Numero di cellulare rubato, come difendersi dai malfattori

smartphone sicurezza lucchetto e chiavi privacy

Scritto da

Redazione Pianetacellulare

il

Un nuovo tipo di frode basato sul rubare il numero di telefono cellulare tramite lo scambio di SIM sta prendendo piede, si chiama ‘SIM swap’. Attenzione a chi utilizza l’SMS come secondo metodo di verifica per l’accesso agli account online. Esistono soluzioni alternative? Quali sono i segnali che potrebbero indicare che il proprio numero di cellulare è stato rubato? Proviamo a rispondere a queste e ad altre domande.

Lo smartphone sta diventando un mezzo molto potente non solo dal punto di vista hardware ma anche a livello di attrattiva agli occhi dei malintenzionati in quanto contenitore di un sacco di informazioni e dati personali. Se però non riescono a fare vittime persone semplicemente rubando il loro smartphone grazie ai sistemi di sblocco sempre più avanzati, come quelli basati sul riconoscimento biometrico, c’è da preoccuparsi delle nuove frodi basate sullo scambio di SIM, dall’inglese ‘SIM swap‘ o ‘SIM swapping‘. Si verificano nel momento in cui un malintenzionato ruba il numero di telefono di un’altra persona a sua insaputa con lo scopo di utilizzarlo per provare ad accedere alle sue e-mail, ai suoi conti contrente, ai suoi profili social e altri account online.

Perché il numero di cellulare rubato può rivelarsi un rischio per gli account online

Un malintenzionato può andare per tentativi perché anche rubando un numero di telefono non è detto che possa riuscire poi ad entrare negli account online della sua vittima. Dipende da che tipo di protezioni questa ha abilitato negli account online a cui è iscritto. L’account forse più importante è quello della posta elettronica. Potenzialmente, infatti, al malintenzionato basterebbe poter accedere alle e-mail della sua vittima per poter poi avere accesso a tutti gli account online registrati con quella mail. Come?
Semplicemente richiedendo un cambio di password per gli account in cui desidera entrare utilizzando lo strumento di recupero password messo a disposizione da tutti siti web che prevedono la gestione di account utente. Poi dipende dal livello di sicurezza che il singolo sito web ha attivato per consentire il cambio password. Tuttavia, la maggior parte dei siti invia una e-mail all’indirizzo registrato con un link per crearne una nuova senza ulteriori misure di sicurezza. 

E’ qui che entra in gioco l’autenticazione a due fattori. Poniamo il caso che un malintenzionato è riuscito ad avere la combinazione di username e password dell’account di posta elettronica della sua vittima. Se il titolare non ha impostato un secondo metodo di verifica il malintenzionato ha libero accesso alle sue e-mail. Invece, se il servizio di posta elettronica consente di abilitare l’autenticazione a doppia verifica e l’utente la ha abilitata il malintenzionato non ha ancora accesso alle e-mail. Se però l’utente ha impostato l’invio di un codice via SMS al proprio numero di telefono come secondo metodo di verifica, ecco che una frode basata sullo scambio SIM può permettere comunque al malintenzionato di accedere alle e-mail.

L’autenticazione a due fattori è importante per la sicurezza online ma è meglio non usare l’opzione ‘SMS’

Abbiamo già parlato in più di una occasione di come funziona l’autenticazione a due fattori. In breve, ricordiamo che impedisce l’accesso all’account sul quale è impostata tramite il solo inserimento della combinazione di username e password. Oltre a questa è richiesta una seconda verifica, che dipende dall’opzione scelta dall’utente al momento della configurazione. Il secondo passaggio di verifica più diffuso prevede l’invio di un codice univoco sul numero di telefono dell’utente.
Il codice viene inviato dopo il superamento del primo metodo di verifica (combinazione di username e password). Se non si inserisce questo codice l’accesso all’account non viene consentito. Se il malintenzionato è però riuscito a rubare il numero di telefono della sua vittima, l’SMS con il codice lo riceve lui e, quindi, può accedere liberamente all’account. E così via per tutti gli account per cui è impostato l’SMS come secondo metodo di verifica. Per esempio, molti account bancari utilizzano l’SMS come metodo di verifica: il malintenzionato potrebbe così avere accesso al conto corrente della sua vittima.

smartphone account conto corrente bancario accesso
SIM swap – il numero di cellulare rubato potrebbe essere un rischio per il conto corrente – PianetaCellulare.it (credit: panuwat phimpha/shutterstock)

Ma sarebbe così facile rubare un numero di telefono?

I dati che l’operatore dovrebbe chiedere alla persona che fa richiesta di nuova SIM mantenendo il numero di telefono della SIM rubata o smarrita potrebbero variare a seconda del paese. In Italia, per riavere lo stesso numero su una nuova SIM è possibile recarsi presso un negozio del proprio operatore con documento d’identità del richiedente, codice fiscale dell’intestatario (o della persona giuridica intestataria del contratto) e copia della denuncia rilasciata dalle competenti Autorità per furto o smarrimento. Vodafone specifica, inoltre, che non è possibile richiedere la sostituzione SIM attraverso una delega.
Tutto ciò significa che, se l’addetto del negozio svolge correttamente il suo lavoro, non può aiutare un malintenzionato a rubare il numero di telefono della sua vittima spacciandosi per l’intestatario del numero. E anche fosse solo una richiesta di passaggio del numero da SIM e eSIM, per esempio, il negoziante deve sempre chiedere un documento di riconoscimento e non affidarsi solo a dati trascritti o forniti a voce.

Consigli su come prevenire il furto del proprio numero di telefono

Per evitare di diventare vittima di SIM swap è consigliato evitare di inserire il proprio numero di telefono online dove non serve. Nel momento in cui si crea un account, anche su un sito web fidato, il consiglio è di non inserire il numero di telefono se non è obbligatorio inserirlo, limitandosi ad inserire i dati strettamente necessari per completare l’iscrizione. In questo modo se hacker violano un sito web potrebbero avere accesso al massimo a nome, cognome e indirizzo mail, non anche al numero di cellulare.
Attenzione poi al pishing: non fidarsi di e-mail sospette che invitano a ‘cliccare qui’ per aggiornare i dati di un account o e-mail. Si potrebbe finire in un sito che invita a lasciare i propri dati per poi essere rubati. Un tipico esempio di pishing sono le e-mail che informano di un finto pacco in giacenza con l’invito a lasciare i propri dati personali per farlo recapitare. Se si sta aspettando un pacco per un acquisto effettuato online è bene affidarsi esclusivamente al codice di tracking fornito dall’e-commerce a spedizione avvenuta.

Un altro utile consiglio è di evitare di impostare l’invio di un codice via SMS come secondo metodo per l’autenticazione in due passaggi, se possibile. Sempre più siti web che permettono di impostare l’autenticazione a due fattori consentono di impostare come secondo metodo di verifica un’app di autenticazione (come Google Authenticator o Microsoft Authenticator) con invio del codice di verifica sull’app configurata sul proprio smartphone o altro device. Più raro, alcuni siti web consentono di impostare un token di sicurezza fisico, con il codice di verifica accessibile da un dispositivo che possiede l’utente (ne esistono di vario tipo). Configurando uno di questi due metodi, dunque, un malintenzionato non può accedere all’account anche se ha rubato il numero di cellulare della sua vittima.

Ricapitolando: i consigli in sintesi

In breve, ai proprietari di account online che permettono di abilitare l’autenticazione a due fattori il consiglio è di abilitare questo potente strumento di sicurezza. A chi, invece, ha già account online con abilitato questo metodo di verifica in due passaggi è consigliato verificare il secondo metodo di autenticazione impostato e, se prevede l’invio di un codice via SMS, meglio cambiarlo con un altro tra quelli disponibili (preferibilmente app di autenticazione o token di sicurezza).

Non è un caso se Twitter nel 2023 ha annunciato la sua decisione di disabilitare il metodo basato sull’invio di un codice temporaneo via SMS per l’autenticazione in due passaggi per garantire maggiore protezione degli account. Google nel 2016 ha aggiunto un metodo di verifica basato su notifica che può inviare su altri dispositivi associati allo stesso accountFacebook nel 2017 ha introdotto il supporto dei token di sicurezza come secondo metodo di verifica. Qui, invece, spieghiamo come abilitare l’autenticazione a doppia verifica su Instagram. Amazon è dal 2015 che offre l’autenticazione a due fattori.

Per maggiori informazioni sull’attacco SIM swap e ulteriori consigli su come prevenire spiacevoli conseguenze quando il proprio numero di cellulare viene rubato vi invitiamo a leggere l’approfondimento dedicato di Kaspersky Security: www.kaspersky.it/resource-center/threats/sim-swapping

Copyright © 2023 pianetacellulare.it proprietà di GFG POWERWEB S.R.L Partita iva/registro imprese: 16140301009
Sede legale: Via della Batteria Nomentana 26 Roma (RM) 00162 Email aziendale: gfg.powerweb@gmail.com Codice destinatario: M5UXCR1

Disclaimer

Privacy policy

Impostazioni privacy