Libro Sicurezza Informatica
Cyber Security
Home
Acquista il libro

SIM Swap

SIM Swap (conosciuto anche come SIM Swapping, SIM Swap Scam o SIM Splitting) è una tecnica di attacco che consente di aggredire le Applicazioni Web che usano l'SMS o la telefonata come secondo fattore di autenticazione o di verifica dell'operatività.

Attacco SIM Swap cos'è

L'obiettivo degli aggressori è entrare in possesso del numero di telefono di un utente che utilizza questo canale come strumento di verifica. Spesso molte Applicazioni Web inviano un SMS (o eseguono una telefonata automatica) per controllare la bontà di una login (e quindi come secondo fattore di autenticazione) oppure per verificare l'operatività dell'utente (per esempio quando viene inserito un bonifico sul conto on line).

Entrare in possesso del numero di telefono della vittima permette di superare questi controlli e di portare a termine un'aggressione informatica.

SIM Swap come funziona

Ma come è possibile entrare in possesso del numero di telefono di un'altra persona? Se ci pensate è una cosa molto comune e viene lecitamente usata, per citare le possibilità più diffuse:
  1. Smarrimento del telefono e quindi della SIM in esso contenuta
  2. Danneggiamento della SIM
  3. Cambio dell'operatore telefonico
In questi casi viene erogata una nuova SIM associandola allo stesso numero di telefono del richiedente. È possibile quindi replicare una di queste occasioni per sottrarre un numero di telefono e realizzare un attacco SIM Swap.

SIM Swap come difendersi

Per l'utente l'unica allerta al quale è possibile fare riferimento per difendersi dal SIM Swap è il telefono che va "off line". L'operatore infatti stacca la connettività dalla vecchia SIM (quella aggredita) per associarla alla nuova (quella dell'aggressore), in questo modo il telefono della vittima non sarà più connesso alla rete telefonica: né per chiamate/SMS né per il collegamento a Internet. Purtroppo però, potrebbe già essere troppo tardi.

Per le applicazioni Web invece, il sistema migliore per difendersi dal SIM Swap è evitare di usare l'SMS come canale out of band per effettuare un controllo sull'autenticazione o sull'operatività eseguita dall'utente. Meglio affidarsi ad un'app installata sullo smartphone che, oltre a non insistere sul numero di telefono, può utilizzare un canale crittografato per comunicare con il server.

Di Roberto Abbate
Copertina del libro Cyber Security per Applicazioni Web

Libro Cyber Security per Applicazioni Web

Hai trovato interessante l'articolo "SIM Swap"? Acquista il libro Cyber Security per Applicazioni Web e accresci le tue competenze sulla Sicurezza Informatica.
Cyber Security per Applicazioni Web è un libro di Sicurezza Informatica applicativa dedicato a proteggere lo strato di frontend e il layer di integrazione con API REST.

Acquista ora il libro Cyber Security per Applicazioni Web

Questo sito NON utilizza cookie o altre tecniche di tracciamento (cosa sono i cookie? - cosa servono i cookie?)