Conosciuto anche come “SIM swap scam“, si tratta di un attacco niente affatto nuovo, una truffa che certamente implica dei potenziali grandi problemi. Se ne sente sempre più parlare non solo sul web ma pure sul classico mezzo mainstream (TV e giornali) perché questo tipo di attacco è tornato di moda anche a causa di tutti quei gestori di servizi che si ostinano a utilizzare l’invio di SMS come metodo per una corretta autenticazione a due fattori (dove il messaggio sul tuo smartphone è il secondo fattore necessario a varcare l’ingresso del servizio). Lascia che ti spieghi con parole quanto più semplici possibili di cosa si tratta e come puoi – per quanto limitatamente – proteggerti.

SIM Swapping: di cosa si tratta

Si tratta di uno “scambio alla pari” non perché una SIM valga l’altra ma perché – sai bene – qualsiasi numero può essere facilmente assegnato a una SIM “vergine” di ogni operatore nazionale. È tutto ciò che sta alla base della possibilità di portarsi dietro un numero di telefono a vita, è il tuo, nessuno – a meno che tu non lo voglia – potrà mai togliertelo se continuerai a tenerlo attivo, a prescindere che il tuo operatore sia fisico o virtuale, conosciuto o meno. È una vera e propria associazione tra identità fisica (la carta SIM) e digitale (numero di telefono).

Se da un lato della medaglia c’è la corretta pratica di portabilità del tuo numero telefonico, sull’altra “dark side of the moon” si nasconde la possibilità per un malintenzionato di effettuare la medesima operazione pur non essendo il reale proprietario della SIM (e quindi del numero di telefono).

La portabilità del numero – operazione che implica un SIM Swapping – esiste anche per delle operazioni più d’uso comune come possono essere il furto o danneggiamento della tua SIM attuale oppure, come accaduto molto spesso in passato, la sostituzione per ottenere un formato più piccolo e adatto a smartphone di ultima generazione (ti ricordo, non sapendo se tu hai attraversato queste fasi ora che stai leggendo questo articolo, che siamo passati dalla SIM tradizionale alla Nano-SIM facendo tappa per la Micro-SIM, vedi it.wikipedia.org/wiki/Carta_SIM#Specifiche_tecniche_e_formati).

Tutto ciò che ti ho detto fino a ora è assolutamente lecito, permesso e giusto. Posso non essere particolarmente d’accordo con l’attuale regolamentazione un pelo troppo permissiva, ma la storia non cambia.

Attualmente non è infatti obbligatorio chiedere i documenti a chi vuole effettuare un cambio SIM a patto che ci si presenti in un negozio dell’operatore (o multi-mandatario) muniti dell’oggetto fisico, mi è stato detto (quando ho effettuato il cambio SIM di Ilaria poco tempo fa) che era tutto lecito poiché avevo la SIM da sostituire tra le mie mani, questo ne attestava automaticamente la proprietà (la reale proprietaria di quel pezzo di plastica era mia moglie, come da documenti firmati qualche tempo prima). Quegli stessi documenti sono però richiesti in caso di cambio di contratto o attivazione di nuovi servizi. Da quanto mi risulta non vengono effettuati dei giusti controlli nemmeno se si dichiara di aver smarrito la SIM quando si vuole cambiare operatore, una cosa – a mio discutibile giudizio – gravissima.

Immagina che tu voglia provare a portare a termine l’operazione telefonicamente perché magari impossibilitato a raggiungere fisicamente il negozio, ti basterà dare gli estremi di un documento di riconoscimento valido e il codice fiscale, seguito dall’ICCID della carta SIM originale e quello di “destinazione” (en.wikipedia.org/wiki/SIM_card#ICCID). Hai tutti gli ingredienti necessari all’operazione di “cambio carta“, il SIM Swapping. In teoria questa operazione non può e non deve essere portata a compimento telefonicamente senza la possibilità di riconoscimento visivo della persona ma – ti assicuro – può succedere, per certi versi più in ambito aziendale di quanto si possa fare nel privato. Uno degli uffici in azienda si occupa – tra le varie cose – di gestire tutto ciò che gravita intorno alla fonia (e dati) in mobilità, richiede cambi carta un giorno sì e l’altro pure per i più disparati motivi (il più banale potrebbe essere il dipendente che sbaglia PIN e PUK bloccando in maniera irreversibile la SIM) e l’operazione viene eseguita in circa 10 minuti, la SIM vecchia perde rete e quella nuova la aggancia portando con sé il vecchio numero di telefono.

Perché me ne stai parlando?

È da ieri mattina che circola la notizia riguardante il furto dati di ho-mobile, l’operatore virtuale low-cost di Vodafone con circa 2 milioni e mezzo di clienti attivi, il quale però non conferma – allo stato attuale – l’accaduto. Paolo Attivissimo ne ha parlato in un articolo (in costante aggiornamento) che trovi all’indirizzo attivissimo.blogspot.com/2020/12/annunciata-senza-conferme-la-violazione.html, non è difficile trovarne molti altri sulle principali testate giornalistiche italiane (online) e in una miriade di altri siti web amatoriali e non.

Nonostante quanto affermi Vodafone in merito, sembrano esserci delle conferme (post-verifica) riguardo quei dati rilasciati come “prova del furto“, disponibili su una nota di Pastebin che non voglio in alcun modo diffondere in questo articolo ma che ancora esiste ed è raggiungibile pubblicamente (non è difficile trovarla, credimi).

I can unfortunately confirm that the data leak seems legit since one of the victims confirmed the informations shared in the forum thread

— ReverseBrain (@ReverseBrain) December 29, 2020

Perché è grave?

Tralasciando quanto fatto o detto fino a ora da Vodafone, in attesa di delucidazioni inattaccabili, è evidente che l’operazione di SIM Swapping non autorizzata può portare a dei seri problemi riguardo i propri account. Pensaci bene: la tua email è generalmente uno scrigno ricco di riferimenti, accessi e chissà quanti altri dati che ti collegano a decine di servizi tra cui – per esempio – il conto bancario. Ora immagina che dall’altro lato ci sia un utente in grado di effettuare operazioni poco simpatiche come ottenere accesso alla tua casella di posta elettronica che – fortunatamente – è protetta da un accesso a due fattori che però, come ultima spiaggia per il recupero / cambio password, chiederà oltre all’attuale parola chiave d’accesso anche un codice che verrà inviato a mezzo SMS o telefonata al tuo numero di telefono principale. Sei già arrivato alla possibile conclusione? Ecco.

Questo non vale solo con la posta elettronica (anche se – fossi dall’altro lato – sarebbe probabilmente la prima cosa che attaccherei), è una condizione di pericolo in cui molti servizi ci costringono a vivere scegliendo una forma di autenticazione o recupero delle credenziali che rende protagonista il nostro numero di telefono, dando per scontato che questo sia inattaccabile e sempre associato al reale proprietario. Ciò non è realmente corretto perché è stato più volte dimostrato quanto l’invio di un SMS costituisca una soluzione assai debole per l’autenticazione a due fattori, attaccabile, intercettabile, un castello che poggia su basi di pasta frolla.

Come posso difendermi?

Ottima domanda. Non c’è una risposta precisa che possa metterti al riparo da qualcuno che decide di romperti le scatole. Se dall’altro lato c’è una persona mediamente capace e/o un operatore accondiscendente che per qualche spicciolo sotto banco è disposto a effettuare l’operazione senza fare troppe domande (ti stupirebbe sul serio?), è chiaro che potresti diventare attore protagonista “non voluto” di una storia dai risvolti potenzialmente imprevedibili.

È vero che in caso di richiesta portabilità l’operatore è solito inviare più messaggi SMS per segnalarti le tempistiche, è altrettanto vero però che per l’operazione di SIM Swapping questa pratica non è quella utilizzata, te lo posso assicurare. Il cambio carta viene richiesto e ottenuto facendo un passaggio da un ICCID all’altro senza star lì a perdere troppo tempo. È chiaro che un dipendente dell’operatore dovrebbe avere la certezza che a chiedere tale operazione sia esclusivamente il proprietario del numero o un responsabile del cliente in ambito corporate, eppure io non darei per scontato alcunché.

Le regole da adottare sono quindi quelle più volte citate nei miei articoli passati:

• cerca sempre di evitare come la peste l’autenticazione a due fattori che richiede un messaggio SMS come secondo dei due fattori di riconoscimento, preferisci sempre l’utilizzo di un’applicazione come Google Authenticator, Authy (consigliato) o 1Password (consigliato con riserva, nel senso che per alcuni servizi è sempre bene preferire l’uso di Password Manager separato dai token generati per la 2FA).
• Utilizza una chiave di autenticazione hardware in tuo possesso ove possibile, è una pratica spesso scelta (fortunatamente) da alcuni istituti bancari per garantire l’accesso al conto al solo intestatario dello stesso, si parla quindi di U2F (Universal 2nd Factor) e non più 2FA, appoggiandosi a dispositivi YubiKey o qualsiasi alternativa faccia parte della FIDO Alliance, vedi fidoalliance.org/how-fido-works.
• Evita che la banca utilizzi sistemi di invio codici d’accesso a mezzo email o SMS, cerca di preferire l’approvazione dell’accesso tramite applicazione ufficiale. Ci sono istituti bancari che chiedono la password, un codice numerico da te scelto (e sporadicamente modificato) e – infine – un’approvazione tramite applicazione ufficiale installata su smartphone. Tre verifiche che richiedono maggiori sforzi per poter essere affrontate da uno sconosciuto.

In linea generale, e questo esula dalle regole spicciole sopra riportate, il consiglio è sempre quello di evitare di sponsorizzare poi troppo il proprio benestare (beato te) usando Social Network e simili. Hai un wallet BitCoin? Buon per te, tienilo riservato, non c’è bisogno che altri lo sappiano. Hai un conto corrente su “Banca Galattica” all’interno del quale tieni le tue vagonate di soldi guadagnati girando e caricando video stupidi su YouTube? Altrettanto contento per i tuoi successi, non devi però necessariamente sbandierarlo ai quattro venti.

Ti ricordo che in passato (e tutt’oggi ancora) ci sono stati decine di casi di furto in casa facilitati dalla pubblicazione di belle fotografie catturate in splendidi posti, durante le vacanze, il momento perfetto durante il quale tu stesso stai testimoniando di non trovarti presso la tua residenza, un tappeto di benvenuto per qualsiasi malintenzionato. Chiaramente non è questo il caso specifico ma voglio farti capire che l’ostentare porta molto spesso a diventare bersagli di gente che ha molto tempo libero a disposizione e nessuna voglia di chiederti scusa, per certi versi è quindi anche peggiore.

Ultimo, ma non certo per importanza, è l’occhio: il tuo smartphone è sempre agganciato a una cella del tuo operatore telefonico mobile. Se improvvisamente perdi quell’aggancio e non risolvi il problema neanche riavviando lo smartphone (e sei certo di trovarti in una zona coperta dal servizio, mi raccomando) allora è possibile che ci sia un problema da segnalare immediatamente al call center dell’operatore (o un qualsiasi negozio dello stesso, magari vicino a dove ti trovi in quel momento), un cambio carta non richiesto da te può essere immediatamente bloccato e “invertito nella rotta” (con un nuovo cambio carta).

Cosa fare in merito all’accaduto ho-mobile? Allo stato attuale non credo ci sia bisogno di allarmarsi (soprattutto perché Vodafone deve dare un esito chiaro e preciso sull’eventuale inconveniente) ma tieni gli occhi sempre bene aperti e – se non ti senti tranquillo – opta per il cambio carta sullo stesso operatore o cambia quest’ultimo se pensi esista una migliore offerta rispetto a quella che hai in questo momento. L’amico Massimo ha nel frattempo fatto il giro di ogni suo account personale cambiando il numero di telefono da utilizzare in caso di necessità (l’ultima spiaggia di cui ti parlavo prima, ricordi?), è certamente una buona soluzione da adottare per dormire dei sonni un pelo più tranquilli.

L’area commenti è nel frattempo a tua disposizione se vuoi approfondire l’argomento o se vuoi segnalarmi delle inesattezze (o possibili miglioramenti) dell’articolo.

#StaySafe