Tecnologia

Truffa sim swap, usare lo smartphone per accedere al conto vi sembra comodo? Anche ai pirati informatici

Un tempo la parola fatata era “Sim sala bim” e chi – bambino negli anni settanta – era affascinato dai giochi di prestidigitazione di Silvan sa che quell’espressione significa “Che la magia si compia”. Oggi l’attenzione è concentrata su “Sim swap scam”, dizione legata ad una terrificante dinamica fraudolenta che fa perno sulla telefonia mobile e semina il panico tra chi adopera il proprio smartphone non solo per telefonare.

Nel momento storico in cui la sicurezza fa affidamento sulla “autenticazione a due fattori” e sulla “doppia verifica”, l’orizzonte si rabbuia improvvisamente e le previsioni “meteo” segnalano l’arrivo di burrasche sui più rasserenanti metodi di pagamento e sui più blindati sistemi di utilizzo dei conti correnti online.

Tramontato l’uso della semplice password – troppo facile ad essere indovinata o carpita – qualcuno aveva intravisto una solida possibilità di sicurezza nell’inoltro di un messaggio di testo o di una chiamata sul telefonino del soggetto abilitato a pagare o ad eseguire un bonifico.

Le intenzioni fraudolente si materializzano sfruttando una dinamica abbastanza usuale cui fa ricorso chi ha smarrito il proprio smartphone (o magari gli è stato rubato) o quando si passa ad utilizzare un nuovo telefonino. L’operatore telefonico – in quelle circostanze – ha modo di trasferire senza grandi problemi il numero di telefono su una diversa Sim del proprio abbonato. Purtroppo quell’operazione – congegnata per dare supporto al cliente – può essere attivata in modo truffaldino da un malintenzionato che si è ben organizzato per compiere il misfatto.

Il bandito comincia la sua opera con un massiccio rastrellamento di informazioni personali sul conto della vittima designata, procedendo a setacciare i social, agganciandola con mail di phishing, agendo con tecniche di persuasione (o di social engineering come direbbero i più appassionati di bricconate) magari dopo aver stabilito una amicizia o un contatto su qualche piattaforma di aggregazione.

Una volta preso possesso di tutti i dati necessari per rubare l’identità del malcapitato di turno, il brigante entra in contatto con il fornitore di servizi di telefonia mobile e – mettendo a frutto la propria abilità verbale ad “intortare” l’interlocutore – prova a convincere la compagnia telefonica a trasferire il numero dell’utenza dello sventurato preso di mira. Il racconto accorato della perdita dello smartphone caduto nel vano di corsa dell’ascensore del palazzo di casa oppure la narrazione drammatica del rocambolesco scippo non di rado sortiscono l’effetto di commuovere chi oltre il bancone del punto vendita o alla postazione dell’apposito call center può procedere alla “deviazione”.

La verifica dei dati personali dell’interessato ovviamente si schianta con la disponibilità da parte del delinquente di ogni informazione che dovrebbe essere conosciuta soltanto dall’interessato. Se poi gli accorgimenti “furbetti” non dovessero bastare, le organizzazioni criminali che praticano con successo questo “sport” sanno di poter contare sulla eventuale collaborazione di dipendenti infedeli delle società di telecomunicazioni che – dietro adeguato compenso – non esitano a prestarsi al gioco magari operando dalla postazione di un collega momentaneamente assente e inconsapevole di quel che un domani gli verrà attribuito.

Effettuata questa fraudolenta transizione il telefono della vittima perderà la connessione e rimarrà isolato dalla Rete. Chiamate e messaggi non andranno perduti (sarebbe troppo bello!) ma verranno recapitati al malandrino che – in questa maniera – riceverà password o codici di sicurezza singolarmente abbinati ad operazioni che richiedono una specifica autorizzazione del soggetto titolare di una posizione bancaria o di un account su qualsivoglia sito o social.

Con questo sistema è stato gabbato persino il numero uno di Twitter, Jack Dorsey, e non esclusivamente comuni mortali colpevoli soltanto della loro “innocenza” dinanzi alle diavolerie tecnologiche. Se pensiamo che il cellulare – complice la recente entrata in vigore della direttiva comunitaria dedicata ai servizi di pagamento digitali (la Payment Services Directive 2, o PSD2 che dir si voglia) – ha pressoché mandato in pensione i “token” fisici (che la gente lasciava a casa in un cassetto e non perdeva in giro per la città), non c’è da stare eccessivamente tranquilli.

L’aver optato per la progressiva eliminazione dei “vecchi” generatori di codici e per il passaggio ad applicazioni sui comuni smartphone ha regalato una duplice sensazione di comodità e di sicurezza. Impressione sbagliata? No. I pirati informatici hanno effettivamente trovato comodo questo passaggio evolutivo dei servizi bancari erogati a distanza e i casi di operazioni indebite aumentano inevitabilmente di giorno in giorno.

Mentre gli istituti di credito avranno già messo in campo esperti e consulenti per rimediare a simili evenienze, chi teme di incappare in simili disavventure è bene che corra ai ripari magari rivolgendosi al proprio gestore telefonico per evitare malaugurate sostituzioni di persona.

Sempre che la soluzione sia praticabile (ogni operatore TLC ha sue procedure), è opportuno chiedere che l’accesso all’account, le modifiche contrattuali e il cambio della carta Sim vengano vincolati alla digitazione di un Pin o di un codice segreto che difficilmente viene sgraffignato dai fetenti digitali. Al momento può funzionare…