Attacco di scambio SIM: come gli hacker si impossessano del tuo numero di telefono
Il tuo numero di telefono è, in modo discreto, la chiave principale del tuo denaro. La tua banca, la tua email, il tuo exchange di criptovalute si affidano tutti a questo numero per verificare la tua identità, solitamente tramite l'invio di un codice via SMS. Un attacco di SIM swapping si impossessa di questa chiave e la consegna a uno sconosciuto, spesso nel tempo necessario a notare che il segnale sullo schermo è sceso a "Nessun servizio". Quando riesci a riconnetterti, l'aggressore potrebbe aver già reimpostato le tue password e svuotato i tuoi conti. Per chi possiede criptovalute, il danno è ancora maggiore: una volta che le monete escono da un portafoglio, nessuno può recuperarle.
Questa guida spiega cos'è un attacco SIM swap, come funziona passo dopo passo, perché è diventato lo strumento preferito per rubare criptovalute e le poche modifiche che effettivamente lo contrastano.
Cos'è un attacco SIM swap e perché funziona
Un attacco di SIM swap è una frode di acquisizione dell'account che sfrutta un punto debole dell'autenticazione a due fattori: il messaggio di testo . La tua SIM, acronimo di Subscriber Identity Module, è il piccolo chip che collega il tuo numero di cellulare al tuo telefono. In un attacco di SIM swap, l'aggressore non tocca mai il tuo dispositivo. Piuttosto, convince il tuo operatore di telefonia mobile a trasferire il tuo numero su una nuova scheda SIM in suo possesso. Nel momento in cui lo scambio viene completato, tutte le chiamate e i messaggi di testo a te destinati, inclusi i codici di sicurezza, arrivano sul suo telefono.
Ecco il punto che viene frainteso. Non si tratta di un attacco hacker al telefono né di un algoritmo di crittografia violato. Si tratta di un attacco al servizio clienti. La debolezza sfruttata è la persona all'interno dell'operatore telefonico e la falsa convinzione che il controllo di un numero di telefono dimostri l'identità. Eliminando il gergo tecnico, lo scambio di SIM consiste semplicemente nel convincere un'azienda a cedere il tuo numero, per poi utilizzarlo per accedere a tutti i servizi protetti da quel numero. I ricercatori di sicurezza classificano le truffe di scambio di SIM come furto d'identità, e a ragione. L'attaccante non è interessato solo ai tuoi soldi; per un certo periodo di tempo possiede la tua intera identità digitale, tutto instradato attraverso un normale account di telefonia mobile che credevi fosse solo tuo.
Come funziona un attacco di SIM swapping, passo dopo passo
Quasi tutti i casi seguono le stesse tre fasi, e nessuno di essi richiede competenze di hacking avanzate. Richiedono pazienza e una storia convincente.
Fase 1: Raccolta delle informazioni personali
Innanzitutto, l'attaccante crea un profilo della vittima. Estrae informazioni personali da vecchi data dump di violazioni di dati venduti sul dark web, da email di phishing che inducono la vittima a inserire i propri dati e dai suoi profili social. Una data di nascita qui, il nome di un animale domestico lì, le ultime quattro cifre di una carta di credito da un database trapelato, e ha abbastanza dettagli personali per poterla impersonare durante una telefonata. Più contenuti ha pubblicato pubblicamente, più economico sarà questo passaggio. La maggior parte di questi dati personali non è stata rubata di recente. Sono trapelati anni fa in qualche violazione di dati dimenticata, e l'attaccante si limita a riassemblare i pezzi sparsi in un quadro convincente.
Passaggio 2: Impersonare te presso il corriere
Successivamente, si spacciano per te presso il tuo operatore di telefonia mobile. A volte si tratta di una telefonata con una storia preconfezionata su un telefono smarrito o rotto. Altre volte si presentano di persona in un negozio con un documento d'identità falso. Nei casi peggiori, l'aggressore corrompe o recluta un dipendente dell'operatore, trasformando l'intera difesa in un unico complice disonesto. Questa è ingegneria sociale, non programmazione, e funziona perché il personale dell'assistenza clienti è addestrato a essere disponibile e a smaltire le code.
Fase 3: Lo scambio e l'acquisizione
Una volta che l'operatore attiva la nuova SIM – il momento cruciale dell'intero attacco – il tuo telefono reale perde ogni copertura. A questo punto, l'attaccante ha il controllo del numero. Accede alla tua email o al tuo account Exchange, clicca su "password dimenticata" e lascia che il codice di reimpostazione arrivi tramite SMS. Intercetta l'SMS, reimposta la password e ottiene l'accesso. Con la tua email sotto controllo, può procedere a cascata con tutti gli altri account ad essa collegati. Il controllo completo dell'account può avvenire in pochi minuti, molto prima che la maggior parte delle persone si renda conto del motivo per cui il proprio telefono è diventato inattivo.
Perché lo scambio di SIM è una macchina per il furto di criptovalute
Molti attacchi possono svuotare un conto bancario, ma le banche possono annullare i trasferimenti fraudolenti. Le criptovalute sono diverse, ed è proprio questa differenza che spiega perché uno scambio di SIM sia così devastante in questo settore della finanza.
L'autenticazione a due fattori tramite SMS rappresenta il singolo punto di fallimento
La maggior parte degli exchange permette ancora agli utenti di proteggere il proprio account con un codice inviato tramite SMS. Questa soluzione sembra sicura finché non ci si rende conto che l'intera difesa si basa su un unico presupposto: che solo tu riceva i messaggi. Un attacco di SIM swapping invalida completamente questo presupposto. Un codice intercettato permette di reimpostare le credenziali di accesso e l'autenticazione a due fattori tramite SMS, che dovrebbe essere la tua rete di sicurezza, diventa la porta aperta. L'attaccante non ha bisogno della tua password se può reimpostarla tramite il tuo numero di telefono. Peggio ancora, lo stesso trucco vanifica la password stessa, perché molti exchange consentono di recuperarla dimenticata tramite SMS. Il codice SMS non è affatto un secondo sistema di sicurezza; è l'unico sistema di sicurezza e il SIM swapping detiene la chiave. Persino le istituzioni vengono colpite: nel 2024, l' account X della SEC è stato violato tramite SIM swapping e utilizzato per pubblicare una falsa approvazione di un ETF su Bitcoin che ha brevemente scosso il mercato.
Irreversibile per sua stessa natura
Una banca può bloccare un bonifico e annullare un addebito. Una blockchain no. Una volta che un hacker sposta le tue criptovalute in un portafoglio sotto il suo controllo, il trasferimento è definitivo, senza possibilità di storno e senza un servizio di assistenza clienti a cui rivolgersi. Questa irreversibilità è una caratteristica delle criptovalute, ma trasforma un semplice scambio di SIM in una perdita permanente, motivo per cui gli hacker prendono di mira specificamente i possessori di criptovalute noti. Le cifre in dollari dimostrano quanto sia in gioco.
| Caso | Anno | Quantità | Come è successo |
|---|---|---|---|
| Michael Terpin contro AT&T | 2018 | 24 milioni di dollari | Numero trasferito, conti di criptovalute svuotati. |
| Rapina al giorno del fallimento di FTX | 2022 | circa 400 milioni di dollari | Scambio di SIM durante il crollo della centrale telefonica |
| furto di bitcoin a Washington DC | 2024 | 4.100 BTC, circa 263 milioni di dollari | Ingegneria sociale e scambio di SIM, 9 condanne |
| vittima di arbitrato T-Mobile | 2020 | Assegnati 33 milioni di dollari | Guasto alla sicurezza del vettore, ripetuti scambi |
| dirottamento dell'account SEC X | 2024 | post falso che influenza il mercato | Sostituzione della SIM dell'account dell'agenzia |
Quanto sono comuni, davvero, gli attacchi di SIM swapping?
La risposta onesta è un paradosso. In termini assoluti, questi attacchi sono rari, ma per vittima sono catastrofici, e le cifre ufficiali sottostimano di molto le perdite in criptovalute.
Innanzitutto, guardiamo ai dati riportati. L' Internet Crime Complaint Center dell'FBI ha registrato 982 denunce di SIM swapping nel 2024, con perdite pari a circa 26 milioni di dollari, in calo rispetto al picco di quasi 72,6 milioni di dollari nel 2022. Microsoft ha osservato che meno dello 0,3% degli attacchi di identità utilizza il SIM swapping, una percentuale nettamente inferiore rispetto al phishing tradizionale. Già solo da questi numeri, si potrebbe essere portati a scrollare le spalle.
| Anno | Segnalazioni di perdite dovute a scambi di SIM (FBI IC3) |
|---|---|
| 2022 | 72,6 milioni di dollari |
| 2023 | 48,8 milioni di dollari |
| 2024 | 26 milioni di dollari (982 reclami) |
Allora guardiamo più da vicino. Nello stesso anno in cui le perdite ufficiali dovute allo scambio di SIM si aggiravano intorno ai 26 milioni di dollari, un singolo caso a Washington DC ha movimentato circa 263 milioni di dollari in bitcoin e la rapina a FTX ha fruttato circa 400 milioni di dollari. Nessuno di questi casi rientra nella categoria dello scambio di SIM, perché gli investigatori li classificano in categorie più ampie di frode o furto. Il punto non è che l'attacco sia innocuo. È piuttosto che è raro, mirato e diretto a persone con denaro reale, soprattutto in criptovalute, dove un successo compensa mille fallimenti. In media, ogni truffa di scambio di SIM segnalata nel 2024 è costata alla sua vittima circa 26.000 dollari, e questi sono solo i casi abbastanza piccoli da essere classificati come scambi di SIM. I furti di criptovalute più eclatanti, quelli che riguardano decine o centinaia di milioni di dollari, sono classificati in categorie completamente diverse.
Segnali di allarme di un attacco di scambio SIM
In genere si riceve un avviso che la sostituzione della SIM è in corso e il conteggio dei minuti inizia nel momento stesso in cui la SIM viene assegnata. Qui contano i minuti, non le ore.
Il segnale più evidente è semplicissimo: il tuo telefono perde il segnale senza motivo. Batteria carica, nessun problema con l'operatore, tutti intorno a te hanno campo, e il tuo è sparito. In centro città, non si tratta di un semplice inconveniente. Consideralo come l'allarme che probabilmente è. Gli altri segnali si manifestano sul dispositivo ancora funzionante. Ti ritrovi bloccato fuori da un account che usavi il giorno prima. Ricevi un SMS per reimpostare la password che non hai mai richiesto. Il tuo operatore ti invia un'email per "confermare" una nuova SIM che non hai richiesto. Se noti uno qualsiasi di questi segnali sugli altri tuoi dispositivi mobili, dai per scontato che qualcuno stia cercando di prendere il controllo del tuo numero di cellulare proprio ora. Qualunque cosa tu faccia, falla in fretta, perché l'attaccante lo sta già facendo.
Come prevenire lo scambio di SIM e proteggersi
Non puoi impedire a un criminale determinato di manipolare un call center con tecniche di ingegneria sociale, ma puoi rendere il tuo numero inutilizzabile per lui. Anche una sola modifica conta molto più di tutte le altre.
Ottieni denaro dagli SMS
Una mossa è più importante di tutte le altre. Smettete di usare gli SMS come secondo fattore di autenticazione per qualsiasi servizio che abbia un valore. Passate a un'app di autenticazione per ogni accesso a servizi di scambio, banche ed email, o meglio ancora, a una chiave di sicurezza hardware che un malintenzionato dovrebbe rubare di persona. Non si tratta più di una paranoia marginale. Alla fine del 2024, l'FBI e la CISA hanno invitato il pubblico ad abbandonare completamente i codici SMS, e le più recenti normative federali sull'identità del NIST non considerano più gli SMS sufficientemente sicuri per gli account sensibili. Se un servizio offre solo l'autenticazione tramite SMS, investite i vostri soldi in un servizio che supporti un'app o una chiave. Il motivo è semplice: un codice di autenticazione risiede solo sul vostro dispositivo. Una chiave hardware non può essere copiata o estorta con l'inganno al telefono. Nessuna delle due viene salvata se il vostro numero viene rubato, quindi lo scambio si traduce nell'ottenere un numero che non sblocca nulla.
Blocca il supporto e la tua impronta
Quindi, rafforza la sicurezza del numero stesso. Aggiungi un PIN SIM o un blocco per il trasferimento del numero con il tuo operatore, in modo che non sia possibile effettuare alcun cambio senza di esso. Molti operatori offrono ora questo servizio gratuitamente, come la Protezione SIM di Verizon, che blocca le modifiche finché non la disattivi. Utilizza una password complessa e univoca e un gestore di password, in modo che una singola violazione dei dati non comprometta tutto. E smetti di pubblicizzare le tue criptovalute, perché è proprio così che i malintenzionati scelgono le loro vittime. I portafogli "silenziosi" vengono derubati molto meno spesso di quelli "rumorosi".
Cosa fare se si viene colpiti da uno scambio di SIM
La velocità è fondamentale per la gravità di una frode con scambio di SIM, quindi agisci con ordine. Per prima cosa, chiama il tuo operatore telefonico da un altro telefono per segnalare il furto della SIM e recuperare il tuo numero. Successivamente, da un dispositivo di cui ti fidi ancora, reimposta le password della tua email e dei tuoi account di scambio e disattiva l'autenticazione a due fattori tramite SMS per ognuno di essi. Se possiedi criptovalute, blocca i prelievi dal tuo exchange e sposta i fondi, se possibile. Infine, documenta tutto e presenta una denuncia all'Internet Crime Complaint Center dell'FBI e alla FTC. Nessuna di queste azioni annulla un furto già avvenuto, ma può fermare un attacco in corso e bloccare l'acquisizione dell'account prima che si diffonda.
Un attacco di SIM swapping prende di mira l'anello più debole.
Un attacco di SIM swapping non viola la tua sicurezza; la aggira, sfruttando una compagnia telefonica che non è mai stata progettata per proteggere i tuoi risparmi. Il tuo numero non è mai stato concepito come un documento d'identità, eppure lo abbiamo integrato in tutto ciò che conta. Per qualsiasi cosa che contenga denaro, la premessa più semplice è: considera l'autenticazione a due fattori tramite SMS già compromessa e passa a un'app o a una chiave hardware oggi stesso, piuttosto che aspettare di perdere la connessione in un pomeriggio qualsiasi. La soluzione è semplice, completa e richiede circa dieci minuti. Quindi, ecco l'unica domanda che conta: se il tuo telefono si spegnesse proprio ora, quanto potrebbe rubare uno sconosciuto prima che tu riesca a riattivarlo?
