SIM Swap, quando la truffa corre sul telefono
L'obiettivo dei malintenzionati è quello di intercettare gli SMS inviati dalla banca della vittima e utilizzarli per operare sul suo conto bancario. Il video dei Navigati e il Vademecum dell'Associazione banche italiane.
Pochi la conoscono. Molti ci cascano. Tutti dovrebbero temerla. Stiamo parlato della Sim Swap, un tipo di frode purtroppo molto diffusa che il video qui sotto della serie I Navigati, ci spiega molto bene.
La truffa ha come obiettivo l’acquisizione di un account prendendo di mira una debolezza nell’autenticazione a due fattori, in cui il secondo fattore è un SMS o una chiamata a un telefono cellulare.
In questo modo, i malintenzionati potrebbero per esempio intercettare gli SMS inviati dalla banca della vittima e utilizzarli per operare sul suo conto bancario.
Il fenomeno del SIM swap è in costante crescita a livello mondiale. Lo confermano i dati Federal Bureau of Investigation (FBI) che ha ricevuto più di 1600 denunce nel 2021, con perdite stimate fino a 68 milioni di dollari.
Nei tre anni precedenti, l’FBI aveva ricevuto un totale di 320 segnalazioni, con circa 12 milioni di dollari sottratti. L’incremento è dovuto in parte ad attori malintenzionati che trovano modi di aggirare i sistemi di autenticazione a più fattori; e secondo Eric Cole, Fondatore e Amministratore Delegato di Secure Anchor Consulting, società di sicurezza informatica, l’aumento di tali crimini è collegato al boom delle criptovalute del 2021.
Al fine di evitare un ulteriore aumento di questo fenomeno, l’Agcom ha delineato specifiche procedure che gli operatori di telefonia mobile dovranno seguire.
Innanzitutto, la richiesta di cambio della SIM, inclusi i casi di richiesta di trasferimento da un operatore ad un altro, di furto o di smarrimento, può essere effettuata esclusivamente dal titolare della SIM.
Per quanto riguarda le SIM aziendali, la loro sostituzione può essere effettuata da un referente delegato dell’impresa che dovrà presentare un’autorizzazione a condurre l’operazione.
In tutti gli altri casi, il titolare della SIM dovrà mostrare una copia del documento d’identità attestante il Codice Fiscale, una copia della vecchia SIM e, nel caso di furto o smarrimento, una copia della relativa denuncia.
Una volta acquisiti i dati del cliente, il fornitore dovrà effettuare una validazione per controllare se la SIM è ancora attiva, inviando un SMS in cui si informa il cliente della richiesta di sostituzione e in cui gli si chiede conferma per effettuare le successive procedure.
In assenza di consenso esplicito da parte del cliente, il processo di sostituzione può proseguire esclusivamente nei casi di sostituzione per SIM smarrita, rubata o guasta. In queste situazioni, l’operatore effettuerà almeno un tentativo di contatto per verificare se la SIM sia sempre operabile.
A supporto dell’azione dell’Agcom, l’Associazione bancaria italiana (ABI) e la Polizia di Stato hanno promosso un Vademecum con dei consigli utili per la protezione dei dati personali, al fine di ridurre i fattori di vulnerabilità e i comportamenti potenzialmente rischiosi.
Il progetto è stato realizzato dall’ABI in collaborazione con prestigiosi interlocutori quali l’Osservatorio per la sicurezza fisica (OSSIF, il Centro di Ricerca dell’ABI sulla Sicurezza Anticrimine), il CERTFin (l’iniziativa cooperativa pubblico-privata diretta dall’ABI e da Banca d’Italia finalizzata a innalzare la capacità di gestione dei rischi cibernetici degli operatori bancari e finanziari), la Polizia Postale e le Associazioni dei Consumatori.
Oltre a fornire indicazioni su come agire in sicurezza, il Vademecum offre anche delle informazioni rispetto a cosa fare quando si è vittima di frode.
I 12 accorgimenti per proteggere la propria identità riguardano:
- in caso di smarrimento o furto di documenti personali, rivolgersi alle autorità di polizia preposte. In caso di furto o smarrimento di carte di credito e/o di debito, dopo averne ordinato il blocco chiamando il numero messo a disposizione, comunicare la denuncia anche alla propria banca;
- prestare attenzione se si smaltisce documentazione cartacea contenente informazioni personali, rendendo illeggibili i dati sensibili;
- proteggere con cura le credenziali di accesso ai conti online, i codici delle carte di credito e di debito e gli altri codici di sicurezza. Custodire anche le credenziali per la firma digitale;
- rivestire con custodie schermate le carte di pagamento con tecnologia contactless per ridurre al minimo la possibilità di essere vittime di truffe che prevedano la lettura del chip;
- cambiare con frequenza le credenziali di accesso per entrare nei conti;
- fare attenzione ai messaggi in modo da differenziare quelli autentici da quelli fraudolenti;
- non cliccare mai su link presenti in messaggi ambigui;
- se si fa uso di un computer pubblico per accedere al conto online, chiudere la sessione tramite logout;
- diffidare da presunti operatori che chiamano per ottenere informazioni personali, bancarie o di credito;
- se il cellulare non risulta più in grado di effettuare e ricevere chiamate, contattare subito l’operatore telefonico;
- non condividere tramite canali social dati personali e finanziari;
- dotarsi di un programma antivirus e aggiornarlo costantemente.