Gli hacker informatici stanno usando le truffe della SIM card per rubare denaro e informazioni

SIM Swapping Attacks Let Scammers Steal Money and Information

La prima SIM card è stata sviluppata circa 29 anni fa, nel 1991. In questo momento, ci sono buone probabilità che ci sia almeno una SIM card molto vicino a te, e anche se raramente ci pensi molto, la vita senza questo piccolo chip di silicio incorporato in un pezzo di plastica sarebbe molto diverso. Quando si parla di comunicazione wireless, le carte SIM sono indispensabili e, negli ultimi anni, ci hanno anche aiutato a connetterci a Internet in viaggio. Non menzioneremo nemmeno gli eserciti di gadget Internet-of-Things abilitati alla SIM che stanno diventando sempre più comuni. impatto che le carte SIM hanno sulla nostra vita quotidiana è piuttosto consistente, ma potrebbe essere ancora più significativo se i truffatori decidessero di abusarne.

Scambio di SIM in azione

Il sito finanziario britannico ThisIsMoney.co.uk ha recentemente pubblicato la storia di Ryan Finnegan , uno scozzese di 37 anni che ha visto svuotarsi il suo conto in banca dopo un attacco di scambio di SIM. Abbiamo discusso di scambi di SIM in passato e la storia di Ryan Finnegan mostra quanto sia spietatamente efficace questa tecnica.

Tutto è iniziato quando il signor Finnegan ha ricevuto un messaggio di testo da Tesco Mobile, il suo fornitore di servizi di comunicazione mobile, ringraziandolo per aver contattato il servizio clienti della telco. Il fatto era che non aveva effettivamente contattato nessuna persona del servizio clienti. Chiamò Tesco Mobile che gli disse che qualcosa di sospetto poteva davvero accadere, ma poiché non era nulla di visibilmente sbagliato nel suo account, non era motivo di preoccuparsi.

Il consiglio "non preoccuparti" era brutto. Poco dopo, ha ricevuto un altro sms, questa volta da TSB, la sua banca. Stava confermando la sua registrazione bancaria online, il che era strano considerando il fatto che in precedenza aveva deciso di non utilizzare il sistema bancario online. Prima che potesse reagire, i truffatori avevano sottratto 2.500 sterline dal conto bancario del signor Finnegan.

Telco e il loro ruolo nello scambio di SIM

In passato abbiamo parlato di come la maggior parte degli attacchi informatici faccia affidamento su semplici ingegneria sociale piuttosto che su hacker sofisticati e exploit zero-day. Quando i criminali decidono di fare scherzi mentali, tuttavia, spesso si rivolgono direttamente alla vittima. Con lo scambio di SIM, usano le loro abilità di ingegneria sociale nei reparti di assistenza clienti delle società di telecomunicazioni.

Il compito di uno swapper della SIM è convincere il fornitore di servizi a trasferire il numero della vittima su un altra scheda SIM. Come potete vedere dal caso di Mr. Finnegan, questo permette loro di impersonare obiettivo e fare ogni sorta di danno, tra cui bypassare autenticazione a due fattori e rubare denaro.

In passato, il trasferimento di un numero di telefono a una nuova scheda SIM significava andare nell ufficio della telco e fornire una qualche forma di ID. Per motivi di comodità, le società di telecomunicazioni ora ti permettono di farlo per telefono, anche se il numero da cui chiami non è quello che stai cercando di spostare.

Durante le loro indagini, ThisIsMoney.co.uk ha chiesto ad alcuni dei principali fornitori di servizi mobili del Regno Unito circa le procedure quando un numero viene trasferito per telefono. Tesco Mobile ha preferito non commentare, ma il rapporto suggerisce che ruota intorno a una domanda di sicurezza. Nel caso del signor Finnegan, la domanda era "qual è il tuo colore preferito?" a quanto pare, e gli swappers della SIM hanno fatto cinque chiamate consecutive al servizio clienti prima che indovinassero correttamente la risposta. Nonostante ciò, Tesco Mobile non è riuscito a individuare nulla di sospetto.

Il resto dei fornitori di servizi ha risposto a ThisIsMoney.co.uk, e molti di loro hanno rivelato di fare affidamento anche su domande di sicurezza. I difetti di questo particolare meccanismo di autenticazione sono stati discussi in modo considerevole. In effetti, la maggior parte delle società di telecomunicazioni richiede informazioni aggiuntive prima di consentire il trasferimento del numero, ma anche così, nell era dei social network, la semplice presenza di domande di sicurezza come mezzo per verificare identità di un utente non è accettabile.

Cosa possono fare gli utenti per lo scambio di SIM?

Ryan Finnegan ha finito per riavere i suoi soldi, che è una buona notizia, ma è giusto dire che molti altri come lui non saranno così fortunati. In ogni caso, prevenire un attacco è meno stressante che provare a recuperare da esso. Che cosa si può fare?

Come sempre, il primo passo è conoscere la minaccia e rendersi conto che è davvero molto reale. È facile pensare che i truffatori non si preoccupino di Joe Average, ma Action Fraud, un servizio di segnalazione dei crimini informatici britannico, ha registrato circa 550 SIM di successo nello swapping di attacchi nel giro di tre anni, il che dimostra che "non accadrà per me "la mentalità non ti farà alcun favore.

Scopri come il tuo fornitore di servizi di telecomunicazione gestisce i trasferimenti del numero di telefono e considera cosa puoi fare per sfruttare al meglio i meccanismi che ti sono stati imposti. A volte, non puoi sfuggire alle domande sulla sicurezza, ma puoi renderle un po più utili per proteggere i tuoi dati. È improbabile che i truffatori indovino, ad esempio, che il nome del tuo cane è "monossido diidrogeno".

Ultimo ma non meno importante, stai attento a qualcosa di sospetto e, se noti qualcosa di sbagliato, non perdere tempo a segnalarlo ai fornitori responsabili.

February 26, 2019
Caricamento in corso...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.