In questa tecnica, i criminali riescono a farsi fare una copia della SIM del telefonino della vittima, usando i suoi dati e documenti trovati online per spacciarsi per la vittima e chiedere all’operatore telefonico una SIM sostitutiva. Ricevuta la SIM, il criminale la usa sul proprio telefonino, che comincia a ricevere le telefonate e gli SMS della vittima.
Lo scopo è intercettare in particolare gli SMS che contengono i codici di sicurezza dei servizi bancari o quelli dell’autenticazione a due fattori usata dagli account Internet, per esempio di mail e social network, e prenderne il controllo.
La vittima si accorge dell’attacco solo quando nota che non riceve più chiamate o messaggini, oppure quando vede che non riesce più a entrare nei propri account o trova il conto bancario svuotato.
I danni economici causati da questo tipo di attacco sono notevoli: i singoli furti bancari portavano nelle tasche dei ladri da 6000 a 137.000 euro e l’ammontare complessivo è stato di oltre 3 milioni di euro. Il tempo medio di esecuzione di un attacco era inferiore alle due ore.
La difesa, spiega Naked Security, si basa su alcuni punti fondamentali:
- Attenzione alle mail o ai siti che chiedono nomi e password.
- Evitate risposte ovvie alle domande di sicurezza.
- Usate un antivirus che controlli in tempo reale gli accessi.
- Se il vostro telefonino va in modalità “solo chiamate d’emergenza” senza motivo apparente, preoccupatevi.
- Usate un’app di autenticazione a due fattori, come Authy o Google Authenticator, invece degli SMS di sicurezza.
- Non fidatevi di qualunque telefonata di sedicenti addetti alla sicurezza che vi chiedono di confermare i codici che ricevete.