In questo articolo scopriremo una delle peggiori truffe di schede SIM che ci siano: scambio di SIM. Se il tuo cellulare non è più coperto, temere: viene utilizzata una nuova frode telefonica nota come “ scambio di SIM ” in modo che un cyberattaccante duplichi il nostro numero di telefono e utilizzi quel sistema per usurpare la nostra identità, autenticarci nella nostra banca e derubarci tutti i soldi.
Il CEO di Twitter è caduto vittima di truffe sulla scheda SIM
Ci sono già vittime di una frode che è stata utilizzata per altri scopi: a Jack Dorsey, co-fondatore di Twitter, è stato rubato il suo account di servizio con lo stesso sistema, il che evidenzia ancora una volta la debolezza di meccanismi come i messaggi SMS per due- sistemi di autenticazione a fasi. In origine erano una buona opzione, ma come abbiamo detto in passato, è molto più consigliabile utilizzare applicazioni di autenticazione indipendenti, e non gli SMS che sono sempre più vulnerabili in questo settore.
Cosa NON dovresti fare per impedire lo scambio della scheda SIM?
Ci sono due chiari problemi qui: primo, ordinare una SIM duplicata è relativamente semplice. In secondo luogo, che l’uso degli SMS come sistema per proporre l’autenticazione a due o due fattori (2FA) è stato a lungo vulnerabile a vari attacchi, e questo è solo l’ultimo – ma probabilmente il più preoccupante – di tutti. .
Questo tecnica permette di aggirare le misure di sicurezza che pongono il mobile come strumento di verifica della nostra identità, e questo è pericoloso come abbiamo visto in ambito economico, ma anche in tanti altri scenari.
Stiamo temporaneamente disattivando la possibilità di twittare tramite SMS o messaggio di testo per proteggere gli account delle persone.
– Supporto Twitter (@TwitterSupport) 4 settembre 2019
È stato dimostrato in questi giorni quando il co-fondatore e CEO di Twitter Jack Dorsey ha subito un attacco simile che ha improvvisamente causato la comparsa di messaggi offensivi e razzisti sul suo account Twitter (@jack) che sono stati successivamente cancellati.
Lo scambio della scheda SIM potrebbe provocare il furto di identità
Il problema era dovuto a quel furto di identità che aveva causato un operatore telefonico negli Stati Uniti – non si specifica quale – consentiva all’aggressore di ottenere un duplicato della SIM di Dorsey, che a sua volta consentiva a questo malintenzionato di utilizzare la funzione di Posting su Twitter tramite messaggi SMS era una delle caratteristiche originali del servizio.
I messaggi offensivi hanno suscitato una reazione immediata da parte di Dorsey, che ha annunciato che Twitter stava disabilitando la consegna dei messaggi alla piattaforma tramite SMS.
Proteggiti dallo scambio di SIM: come impedire lo scambio di SIM?
Il problema con questo attacco informatico è che ha due facce ampiamente separate, entrambe con una propria soluzione interdipendente: se le due non vengono risolte, il problema continuerà.
Il primo è in coloro che gestiscono tali informazioni, gli operatori, che dovrebbero essere molto più esigenti quando si tratta di fornire duplicati di una scheda SIM. I controlli di identità qui dovrebbero essere completi per evitare i problemi che si sono verificati con questi casi.
Anche le banche, gli istituti finanziari e qualsiasi altra piattaforma che utilizza ancora gli SMS come sistema di autenticazione in due fasi hanno compiti in sospeso. È un metodo popolare e conveniente, ma come abbiamo visto è molto vulnerabile da molto tempo, come sottolineato dall’esperto di sicurezza Bruce Schneier. È per questo motivo che tutte queste aziende dovrebbero sradicare gli SMS dai loro sistemi di autenticazione in due passaggi e utilizzare altre alternative.
Usa 2FA / U2F contro l’attacco di scambio SIM
Tra le più consigliate in questo momento ci sono le applicazioni di autenticazione che sostituiscono gli SMS e possono essere installate sui nostri cellulari. Microsoft Authenticator, Google Authenticator o Authy sono tra i più conosciuti e, se possiamo usarli, la piattaforma con cui lavoriamo deve supportare questa opzione, sono molto più sicuri dell’autenticazione tramite SMS.
Ancora più interessanti sono le chiavi U2F (Universal 2nd Factor keys), uno standard di autenticazione aperto che fa uso di chiavi fisiche e che ha come ultima implementazione lo standard FIDO2. Produttori come Yubico sono ben noti per queste soluzioni, ma anche Google recentemente ha voluto entrare in questo segmento con le sue chiavi di sicurezza Titan, sebbene di recente abbia annunciato che un telefono Android potrebbe anche diventare una chiave di sicurezza.