SIM Swap
SIM Swap (conosciuto anche come SIM Swapping, SIM Swap Scam o SIM Splitting) è una tecnica di attacco che consente di aggredire le Applicazioni Web che usano l'SMS o la telefonata come secondo fattore di autenticazione o di verifica dell'operatività.
Attacco SIM Swap cos'è
L'obiettivo degli aggressori è entrare in possesso del numero di telefono di un utente che utilizza questo canale come strumento di verifica. Spesso molte Applicazioni Web inviano un SMS (o eseguono una telefonata automatica) per controllare la bontà di una login (e quindi come secondo fattore di autenticazione) oppure per verificare l'operatività dell'utente (per esempio quando viene inserito un bonifico sul conto on line).
Entrare in possesso del numero di telefono della vittima permette di superare questi controlli e di portare a termine un'aggressione informatica.
SIM Swap come funziona
Ma come è possibile entrare in possesso del numero di telefono di un'altra persona? Se ci pensate è una cosa molto comune e viene lecitamente usata, per citare le possibilità più diffuse:
- Smarrimento del telefono e quindi della SIM in esso contenuta
- Danneggiamento della SIM
- Cambio dell'operatore telefonico
In questi casi viene erogata una nuova SIM associandola allo stesso numero di telefono del richiedente. È possibile quindi replicare una di queste occasioni per sottrarre un numero di telefono e realizzare un attacco
SIM Swap.
SIM Swap come difendersi
Per l'utente l'unica allerta al quale è possibile fare riferimento per
difendersi dal SIM Swap è il telefono che va "off line". L'operatore infatti stacca la connettività dalla vecchia SIM (quella aggredita) per associarla alla nuova (quella dell'aggressore), in questo modo il telefono della vittima non sarà più connesso alla rete telefonica: né per chiamate/SMS né per il collegamento a Internet. Purtroppo però, potrebbe già essere
troppo tardi.
Per le applicazioni Web invece, il sistema migliore per
difendersi dal SIM Swap è evitare di usare l'SMS come canale
out of band per effettuare un controllo sull'autenticazione o sull'operatività eseguita dall'utente. Meglio affidarsi ad un'app installata sullo smartphone che, oltre a non insistere sul numero di telefono, può utilizzare un canale crittografato per comunicare con il server.
Libro Cyber Security per Applicazioni Web
Hai trovato interessante l'articolo "
SIM Swap"? Acquista il libro Cyber Security per Applicazioni Web e accresci le tue competenze sulla Sicurezza Informatica.
Cyber Security per Applicazioni Web è un
libro di Sicurezza Informatica applicativa dedicato a proteggere lo strato di frontend e il layer di integrazione con API REST.