Samy Bensaci, un hacker di 18 anni è stato arrestato a Montreal, in Canada, e accusato di aver rubato 50 milioni di dollari in valute digitali con un SIM swap hack. La tecnica che ha usato è un sistema che richiede un’attenta pianificazione, oltre a furti e truffe a vari livelli.
Che cos’è un hack di SIM swap (o Port Out)?
La tecnica di scambio della SIM è diventata famosa pochi mesi fa quando lo stesso fondatore di Twitter, Jack Dorsey, ha riconosciuto che il suo account era stato rubato usando questo sistema.
Lo scambio di SIM consiste nell’utilizzare una scheda SIM duplicata dal telefono della vittima, per rubare tutti i suoi dati. Se hai una scheda SIM duplicata e conosci l’indirizzo email della vittima, puoi chiedere una modifica della password. Gmail ti invia un codice di verifica SMS al cellulare e il criminale informatico riceve questo SMS, perché ha una copia della scheda SIM. Google considera valida l’identificazione e l’hacker può modificare la password e assumere il controllo dell’account.
La chiave di questa tecnica è come l’hacker ottiene questa carta duplicata. Puoi andare in un negozio di telefonia, chiamare l’helpdesk o utilizzare i servizi online per richiederlo, ma per questo hai bisogno di alcune informazioni personali. Gli operatori di solito chiedono il tuo documento d’identità o altre informazioni identificative per darti una copia della tua carta SIM, se affermi che è stata rotta o l’hai smarrita.
Ecco l’abilità: l’hacker ottiene questi dati attraverso il phishing della vittima, o di un familiare o un amico che può fornire all’hacker informazioni adeguate, oppure l’hacker cerca di ingannare il commesso del negozio facendogli una copia senza fornirgli i dati richiesti, oppure utilizzando dati falsi. Un altro modo sarebbe avere un complice che lavora per un operatore.
Come ha scelto le sue vittime?
La tecnica utilizzata da Samy Bensaci per acquisire carte SIM duplicate non è stata resa pubblica. Quello che si sa è che con questi dati in suo possesso (ha ottenuto i dati di diverse persone), ha avuto accesso alle loro e-mail e ai conti bancari e ha ottenuto le chiavi dei portafogli di criptovaluta. In totale ha rubato circa $ 50 milioni.
Si è scoperto che tutti avevano qualcosa in comune: tutti hanno partecipato al Consensus 2018, una conferenza sulle criptovalute che si è svolta a New York. Sicuramente lì li ha contattati e ha ottenuto i loro indirizzi e-mail, nomi e alcune altre informazioni che gli sono state utili.
È vietato utilizzare qualsiasi dispositivo con connessione a Internet
Samy Bensaci è stato salvato con CA $ 200.000 fino a quando il processo non si terrà, ma è vietato utilizzare dispositivi che dispongono di connessione a Internet (“Qualsiasi computer, tablet, telefono cellulare, console di gioco, inclusi PS3, PS4, Xbox, Nintendo Switch o qualsiasi altro dispositivo in grado di accedere a Internet”), il suo passaporto è stato sequestrato dalle autorità in modo che non possa lasciare il paese, e gli viene ordinato di vivere sotto la custodia dei suoi genitori a North Montreal dalla Corte di giustizia dell’Ontario. Il tribunale gli ha anche vietato di possedere o scambiare qualsiasi forma di criptovaluta.
Bensaci è stato descritto da una fonte della polizia come uno dei “principali sospettati” in un’indagine americana su un circolo molto attivo di pirati, che nella primavera del 2018 hanno rapinato dozzine di persone negli Stati Uniti e in Canada.
Come proteggersi da una truffa di scambio di SIM?
È necessario proteggere i dati personali dagli hacker, poiché è necessario per ottenere una copia della scheda SIM. La tua data di nascita, il numero di telefono, le password sono sufficienti per tale truffa, quindi puoi nascondere queste informazioni sui tuoi account di social media, utilizzare l’autenticazione a due fattori su tutti i tuoi account ove possibile.
Dovresti anche riconoscere i segni di frode, ad esempio se la tua linea telefonica smette di funzionare o ricevi un SMS che il tuo numero è stato messo in servizio con un altro fornitore o stai ricevendo password o messaggi di cambio e-mail, di quanto potresti essere una vittima di un hack per lo scambio di SIM. Contatta le autorità e informale.