E a proposito di questo, l’AGCOM è corsa ai ripari.
Con la Delibera 334/20 CIR I, pubblicata il 1 dicembre 2020, ha avviato un procedimento e una consultazione pubblica al fine di aggiornare le procedure di portabilità del numero mobile e le misure di sicurezza per il contrasto al fenomeno degli attacchi di SIM swap visto il forte aumento anche nel nostro Paese. L’Autorità infatti, ha registrato un aumento preoccupante di segnalazioni di casi di sostituzione SIM, per passaggio ad altro operatore o per presunto furto o deterioramento, all’insaputa dell’utente finale titolare della SIM, rilevando che il numero degli operatori che mettono a disposizione della clientela la sostituzione della SIM anche per via telematica è in forte aumento e, non ultimo considerando che la sostituzione della SIM di un utente da parte di un soggetto terzo non autorizzato e malintenzionato può permettere allo stesso di entrare in possesso anche di ulteriori dati riservati, rispetto a quelli utili per effettuare un furto per via telematica presso gli istituti bancari, come per esempio il furto di dati personali sensibili con cui poter effettuare ulteriori attività dolose.
Il problema dunque diventa serio e preoccupante pertanto, è importante come vissuto e raccontato dalla nostra imprenditrice romana Adriana, proteggere i propri account, evitare di accedere a email fraudolente, evitare di lasciare il proprio cellulare incustodito, evitare di pensare con leggerezza che tanto a noi non toccherà mai!
I crimini oggi si commettono via web e i conti correnti bancari sono facilmente svuotabili!