Il tuo telefono smette di funzionare. Nel frattempo, il criminale riceve i tuoi SMS, i codici OTP e prende il controllo dei tuoi account. Tutto perche' ha convinto l'operatore a trasferire il tuo numero.
Il SIM swapping (o SIM swap) e un attacco in cui il criminale convince il tuo operatore telefonico a trasferire il tuo numero di cellulare su una SIM in suo possesso. Da quel momento, tutti gli SMS e le chiamate destinate a te arrivano a lui.
Perche e cosi pericoloso? Perche moltissimi servizi usano gli SMS come secondo fattore di autenticazione. La tua banca ti manda un codice OTP via SMS. La tua email aziendale usa il telefono per la verifica in due passaggi. Se il criminale riceve quei codici al posto tuo, puo accedere a tutto: conti bancari, email, cloud aziendale, social media.
L'aspetto piu inquietante? L'attacco non sfrutta una vulnerabilita tecnica. E puro social engineering: il criminale chiama l'operatore, si spaccia per te, racconta una storia convincente (“Ho perso il telefono, devo trasferire il numero sulla nuova SIM”) e l'operatore esegue. Nessun codice da craccare, nessun firewall da superare.
Un attacco di SIM swapping richiede preparazione. Ecco le fasi:
L'attaccante raccoglie dati sulla vittima: nome completo, data di nascita, codice fiscale, indirizzo, numero di telefono. Queste informazioni arrivano da data breach precedenti, profili social, email di phishing o documenti rubati. Piu informazioni ha, piu credibile sara la sua richiesta all'operatore.
Il criminale chiama o va in un negozio dell'operatore. Si identifica come la vittima e chiede il trasferimento del numero su una nuova SIM. La scusa? “Ho perso il telefono”, “Mi hanno rubato il cellulare”, “La SIM non funziona piu”. Con i dati personali giusti, l'operatore esegue la richiesta.
Quando il trasferimento va a buon fine, la SIM della vittima viene disattivata. Il telefono perde il segnale, non puo piu fare chiamate ne ricevere SMS. La vittima pensa a un problema di rete. Nel frattempo, tutti gli SMS e le chiamate arrivano sulla SIM del criminale.
Con il numero sotto controllo, il criminale avvia il reset della password sulla casella email, sulla banca online, sul profilo social. Il codice OTP via SMS arriva a lui. In pochi minuti puo prendere il controllo di tutti gli account della vittima che usano la verifica via SMS. L'account takeover e completo.
Il SIM swapping non e un attacco diretto alla posta elettronica. Ma l'email e quasi sempre coinvolta — prima, durante e dopo:
Le informazioni personali usate per convincere l'operatore spesso vengono rubate tramite email di phishing. L'attaccante manda un'email alla vittima per ottenere codice fiscale, data di nascita o gli ultimi numeri della carta.
Con il numero sotto controllo, il criminale fa il reset della password dell'email aziendale. Il codice OTP arriva via SMS sulla sua SIM. In pochi secondi ha accesso alla casella di posta.
Con la casella email compromessa, il criminale puo lanciare attacchi BEC verso colleghi e clienti: fatture false, richieste di bonifico urgenti, email che sembrano arrivare dal CEO.
L'email e il “master key” digitale. Chi controlla la tua email puo resettare la password di qualsiasi altro servizio. Il SIM swapping e spesso solo il primo passo di una catena di attacco molto piu lunga.
perdite da SIM swapping segnalate all'FBI nel solo 2021 (fonte: IC3)
aumento dei casi di SIM swapping negli ultimi 3 anni a livello globale
il tempo medio tra il SIM swap e il primo account compromesso dalla vittima
In Italia, diversi casi hanno coinvolto dirigenti aziendali e professionisti. Il Garante Privacy ha segnalato il SIM swapping come una delle tecniche di frode in crescita nel nostro paese, particolarmente pericolosa per chi usa l'SMS come unico secondo fattore di autenticazione.
MailSniper non puo impedire il trasferimento della SIM — quello dipende dal tuo operatore. Ma puo tagliare la catena di attacco che porta al SIM swapping e limitare il danno se avviene:
Consiglio pratico
Abbandona l'SMS come secondo fattore di autenticazione. Usa app come Microsoft Authenticator, Google Authenticator o, meglio ancora, una security key hardware (YubiKey). L'SMS e il metodo 2FA piu debole perche vulnerabile al SIM swapping.
L'autenticazione multi-fattore via SMS e vulnerabile al SIM swapping. Le app e le security key sono alternative piu sicure.
Il SIM swapping si basa interamente sul social engineering verso l'operatore telefonico.
Il SIM swapping e uno dei metodi per ottenere un account takeover completo.
Un'altra minaccia che sfrutta il telefono: phishing via SMS, spesso combinato con SIM swapping.