Con SIM swapping i criminali possono ancora rubare i soldi dal nostro corrente; nonostante le norme PSD2 che obbligano a mandare la one time password di autorizzazione non più via sms ma via app su cellulare. I criminali si sono adattati alla novità, come ci spiega Paolo Dal Checco, esperto cyber forense, sfruttando lacune nei sistemi di sicurezza bancari.
Un tema critico adesso perché, con l’abbondanza dei dati frutto di scraping di Facebook e Linkedin (e in minore misura Clubhouse e Twitter da qualche giorno), i criminali hanno nuove armi per il sim swapping e truffe basate su social engineering, come ha avvisato la scorsa settimana lo stesso Garante privacy.
Indice degli argomenti
Come fanno i criminali a rubare i soldi con SIM swap
In sostanza, “i criminali riescono ad autorizzare un bonifico spostando l’app della banca, che genera la password temporanea, su un altro cellulare, in loro possesso”, spiega Dal Checco.
Grazie al SIM swapping possono autorizzare la registrazione del dispositivo sull’app bancaria.
“Se la banca consente di registrare l’app su un dispositivo grazie a un SMS, siamo vulnerabili”, spiega Dal Checco.
La prova con BNL
Abbiamo provato con BNL. Il servizio clienti ci ha spiegato che si possono registrare fino a due dispositivi e poi bisogna confermare cliccando su un messaggio che la banca manda via SMS o mail.
Certo hanno bisogno anche dei dati di accesso “statici” (numero cliente, PIN) all’e-banking, ma li possono ottenere tramite phishing e i dati presi da Facebook e altri social servono anche a questo scopo. Per confezionare SMS o mail truffa più credibili. “Ma quei dati possono servire per fare social engineering anche sulla banca e così farsi dare le credenziali”, dice Dal Checco.
Con quei dati si fa anche SIM swapping, facendo social engineering su un rivenditore dell’operatore oppure corrompendolo (com’è capitato).
Se abbiamo già registrato il numero massimo di dispositivi consentiti dalla banca siamo più protetti; ma dal servizio clienti BNL ci spiegano che è possibile comunque chiamarli per ottenere il cancellamento di un dispositivo già registrato. Di nuovo, tornano utili i dati sottratti all’utente, per social engineering sulla banca.
Quali soluzioni
Come risolvere? “Alcune banche, come Intesa SanPaolo, stanno introducendo domande addizionali, come ‘il nome del tuo gatto’, che pongono nuove barriere alla registrazione di dispositivi sull’app da parte dei criminali”, dice Dal Checco.
“La vera soluzione sarebbe fare la registrazione solo di persona, ma pochi clienti sono disposti a farlo. Oppure, dotarli tutti di una chiavetta che autorizzi la registrazione del dispositivo. In questo modo il criminale dovrebbe mettere mani anche sulla chiavetta per poter completare il furto”, spiega.
Una soluzione che comporta nuovi costi e forse anche una scomodità di utilizzo da parte di utenti meno esperti; e comunque la scomodità di andare in banca per ottenere la chiavetta, come si faceva una volta prima degli smartphone.
Nessun rimborso dalla banca
Ricordiamo infine che l’attuale giurisprudenza mostra difficoltosa la via del rimborso dalla banca in caso in cui è il correntista a cedere ai truffatori i propri dati di accesso al conto, abboccando al phishing.
Truffa online: ecco quando la banca rimborsa in caso di phishing
