Pensi di fare tutte le mosse giuste. Sei intelligente con la tua sicurezza. Hai l’autenticazione a due fattori abilitata su tutti i tuoi account. Ma gli hacker hanno un modo per aggirare questo: lo scambio di SIM.
È un metodo di attacco devastante con conseguenze disastrose per coloro che ne sono vittime. Fortunatamente, ci sono modi per proteggerti. Ecco come funziona e cosa puoi fare.
Sommario:
Che cos’è un attacco di scambio di SIM?
Non c’è niente di intrinsecamente sbagliato nello “scambio di SIM”. Se perdi il telefono, il tuo operatore eseguirà uno scambio SIM e sposterà il tuo numero di cellulare su una nuova scheda SIM. È un’attività di routine del servizio clienti.
Il problema è che hacker e criminali organizzati hanno scoperto come indurre le compagnie telefoniche a eseguire scambi di SIM. Possono quindi accedere agli account protetti dall’autenticazione a due fattori basata su SMS (2FA).
All’improvviso, il tuo numero di telefono viene associato al telefono di qualcun altro. Il criminale riceve quindi tutti i messaggi di testo e le telefonate destinati a te.
L’autenticazione a due fattori è stata concepita in risposta al problema delle password trapelate. Molti siti non riescono a proteggere adeguatamente le password. Usano l’hashing e il salting per impedire che le password vengano lette nella loro forma originale da terze parti.
Ancora peggio, molte persone riutilizzano le password su diversi siti. Quando un sito viene violato, un utente malintenzionato ora ha tutto ciò di cui ha bisogno per attaccare account su altre piattaforme, creando un effetto valanga.
Per motivi di sicurezza, molti servizi richiedono che le persone forniscano una speciale password monouso (OTP) ogni volta che accedono a un account. Queste OTP vengono generate al volo e sono valide una sola volta. Inoltre scadono dopo poco tempo.
Per comodità, molti siti inviano queste OTP al tuo telefono in un messaggio di testo, che ha i suoi rischi. Cosa succede se un malintenzionato può ottenere il tuo numero di telefono, rubando il tuo telefono o effettuando uno scambio di SIM? Ciò offre a quella persona un accesso quasi illimitato alla tua vita digitale, inclusi i tuoi conti bancari e finanziari.
Quindi, come funziona un attacco di scambio SIM? Bene, dipende dal fatto che l’aggressore induca un dipendente della compagnia telefonica a trasferire il tuo numero di telefono su una scheda SIM che controlla. Questo può accadere per telefono o di persona in un negozio di telefoni.
Per fare ciò, l’aggressore deve conoscere un po ‘della vittima. Fortunatamente, i social media sono pieni di dettagli biografici che potrebbero ingannare una domanda di sicurezza. La tua prima scuola, animale domestico o amore e il nome da nubile di tua madre possono essere trovati tutti sui tuoi account social. Ovviamente, se fallisce, c’è sempre il phishing.
Gli attacchi di scambio di SIM sono coinvolti e richiedono tempo, rendendoli più adatti per incursioni mirate contro un particolare individuo. È difficile tirarli fuori su larga scala. Tuttavia, ci sono stati alcuni esempi di diffusi attacchi di scambio di SIM. Una banda della criminalità organizzata brasiliana era in grado di scambiare SIM 5.000 vittime per un periodo di tempo relativamente breve.
Una truffa “port-out” è simile e comporta il dirottamento del tuo numero di telefono “portandolo” a un nuovo operatore di telefonia mobile.
Chi è più a rischio?
A causa dello sforzo richiesto, gli attacchi di scambio di SIM tendono ad avere risultati particolarmente spettacolari. Il motivo è quasi sempre finanziario.
Recentemente, gli scambi di criptovaluta e i portafogli sono stati obiettivi popolari. Questa popolarità è aggravata dal fatto che, a differenza dei servizi finanziari tradizionali, non esiste uno storno di addebito con Bitcoin. Una volta inviato, non c’è più.
Inoltre, chiunque può creare un portafoglio di criptovaluta senza doversi registrare presso una banca. È quanto di più vicino si possa ottenere l’anonimato quando si tratta di denaro, il che rende più facile riciclare i fondi rubati.
Una vittima ben nota che ha imparato questo nel modo più duro è Investitore di Bitcoin, Michael Tarpin, che ha perso 1.500 monete in un attacco di scambio di SIM. Questo è accaduto poche settimane prima che Bitcoin raggiungesse il suo valore più alto di tutti i tempi. A quel tempo, il patrimonio di Tarpin valeva oltre $ 24 milioni.
Quando il giornalista di ZDNet, Matthew Miller, è stato vittima di un attacco di scambio di SIM, l’hacker ha cercato di acquistare $ 25.000 in Bitcoin usando la sua banca. Fortunatamente, la banca è stata in grado di annullare l’addebito prima che il denaro lasciasse il suo conto. Tuttavia, l’aggressore è stato ancora in grado di distruggere l’intera vita online di Miller, inclusi i suoi account Google e Twitter.
A volte, lo scopo di un attacco di scambio di SIM è mettere in imbarazzo la vittima. Questa lezione crudele è stata appresa dal fondatore di Twitter e Square, Jack Dorsey, il 30 agosto 2019. Hackers ha dirottato il suo account e ha pubblicato epiteti razzisti e antisemiti nel suo feed, seguito da milioni di persone.
Come fai a sapere che ha avuto luogo un attacco?
Il primo segno di un account di scambio SIM è che la carta SIM perde tutti i servizi. Non potrai ricevere o inviare messaggi di testo o chiamate, né accedere a Internet tramite il tuo piano dati.
In alcuni casi, il tuo operatore telefonico potrebbe inviarti un messaggio di testo per informarti che lo scambio è in corso, pochi istanti prima di trasferire il tuo numero sulla nuova scheda SIM. Questo è quello che è successo a Miller:
“Alle 23:30 di lunedì 10 giugno, mia figlia maggiore mi ha scosso la spalla per svegliarmi da un sonno profondo. Ha detto che sembrava che il mio account Twitter fosse stato violato. Si scopre che le cose erano molto peggio di così.
Dopo essermi alzato dal letto, ho preso il mio Apple iPhone XS e ho visto un messaggio di testo che diceva: “Avviso T-Mobile: la scheda SIM per xxx-xxx-xxxx è stata cambiata. Se questa modifica non è autorizzata, chiama il 611. “”
Se hai ancora accesso al tuo account e-mail, potresti anche iniziare a vedere strane attività, incluse notifiche di modifiche all’account e ordini online che non hai effettuato.
Come dovresti rispondere?
Quando si verifica un attacco di scambio di SIM, è fondamentale intraprendere un’azione immediata e decisiva per evitare che le cose peggiorino.
Per prima cosa, chiama la tua banca e le società di carte di credito e richiedi un blocco dei tuoi conti. Ciò impedirà all’autore dell’attacco di utilizzare i tuoi fondi per acquisti fraudolenti. Dato che anche tu sei stato effettivamente vittima di un furto di identità, è anche consigliabile contattare le varie agenzie di credito e richiedere un congelamento del tuo credito.
Quindi, prova a “superare” gli aggressori spostando il maggior numero di account possibile su un nuovo account di posta elettronica non contaminato. Scollega il tuo vecchio numero di telefono e utilizza password complesse (e completamente nuove). Per gli account che non sei in grado di raggiungere in tempo, contatta il servizio clienti.
Infine, dovresti contattare la polizia e presentare una denuncia. Non posso dirlo abbastanza: sei vittima di un crimine. Molte polizze assicurative per i proprietari di case includono la protezione per il furto di identità. La presentazione di una denuncia alla polizia potrebbe consentirti di presentare un reclamo contro la tua polizza e recuperare dei soldi.
Come proteggersi da un attacco
Certo, prevenire è sempre meglio che curare. Il modo migliore per proteggersi dagli attacchi di scambio di SIM è semplicemente non utilizzare 2FA basato su SMS. Fortunatamente, ci sono alcune alternative interessanti.
Puoi utilizzare un programma di autenticazione basato su app, come Google Authenticator. Per un altro livello di sicurezza, puoi scegliere di acquistare un token di autenticazione fisico, come YubiKey o Google Titan Key.
Se devi assolutamente utilizzare 2FA basato su testo o chiamata, dovresti considerare di investire in una scheda SIM dedicata che non usi da nessun’altra parte. Un’altra opzione è utilizzare un numero di Google Voice, sebbene non sia disponibile nella maggior parte dei paesi.
Sfortunatamente, anche se utilizzi 2FA basato su app o una chiave di sicurezza fisica, molti servizi ti consentiranno di aggirarli e di riottenere l’accesso al tuo account tramite un messaggio di testo inviato al tuo numero di telefono. Servizi come la protezione avanzata di Google offrono maggiore sicurezza a prova di proiettile per le persone a rischio di essere presi di mira, “come giornalisti, attivisti, leader aziendali e team di campagne politiche”.