Un attacco di SIM swapping altera la procedura di trasferimento dei numeri di telefono su supporti mobili e sulle schede identificatrici dell'abbonato (SIM) per deviare gli SMS in modo che arrivino al malintenzionato anziché alla vittima. Se usi gli SMS per l'autenticazione a due fattori su Stripe, il malintenzionato può usare questo metodo per ricevere i tuoi codici di verifica, ottenendo così l'accesso al tuo account.

Come funzionano le schede SIM?

La scheda SIM viene emessa a ogni cliente che dispone di un cellulare e viene inserita in un telefono per identificare il cliente. In sostanza, il numero di telefono indica una sola SIM. Di recente, le eSIM sono state introdotte per eliminare la scheda fisica, ma per il resto funzionano allo stesso modo.

Il tuo gestore telefonico ha la possibilità di modificare la SIM indicata dal numero di telefono. Ciò è necessario per mantenere lo stesso numero di telefono quando si perde il telefono o se la scheda SIM viene altrimenti danneggiata o inutilizzata. Ciò significa anche che i dipendenti del gestore di telefonia mobile hanno la capacità di apportare tale modifica.

Inoltre, in molti paesi, la legge stabilisce che i clienti possano passare da un gestore all'altro in piena libertà. Ciò promuovere una sana competizione, ma significa anche che i gestori di telefonia mobile effettuano verifiche minime prima di passare un numero di telefono a un altro gestore, che ovviamente rilascia una nuova SIM.

Come funzionano gli attacchi di SIM swapping?

Esistono molti modi in cui l'attacco può essere eseguito, sostanzialmente con lo stesso risultato:

1. Il malintenzionato finge di essere te e contatta il tuo gestore di telefonia mobile, comunicando di aver perso il cellulare. Il malintenzionato convince il gestore di telefonia mobile di essere te, ottenendo il rilascio di una scheda SIM sostitutiva.
2. Il malintenzionato finge di essere te e contatta un altro gestore di telefonia mobile, comunicando che desideri passare al servizio del nuovo gestore. Il nuovo gestore chiede al vecchio di confermare il passaggio e il malintenzionato li convince; il nuovo gestore rilascia così una nuova scheda SIM. Oppure:
3. Un dipendente del tuo gestore di telefonia mobile viene corrotto per fare in modo che il tuo numero di telefono indichi la SIM del malintenzionato anziché la tua.

In tutti i casi, il malintenzionato ottiene una scheda SIM che riceve SMS e chiamate dal tuo numero di telefono, mentre il tuo telefono attuale smette di funzionare.

Come faccio a proteggermi dagli attacchi di SIM swapping?

In generale, date le terze parti coinvolte, attualmente non esistono modi per impedire gli attacchi di SIM swapping. L'unico modo per proteggerti dagli effetti dannosi è smettere di usare i messaggi di testo (SMS) per l'autenticazione a due fattori.

Se l'SMS per l'autenticazione a due fattori è abilitato, il tuo account è a rischio. Abilita un metodo alternativo per l'autenticazione a due fattori, come un'app di autenticazione o una chiave di sicurezza fisica, poi disabilita gli SMS.