Note 20 banner big

Le tattiche dei criminali informatici non solo sono innumerevoli, ma tendono a ripresentarsi periodicamente. Così esordisce Axitea, specializzata nella sicurezza, per introdurre il caso dello “Sim swapping”. L’attacco è possibile perché i gestori telefonici fanno corrispondere il numero di telefono ad una determinata Sim fisica mediante un collegamento di tipo “logico” (ossia basato su un approccio informatico) che può essere modificato immediatamente e senza difficoltà per gestire facilmente alcune delle problematiche più diffuse, per esempio nel caso di sostituzione di schede telefoniche perse, difettose o indisponibili. 

Axitea però si chiede: cosa succede se un hacker riesce a fingersi il legittimo proprietario e richiede al provider di associare un’altra Sim ad un determinato numero telefonico? Tutto il traffico telefonico (compresi gli Sms) sarà convogliato verso la nuova Sim posseduta dall’hacker. Come spiega Roberto Leone, Soc Manager di Axitea: “Se l’attacco riesce, non solo sarà compromessa la confidenzialità dei dati relativi al traffico telefonico e messaggistico della vittima (si pensi a quante informazioni ormai viaggiano su WhatsApp), ma anche i suoi accessi a molti servizi telematici, anche critici.”

Sim: un ritorno al passato

“La recrudescenza di questi attacchi è dovuta anche al fatto che gli Sms (o le chiamate vocali da sistemi automatici) sono ormai spesso usati come secondo fattore di autenticazione per moltissimi servizi, bancari, finanziari, e altri”, spiega ancora Leone. Le difese sono legate solo alle procedure di sicurezza del provider e alla capacità della vittima di accorgersi immediatamente dell’attacco. Il primo aspetto dipende dal livello di consapevolezza dell’azienda telefonica e dalla sua cultura di sicurezza. Ormai tutti i provider consentono di chiedere il cambio di SIM online o telefonicamente, ma l’autenticazione di chi si collega via web o telefona può avvenire in modo più o meno rigoroso.

Lato utente, l’unico segnale di allarme è costituito dalla perdita improvvisa delle funzionalità telefoniche del cellulare, che però può facilmente essere scambiato per un problema tecnico del provider. La soluzione consigliata è quella di non utilizzare gli Sms come secondo sistema di autenticazione, ma di affidarsi alle app specifiche o ancora meglio a token hardware. Già dal 2016 l’Istituto statunitense per gli standard e la tecnologia (Nist) sconsiglia l’utilizzo degli SMS come sistema di autenticazione “forte”.