Le tattiche dei criminali informatici non solo sono innumerevoli, ma tendono a ripresentarsi periodicamente. È il caso dello “SIM swapping” che sta tornando, per così dire, di moda, e su cui Axitea, Global Security Provider, tende a richiamare l’attenzione degli utenti e delle aziende.
L’attacco è possibile perché le compagnie telefoniche fanno corrispondere il numero di telefono ad una determinata SIM fisica mediante un collegamento di tipo logico che può essere modificato immediatamente e senza difficoltà per gestire facilmente le problematiche di SIM perdute, difettose o indisponibili.
Ma cosa succede se un hacker riesce a fingersi il legittimo proprietario e richiede al provider di associare un’altra SIM ad un determinato numero telefonico? Tutto il traffico telefonico (compresi gli SMS) verrà convogliato verso la nuova SIM posseduta dall’hacker.
Come spiega Roberto Leone, SOC Manager di Axitea: “Se l’attacco riesce, non solo sarà compromessa la confidenzialità dei dati relativi al traffico telefonico e messaggistico della vittima (si pensi a quante informazioni ormai viaggiano su WhatsApp …), ma anche i suoi accessi a molti servizi telematici, anche critici.”
“La recrudescenza di questi attacchi è dovuta anche al fatto che gli SMS (o le chiamate vocali da sistemi automatici) sono ormai spesso usati come secondo fattore di autenticazione per moltissimi servizi, bancari, finanziari, e altri”, spiega ancora Leone.
Le difese sono legate solo alle procedure di sicurezza del provider e alla capacità della vittima di accorgersi immediatamente dell’attacco. Il primo aspetto dipende dal livello di awareness dell’azienda telefonica e dalla sua cultura di sicurezza. Ormai tutti i provider consentono di chiedere il cambio di SIM online o telefonicamente, ma l’autenticazione di chi si collega via web o telefona può avvenire in modo più o meno rigoroso.
Lato utente, l’unico segnale di allarme è costituito dalla perdita improvvisa delle funzionalità telefoniche del cellulare, che però può facilmente essere scambiato per un problema tecnico del provider.
La soluzione consigliata è quella di non utilizzare più gli SMS come secondo sistema di autenticazione, ma di affidarsi alle app di autenticazione o ancora meglio a token hardware. Non a caso già dal 2016 il NIST americano “sconsigliava” gli SMS come sistema di autenticazione forte.
