Un tempo la parola fatata era โSim sala bimโ e chi โ bambino negli anni settanta โ era affascinato dai giochi di prestidigitazione di Silvan sa che quellโespressione significa โChe la magia si compiaโ. Oggi lโattenzione รจ concentrata su โSim swap scamโ, dizione legata ad una terrificante dinamica fraudolenta che fa perno sulla telefonia mobile e semina il panico tra chi adopera il proprio smartphone non solo per telefonare.
Truffa sim swap, usare lo smartphone per accedere al conto vi sembra comodo? Anche ai pirati informatici
Intermezzo promozionale ... continua la lettura dopo il box:
Usufruisci di uno sconto per fare un CONTROLLO DELLA REPUTAZIONE PERSONALE o AZIENDALE [ click qui ]
Nel momento storico in cui la sicurezza fa affidamento sulla โautenticazione a due fattoriโ e sulla โdoppia verificaโ, lโorizzonte si rabbuia improvvisamente e le previsioni โmeteoโ segnalano lโarrivo di burrasche sui piรน rasserenanti metodi di pagamento e sui piรน blindati sistemi di utilizzo dei conti correnti online.
Tramontato lโuso della semplice password โ troppo facile ad essere indovinata o carpita โ qualcuno aveva intravisto una solida possibilitร di sicurezza nellโinoltro di un messaggio di testo o di una chiamata sul telefonino del soggetto abilitato a pagare o ad eseguire un bonifico.
Le intenzioni fraudolente si materializzano sfruttando una dinamica abbastanza usuale cui fa ricorso chi ha smarrito il proprio smartphone (o magari gli รจ stato rubato) o quando si passa ad utilizzare un nuovo telefonino. Lโoperatore telefonico โ in quelle circostanze โ ha modo di trasferire senza grandi problemi il numero di telefono su una diversa Sim del proprio abbonato. Purtroppo quellโoperazione โ congegnata per dare supporto al cliente โ puรฒ essere attivata in modo truffaldino da un malintenzionato che si รจ ben organizzato per compiere il misfatto.
LEGGI ANCHE
Truffa sim swap, โcosรฌ attraverso il numero di telefono ci hanno svuotato il contoโ. I rischi nascosti nelle nuove procedure di sicurezza
Il bandito comincia la sua opera con un massiccio rastrellamento di informazioni personali sul conto della vittima designata, procedendo a setacciare i social, agganciandola con mail di phishing, agendo con tecniche di persuasione (o di social engineering come direbbero i piรน appassionati di bricconate) magari dopo aver stabilito una amicizia o un contatto su qualche piattaforma di aggregazione.
Una volta preso possesso di tutti i dati necessari per rubare lโidentitร del malcapitato di turno, il brigante entra in contatto con il fornitore di servizi di telefonia mobile e โ mettendo a frutto la propria abilitร verbale ad โintortareโ lโinterlocutore โ prova a convincere la compagnia telefonica a trasferire il numero dellโutenza dello sventurato preso di mira. Il racconto accorato della perdita dello smartphone caduto nel vano di corsa dellโascensore del palazzo di casa oppure la narrazione drammatica del rocambolesco scippo non di rado sortiscono lโeffetto di commuovere chi oltre il bancone del punto vendita o alla postazione dellโapposito call center puรฒ procedere alla โdeviazioneโ.
La verifica dei dati personali dellโinteressato ovviamente si schianta con la disponibilitร da parte del delinquente di ogni informazione che dovrebbe essere conosciuta soltanto dallโinteressato. Se poi gli accorgimenti โfurbettiโ non dovessero bastare, le organizzazioni criminali che praticano con successo questo โsportโ sanno di poter contare sulla eventuale collaborazione di dipendenti infedeli delle societร di telecomunicazioni che โ dietro adeguato compenso โ non esitano a prestarsi al gioco magari operando dalla postazione di un collega momentaneamente assente e inconsapevole di quel che un domani gli verrร attribuito.
Effettuata questa fraudolenta transizione il telefono della vittima perderร la connessione e rimarrร isolato dalla Rete. Chiamate e messaggi non andranno perduti (sarebbe troppo bello!) ma verranno recapitati al malandrino che โ in questa maniera โ riceverร password o codici di sicurezza singolarmente abbinati ad operazioni che richiedono una specifica autorizzazione del soggetto titolare di una posizione bancaria o di un account su qualsivoglia sito o social.
Intermezzo promozionale ... continua la lettura dopo il box:
Con questo sistema รจ stato gabbato persino il numero uno di Twitter, Jack Dorsey, e non esclusivamente comuni mortali colpevoli soltanto della loro โinnocenzaโ dinanzi alle diavolerie tecnologiche. Se pensiamo che il cellulare โ complice la recente entrata in vigore della direttiva comunitaria dedicata ai servizi di pagamento digitali (la Payment Services Directive 2, o PSD2 che dir si voglia) โ ha pressochรฉ mandato in pensione i โtokenโ fisici (che la gente lasciava a casa in un cassetto e non perdeva in giro per la cittร ), non cโรจ da stare eccessivamente tranquilli.
Lโaver optato per la progressiva eliminazione dei โvecchiโ generatori di codici e per il passaggio ad applicazioni sui comuni smartphone ha regalato una duplice sensazione di comoditร e di sicurezza. Impressione sbagliata? No. I pirati informatici hanno effettivamente trovato comodo questo passaggio evolutivo dei servizi bancari erogati a distanza e i casi di operazioni indebite aumentano inevitabilmente di giorno in giorno.
Mentre gli istituti di credito avranno giร messo in campo esperti e consulenti per rimediare a simili evenienze, chi teme di incappare in simili disavventure รจ bene che corra ai ripari magari rivolgendosi al proprio gestore telefonico per evitare malaugurate sostituzioni di persona.
Sempre che la soluzione sia praticabile (ogni operatore TLC ha sue procedure), รจ opportuno chiedere che lโaccesso allโaccount, le modifiche contrattuali e il cambio della carta Sim vengano vincolati alla digitazione di un Pin o di un codice segreto che difficilmente viene sgraffignato dai fetenti digitali. Al momento puรฒ funzionareโฆ
Nota: in passato avevo trattato qualcosa sulla pesca di soggetti cui veniva scippato il conto (magari si puรฒ agganciare al pezzo di oggi quando parlo di social engineering)
Fonte :
Umberto Rapetto
Giornalista, scrittore e docente universitario
