Truffa sim swap, i truffatori si procurano i dati di accesso con tecniche di hacking, poi con documenti falsi si fanno sostituire la sim
Truffa sim swap. Marcello La Bella, dirigente del compartimento di polizia postale della Sicilia Orientale, e che ha compiuto la prima operazione contro queste frodi, ha detto: “I truffatori si procurano le credenziali di home banking con tecniche di hacking. Poi con documenti falsi si fanno sostituire la sim. A quel punto messaggi e chiamate di verifica arrivano a chi sta commettendo il reato“.
E ha aggiunto: “È una tipologia di frode informatica articolata in vari passaggi. Una volta individuata la vittima si procede all’acquisizione delle credenziali di home banking tramite tecniche di hacking. Poi, utilizzando documenti falsi, si sostituisce la sim card della vittima, e attraverso lo stesso numero telefonico si ottengono dalla banca le credenziali per operare sul conto corrente online“.
Truffa sim swap: cos’è
Questa truffa informatica è legata all’entrata in vigore di una direttiva europea dedicata ai servizi di pagamento digitali, la “Psd2” (Payment Services Directive 2), che ha reso necessario un doppio fattore di autenticazione, in aggiunta a username e password dell’internet banking. Quasi tutti gli istituti bancari hanno deciso di puntare sull’autenticazione tramite un’applicazione su smartphone. L’introduzione di un passaggio ulteriore ha aumentato il livello di sicurezza, ma ha esposto a un altro tipo di rischio.
Il punto di partenza è il furto delle credenziali di home banking, che nella maggioranza dei casi avviene tramite il cosiddetto phishing: il caso classico è una mail che sembra provenire dalla nostra banca. Con tecniche di inganno differenti, ci viene chiesto di inserire le nostre credenziali, magari tramite il link a un sito che presenta la stessa interfaccia di quello della nostra banca, ma che in realtà è un falso. Inserendo il codice utente e la password, stiamo regalando le chiavi di accesso del nostro conto online.
Il cliente è responsabile della custodia delle credenziali: se viene provato che queste sono state acquisite tramite phishing, difficilmente la banca sarà tenuta a restituire la somma al correntista.
Quello che si può fare per difendersi è di non aprire mai i link contenuti in quelle mail in cui ci viene espressamente chiesto di inserire i dati del nostro internet banking. E poi è fondamentale aggiornare il sistema operativo dei dispositivi cui cui operiamo: molti attacchi avvengono tramite l’installazione di malware sul PC, e questo spesso accade perché non abbiamo aggiornato il sistema operativo e i browser con cui navighiamo.
Il racconto di una delle vittime
“Quei 50mila euro li avevamo appena ricavati dalla vendita della nostra attività: ora siamo disoccupati e dobbiamo chiedere prestiti per pagare gli avvocati. I soldi sono spariti dal conto corrente tramite 4 bonifici, ordinati con causali fantasiose.
Abbiamo provato a fare il richiamo delle operazioni, ma non è stato possibile. Il giorno dopo è scattata la denuncia e la polizia postale non ci ha messo tanto per capire che eravamo stati vittima di sim swap.
La mattina del 18 novembre ci accorgiamo dell’assenza di segnale sul suo telefono, che è quello legato al conto corrente aziendale. Da Tim ci rassicurano, dicono che si tratta di un errore nella configurazione, consigliano di spegnere e riaccendere il telefono, di farlo più volte. Lo stesso giorno abbiamo ricevuto un messaggio che confermava l’avvenuta disattivazione della sim, ma noi non avevamo fatto questa richiesta.
Da mesi, ogni giorno, passiamo ore tra le Poste e la nostra banca per avere informazioni: vogliamo capire se almeno un parte di quella cifra si può recuperare, ma nessuno ci ha ancora dato risposte. Con i tempi della giustizia italiana non sappiamo quando sarà possibile riavere i nostri soldi, ma intanto abbiamo debiti da pagare da una parte e spese legali dall’altra, e le nostre vite da portare avanti. Stiamo cercando un lavoro, ma siamo totalmente assorbiti da questa vicenda“.
Stefano Zanero (professore associato presso il Dipartimento di Elettronica, Informazione e Bioingegneria del Politecnico di Milano ed esperto di cyber sicurezza)
“Il cellulare viene identificato con la sim e chi ne entra fisicamente in possesso ha un grande vantaggio. Il numero di telefono infatti è anche il canale di comunicazione utilizzato dalle banche per notificare i movimenti e per fare eventuali controlli di sicurezza. In questo caso però messaggi e chiamate di verifica arrivano a chi sta commettendo il reato“.
Poi ha aggiunto: “Chi entra in possesso della sim ottiene l’accesso a tutte le comunicazioni legate ai pagamenti. Per intenderci: nel caso di un’operazione sospetta, come un bonifico molto consistente, la banca manda un sms al cliente per verificare che tutto sia regolare. Con l’attacco di sim swap, l’avviso arriva a chi ha rubato la sim. E se l’utente ha già presentato login e password corretti, il secondo fattore e anche il codice contenuto nel messaggio di avviso, è difficile dubitare della sua identità“.
Fonte: ilfattoquotidiano.it