Il Federal Bureau of Investigation ha avvertito di un’impennata degli schemi di scambio del modulo di identità degli abbonati (SIM) che hanno inflitto perdite per 68 milioni di dollari lo scorso anno, un aumento considerevole rispetto ai 12 milioni di dollari del 2020.
La maggior parte delle persone è consapevole dei vari pericoli che si nascondono negli angoli oscuri del mondo online, come malware o schemi di phishing. Quando i criminali riescono con uno di questi attacchi, di solito si tratta di una vittima che fa clic erroneamente su un collegamento o installa un’app dannosa. Gli attacchi di scambio di SIM, tuttavia, possono aver luogo senza alcun input da parte della vittima, il che li rende ancora più pericolosi.
Nella maggior parte degli attacchi di scambio di SIM, i criminali riescono a convincere gli operatori di telefonia mobile a passare un numero a una nuova carta SIM, garantendo loro l’accesso ai conti bancari, ai conti in valuta virtuale e ad altre informazioni sensibili delle vittime, compromettendo l’autenticazione a più fattori.
“Gli attori criminali conducono principalmente schemi di scambio di SIM utilizzando tecniche di ingegneria sociale, minacce interne o phishing”, afferma l’FBI. “L’ingegneria sociale coinvolge un attore criminale che impersona una vittima e inganna l’operatore di telefonia mobile facendogli cambiare il numero di cellulare della vittima in una scheda SIM in possesso del criminale”.
Quando chiamate, SMS e altri tipi di dati vengono reindirizzati al nuovo telefono, i criminali possono assumere il controllo inviando richieste di “Password dimenticata” o “Recupero dell’account” all’e-mail o agli account online delle vittime. Tutti i passaggi in questi schemi SIM saltano la vittima, che spesso scopre quando è troppo tardi.
La FBI ha inoltre emesso le seguenti raccomandazioni:
· Non pubblicizzare informazioni su risorse finanziarie, inclusi la proprietà o l’investimento di criptovaluta, sui siti Web e sui forum dei social media.
· Non fornire le informazioni sull’account del numero di cellulare per telefono ai rappresentanti che richiedono la password o il PIN dell’account. Verifica la chiamata componendo la linea del servizio clienti del tuo operatore di telefonia mobile.
· Evitare di pubblicare informazioni personali online, come numeri di cellulare, indirizzi o altre informazioni di identificazione personale.
· Utilizzare una varietà di password univoche per accedere agli account online.
· Prestare attenzione a eventuali modifiche alla connettività basata su SMS.
· Utilizzare potenti metodi di autenticazione a più fattori come dati biometrici, token di sicurezza fisici o applicazioni di autenticazione per accedere agli account online.
· Non memorizzare password, nomi utente o altre informazioni per un facile accesso alle applicazioni per dispositivi mobili.
Mentre i gestori di telefonia mobile hanno implementato molte misure di sicurezza che li aiutano a identificare il chiamante come proprietario dei numeri, l’ingegneria sociale a volte è sufficiente per consentire ai criminali di scoprire di cosa hanno bisogno. L’FBI consiglia inoltre alle aziende di adottare alcune misure preventive:
· Educare i dipendenti e condurre sessioni di formazione sullo scambio di SIM.
· Ispezionare attentamente gli indirizzi e-mail in arrivo contenenti corrispondenza ufficiale per leggere modifiche che possono far sembrare gli indirizzi fraudolenti legittimi e assomigliare ai nomi dei clienti reali.
· Impostare severi protocolli di sicurezza che consentano ai dipendenti di verificare in modo efficace le credenziali dei clienti prima di modificare i propri numeri su un nuovo dispositivo.
· Autenticare le chiamate dei rivenditori autorizzati di terze parti che richiedono informazioni sui clienti.
