La domanda è apparentemente strana, ma rispecchia un pericolo che purtroppo è costantemente sottovalutato.
Il rischio in questione è quello del “SIM Swapping”, che in termini pratici è la l’acquisizione fraudolenta di una scheda SIM che va operativamente a sostituire quella in uso a chi si ritrova vittima della frode.
La dinamica è semplice. Il criminale si presenta in un punto vendita con la fotocopia di un documento contraffatto e con quella di una denuncia che in realtà non è mai stata presentata ai Carabinieri o alla Polizia. Racconta di aver smarrito o di aver subito il furto di portafogli e telefonino e di aver necessità di una nuova SIM per rientrare in possesso del “suo” numero.
Nella quasi totalità dei casi, ahinoi, il rivenditore non chiama l’ufficio delle Forze dell’Ordine che avrebbe ricevuto la denuncia e così non si accorge che quel pezzo di carta è fasullo come pure la copia della patente o della carta di identità, che sono frutto di abili manipolazioni grafiche fatte con un computer e una buona stampante.
Fino ad oggi il “SIM swapping” costringeva i malfattori ad uscire di casa e rischiare un faccia a faccia con un negoziante solerte e rispettoso delle regole.
Adesso sono nate le eSIM (sigla che significa Embedded Subscriber Identity Module), ovvero microchip integrati negli smartphone che svolgono la medesima funzione delle tradizionali schede SIM fisiche, ma possono essere comodamente riprogrammati da remoto.
La novità, che ormai ha qualche mese di vita, garantisce una maggiore flessibilità commerciale ad apparente vantaggio anche per l’utente che può cambiare piano telefonico o utilizzarne di nuovi, ad esempio quando viaggia all’estero, senza dover rimpiazzare fisicamente la scheda SIM).
A guadagnarci più di tutti sono stati i banditi che non hanno perso tempo a sfruttare questa opportunità con finalità senza dubbio illegali.
Se Lucio Dalla canta “come fanno i marinai”, molti di noi si domandano come fanno – invece – i delinquenti ad agire in questo caso.
Il punto di partenza è quello di utilizzare la funzione di sostituzione o ripristino di una eSIM per trasferire il numero di telefono della vittima sul proprio dispositivo abilitato per eSIM.
Per mandare a segno il proprio colpo il primo passaggio è compromettere l’account mobile della vittima prescelta, adoperando credenziali rubate o facendo tentativi di “bruta forza” (tentando combinazioni di numero e possibili password fino ad indovinare quella giusta). Ottenuto l’accesso al dialogo con l’operatore in nome e per conto del malcapitato di turno, il brigante avvia autonomamente il trasferimento del numero della vittima su un altro smartphone.
L’operazione tutto sommato è semplice. Basta generare un codice QR tramite l’account mobile compromesso, così da adoperarlo per attivare una nuova eSIM sul dispositivo nelle mani sbagliate, in poche parole dirottando il numero mentre il legittimo proprietario si trova con la propria eSIM disattivata.
Non appena i criminali concludono il loro percorso malevolo ed acquisiscono il controllo del numero di cellulare del loro bersaglio, sono in grado di sostituirsi a lui in tutto e per tutto.
Tanto per cominciare lo sventurato, cui è stata virtualmente scippata la eSIM, si ritrova senza collegamento telefonico. Se usa il suo smartphone collegato ad una rete WiFi servendosi di WhatsApp o cose simili per comunicare, finisce con l’accorgersi del problema con enorme ritardo perché tutto gli sembra continuare a funzionare correttamente.
I furfanti possono così ricevere al posto del titolare di un conto corrente online tutti i codici OTP di verifica temporanea per i meccanismi di autenticazione a due fattori per una varietà di servizi. Tutte le sequenze e combinazioni segrete arrivano infatti al malfattore che ha la possibilità di mettere in atto qualunque operazione in danno della vittima.
La eSIM attivata fraudolentemente consente anche l’accesso alle funzionalità di messaggistica al posto della persona originale. La possibilità di trarre in inganno altre persone è estremamente alta, perché chiunque – vedendo il numero dell’interlocutore – penserà di avere a che fare con l’amico, il collega, il parente o comunque un soggetto affidabile…
La contromisura è banale e permette almeno di limitare i danni. Basta verificare che il proprio smartphone, come si diceva un tempo, “abbia ancora la linea”. Se ci si accorge che senza WiFi lo smartphone è morto, con un altro apparato ci si deve sbrigare ad allertare il proprio operatore telefonico di bloccare l’utenza e poi bisogna andare in fretta a presentare la denuncia dell’accaduto. Toccherà quindi stare attenti per il futuro a chi cercherà di contattarci per rubare quelle informazioni che servono per sostituirsi di nuovo a noi…
