Gli attacchi “SIM swapping” sono in forte crescita. Nonostante non si tratti esattamente di una novità (personalmente ho vissuto da vicino il primo episodio di SIM swapping ben più di dieci anni fa, pur non essendo stato direttamente io il bersaglio dell’azione), questa modalità d’attacco è tornata alla ribalta in quanto al giorno d’oggi violare determinate tipologie di servizi online può significare accedere -in maniera fraudolenta- a grandi quantità di denaro, in conti correnti o wallet bitcoin. Ma anche a servizi con i nostri dati personali, come mail o backup cloud.
Indice degli argomenti
Attacco SIM swapping: cos’è e come funziona
Come il nome suggerisce, tutto gira intorno alla SIM card del nostro gestore di telefonia mobile. La SIM ci connette al network telefonico e dati dell’operatore, che associa la SIM fisica con il nostro numero di telefono.
In altre parole, viene creata una corrispondenza univoca tra la nostra “identità fisica” (la SIM) e la nostra “identità digitale” (il numero di telefono).
La terminologia “SIM swapping” si riferisce all’atto di trasferire da una SIM card a un’altra questa corrispondenza con il nostro numero di telefono.
La possibilità di cambiare SIM mantenendo il medesimo numero, in realtà, nasce per esigenze lecite: il malfunzionamento o la rottura della SIM card originale, il cambio di dispositivo (telefono cellulare) che supporti solo un differente formato fisico di SIM rispetto a quella in nostro possesso, il cambio di provider telefonico con portabilità del numero e così via.
Ma dal punto di vista di un malintenzionato, riuscire a portare a termine un’operazione di SIM swapping illegittima significa ottenere accesso al numero di telefono del legittimo (e ignaro) proprietario di tale numero, con tutto ciò che ne consegue.
Il criminale si fa dare una sim, con il numero della vittima, dall’operatore tramite un negozio o con modalità online.
Come fanno i criminali a prendere una sim con il nostro numero
Questo obiettivo, di norma, viene raggiunto dai criminal hacker in vari modi:
- tramite tecniche di social engineering, così da indurre gli operatori di telefonia mobile a emettere una nuova SIM card;
- oppure, corrompendo chi lavora presso uno store o presso il customer care dei provider (la Silicon Valley REACT Task Force spiega bene il driver sottostante con la frase “if you’re working at a mobile phone store and making $12 an hour and suddenly someone offers you $400 to do a single SIM Swap, that can seem like a pretty sweet deal”).
- O anche con un documento falso.
- Ma anche, più semplicemente, come riporta la stessa Agcom in una recente delibera (vedi sotto), può capitare che l’utente ottenga una sim senza che gli venga richiesto un documento di identità. Adesso infatti non è obbligatorio chiedere i documenti a chi vuole un cambio sim. Gli stessi sono richiesti solo per un cambio di contratto o attivazione di nuovi servizi. Non ci sono controlli nemmeno se, per un cambio operatore, si dichiara sim smarrita o falsa.
Cambio SIM più sicuro, contro le frodi: le nuove regole Agcom
Attacco di SIM swapping: perché è così pericoloso
Da quanto detto finora è evidente che un attacco di tipo SIM swapping è pericoloso perché rappresenta il primo passo verso la violazione degli account online della vittima, in quanto il numero di telefono è spesso utilizzato come uno dei fattori necessari in scenari di autenticazione a due fattori (2FA).
E come detto un account online può essere anche qualcosa di molto importante come un conto corrente, un wallet bitcoin, un profilo Facebook, una mail (controllando la quale si possono fare anche altre truffe e sottrazioni di password di altri servizi), un backup cloud.
L’autenticazione a due fattori è infatti basata sulla necessità di essere in possesso di due credenziali differenti per potersi autenticare a un determinato servizio.
Nei casi di token fisico, i due fattori sono la conoscenza (di una password) e il possesso fisico (di un token): “something you know & something you have”.
Nel caso di token inviato via SMS, i due fattori sono la conoscenza della password principale e la possibilità di ricevere l’SMS sul proprio numero di telefono.
Se ci pensiamo, tutti noi adottiamo metodologie di 2FA per l’autenticazione ad alcuni nostri account.
In alcuni casi, siamo forzati a farlo dai fornitori dei servizi di cui vogliamo avvalerci (pensate ad esempio al nostro conto corrente online), il che in generale è una cosa più che positiva dal punto di vista della nostra postura di sicurezza.
La 2FA offre, infatti, un livello aggiunto di sicurezza nelle procedure di accesso: invece di una semplice combinazione username-password, viene sempre richiesto l’inserimento di un ulteriore codice… la cui conoscenza è però troppo spesso delegata alla ricezione di un messaggio SMS all’utente.
E qui cominciano i problemi: vediamo perché.
Quando un attaccante conclude con successo una operazione di SIM swapping, lo fa esattamente per intercettare questo codice aggiuntivo inviato tramite messaggio di testo.
In tal modo, egli ottiene la chiave necessaria per “aprire la serratura digitale” e accedere al nostro account online; una volta fatto ciò, può ad esempio modificare a proprio piacimento la password principale e “tagliarci fuori” dal nostro account (basta impostare una propria 2FA differente, basata sull’utilizzo di una app di autenticazione, come successo nel caso del ventenne californiano citato più avanti in questo articolo), effettuare bonifici o qualunque altra cosa sia permessa al legittimo proprietario dell’account in questione.
Da quel punto in poi, il criminal hacker può accedere al suo target: il conto online della vittima o magari il suo portafoglio di criptovalute, disponendo operazioni esecutive (bonifici classici o operazioni con gli “exchanger”, cioè quelle entità che permettono di convertire criptovalute in valute standard e viceversa).
È da notare come un altro metodo possibile sia quello di intercettare le comunicazioni del provider: sono infatti note da anni numerose vulnerabilità dei network di comunicazione (come la vulnerabilità SS7) che possono permettere a malintenzionati “in gamba” di intercettare i messaggi e di conseguenza la ricezione del secondo fattore di autenticazione (la One Time Password inviata a un numero di telefono dal servizio a cui si vuole accedere, al fine di concludere il processo di autenticazione).
Ma l’attacco SIM swapping è più semplice da perpetrare, perché non richiede competenze particolari se non eventualmente quelle di social engineering ed è perciò nei fatti alla portata di chiunque.
Ciò che rende questa tipologia di attacchi particolarmente preoccupante è inoltre che essa non prevede, come accade invece nella quasi totalità delle altre metodologie di attacco, nessuna necessità di interazione lato utente: in altre parole, non ci sono clic da effettuare a valle della ricezione di mail né software malevoli da scaricare.
Può quindi capitare anche al più “sveglio” e consapevole degli utenti di cadere vittima di questo attacco.
Come difendersi da un attacco
Detto che non è possibile prevenire completamente l’eventualità che qualcuno possa prenderci di mira e ottenere l’accesso al nostro numero di telefono tramite questo tipo di attacco, si può comunque cercare di rendere la vita più difficile ai malintenzionati.
Vediamo quali sono le difese che un utente può mettere in campo per prevenire l’evenienza di diventare la prossima vittima.
La difesa più sicura è anche la più ovvia: se possibile, non utilizziamo il nostro numero di telefono per processi di autenticazione a due fattori che prevedano come modalità di ricezione del secondo fattore di autenticazione l’invio di un SMS.
- Piuttosto, ripieghiamo su altre tecniche come l’utilizzo di app di autenticazione (Google Authenticator e Authy sono solo due esempi tra le ottime possibilità esistenti in questo senso). I cyber criminali, infatti, non sono in grado di ottenere accesso a queste applicazioni, nemmeno nel caso in cui siano in possesso del nostro numero di telefono.
- Laddove ciò non fosse possibile, meglio utilizzare una verifica via mail in luogo di un messaggio sul telefonino, proteggendo l’autenticazione a tale casella mail con un meccanismo di autenticazione a due fattori più sicuro, basato sull’utilizzo di un’app di autenticazione.
- Un’altra via è l’utilizzo di autenticatori hardware come Google Titan Security Keys o YubiKey, che in realtà superano il concetto di 2FA e abbracciano il nuovo standard U2F (Universal 2nd Factor) di FIDO Alliance, che innalza ulteriormente il livello di sicurezza del sistema di autenticazione.
- Nel caso di banche e conti correnti, disattivare invio di password via sms. Usare solo altri sistemi one time password (via app).
Un altro consiglio sempre valido è quello di non diffondere informazioni personali “identificative” su social network e sul web in generale; il rischio, altrimenti, è che queste informazioni vengano utilizzate per effettuare un furto di identità, impersonare il target e chiedere il trasferimento del suo numero di telefono su una nuova SIM.
E ancora: non facciamo troppa pubblicità su social network e altri canali del fatto di essere in possesso di criptovalute, perché ciò quasi sicuramente farà di noi un target specifico dei malintenzionati; nel caso che il fatto che possediamo moneta elettronica non sia un segreto, evitiamo almeno di rendere noto di quale exchanger ci avvaliamo o di quali siano i nostri wallet.
Infine, laddove possibile, proteggiamo il nostro account direttamente con il nostro provider di telefonia mobile. Questa è una pratica diffusa soprattutto negli USA.
Ad esempio, se il nostro provider di telefonia mobile lo permette, è opportuno chiedere l’impostazione un PIN (o passcode) per accedere all’account e dare disposizione di richiederne sempre l’utilizzo per effettuare ogni modifica, cambio di SIM card compresa: un po’ come la parola segreta condivisa solo tra noi e i nostri figli, in caso dovesse rendersi necessaria l’interazione con una terza persona che dovrà identificarsi con loro utilizzando quella sola parola.
Ciò rende decisamente più difficile la vita a chi voglia trarre in inganno un operatore di call center inducendolo a trasferire un numero di telefono esistente da una SIM a un’altra.
Altro accorgimento, in caso di accesso fisico di un malintenzionato alla nostra SIM esistente, è avere impostato un PIN per accedere alla SIM (meglio se non banale), in modo che nel caso questa venga sottratta e inserita in un altro telefono non sia possibile ottenere l’accesso ad essa senza l’inserimento di quel PIN.
SIM swapping: tornato di moda grazie alle criptovalute
Dicevamo all’inizio che il SIM swapping è una tecnica vecchia di anni.
Già nel 2016 il NIST nel suo report “Digital Identity Guidelines” deprecava apertamente l’utilizzo della 2FA basata sull’invio di SMS.
Dato che non tutti purtroppo seguono i buoni consigli, a questo proposito segnalo il bel servizio Two Factor Auth (2FA) per verificare quali servizi abbiano adottato meccanismi di 2FA e quali no, tra quelli possibili.
Come avremo intuito, uno dei motivi per cui questo attacco ha avuto un ritorno di fiamma è stato l’avvento delle criptovalute, in quanto garantirsi l’accesso a un wallet corposo può significare avere la possibilità di rubare molti milioni di euro con una sola operazione.
L’FBI ha addirittura sentito la necessità di avvertire pubblicamente del pericolo e del possibile impatto di questa tipologia di attacco.
Ciphertrace, azienda specializzata nello sviluppo di soluzioni di sicurezza e tracciamento nel campo delle criptovalute e della blockchain, nel proprio report “Cryptocurrency Anti-Money Laundering” ha esplicitamente citato l’attacco di SIM swapping come una delle minacce più oggi più importanti.
Quando si parla di sicurezza nelle sue varie sfaccettature, la domanda ricorrente è sempre la stessa: ma si parla di un rischio teorico o è veramente successo a qualcuno?
È successo eccome: succede tutti i giorni.
Un paio di casi eclatanti meritano di essere citati:
- Joel Ortiz, un ventenne californiano che faceva parte di una banda specializzata in questo tipo di attacchi, è stato accusato di avere rubato milioni di dollari in criptovalute utilizzando questa tecnica ed è stato arrestato lo scorso anno;
- Nicholas Truglia, un ventunenne di Manhattan è stato arrestato e accusato di aver sottratto 24 milioni di dollari da un criptowallet di Michael Terpin, che ha poi di recente ottenuto un risarcimento record di oltre 75 milioni di dollari in una causa civile intentata contro lo stesso Truglia a dicembre, dopo aver denunciato ad agosto la stessa AT&T che ha avallato il cambio di SIM richiesto dall’hacker.
I sintomi che dovrebbero metterci in allarme
Come possiamo accorgerci in tempo utile di essere vittima di un attacco di SIM swapping?
Il segnale principe che c’è qualcosa che non va esiste: il cellulare, improvvisamente, non è più in grado di connettersi al network del nostro operatore di telefonia mobile. In linguaggio comune, “non ha più campo”.
Quindi, se di punto in bianco il segnale svanisce, la cosa più sensata da fare è un velocissimo check: spegnere e riaccendere il telefonino.
Se, fatto ciò, il segnale non torna subito, probabilmente abbiamo un problema.
Certo, potrebbe trattarsi di un disservizio del provider… ma questa è una eventualità in fondo abbastanza rara.
La cosa più sensata da fare è chiamare immediatamente il Customer Service del nostro gestore telefonico (da un altro telefono ovviamente, dato che il nostro non funzionerà più) e chiedere immediatamente lumi.
Quando viene effettuato un cambio di SIM, infatti, nel momento in cui il numero viene effettivamente attivato su una nuova SIM quella esistente viene sconnessa dal servizio e pertanto risulta “morta”.
Di norma, questi attacchi vengono condotti in orari notturni o il venerdì sera, al fine di guadagnare tempo prezioso. Noi non curiamoci del fatto che siano le 11 di sera di un giorno del fine settimana, chiamiamo immediatamente il customer service e facciamo luce sul caso.
Chiediamo esplicitamente se il nostro numero telefonico è stato oggetto di una richiesta di trasferimento di SIM o di operatore e facciamo tutto ciò che ci verrà richiesto per provare la nostra identità e annullare il prima possibile tale richiesta.
Il timing è tutto e la “tecnica dello struzzo” è altamente penalizzante: mettere la testa sotto la sabbia e fare finta di niente sperando che passi, equivale a correre rischi salatissimi.