Un attacco di SIM swapping altera la procedura di trasferimento dei numeri di telefono su supporti mobili e sulle schede identificatrici dell'abbonato (SIM) per deviare gli SMS in modo che arrivino al malintenzionato anziché alla vittima. Se usi gli SMS per l'autenticazione a due fattori su Stripe, il malintenzionato può usare questo metodo per ricevere i tuoi codici di verifica, ottenendo così l'accesso al tuo account.
La scheda SIM viene emessa a ogni cliente che dispone di un cellulare e viene inserita in un telefono per identificare il cliente. In sostanza, il numero di telefono indica una sola SIM. Di recente, le eSIM sono state introdotte per eliminare la scheda fisica, ma per il resto funzionano allo stesso modo.
Il tuo gestore telefonico ha la possibilità di modificare la SIM indicata dal numero di telefono. Ciò è necessario per mantenere lo stesso numero di telefono quando si perde il telefono o se la scheda SIM viene altrimenti danneggiata o inutilizzata. Ciò significa anche che i dipendenti del gestore di telefonia mobile hanno la capacità di apportare tale modifica.
Inoltre, in molti paesi, la legge stabilisce che i clienti possano passare da un gestore all'altro in piena libertà. Ciò promuovere una sana competizione, ma significa anche che i gestori di telefonia mobile effettuano verifiche minime prima di passare un numero di telefono a un altro gestore, che ovviamente rilascia una nuova SIM.
Esistono molti modi in cui l'attacco può essere eseguito, sostanzialmente con lo stesso risultato:
In tutti i casi, il malintenzionato ottiene una scheda SIM che riceve SMS e chiamate dal tuo numero di telefono, mentre il tuo telefono attuale smette di funzionare.
In generale, date le terze parti coinvolte, attualmente non esistono modi per impedire gli attacchi di SIM swapping. L'unico modo per proteggerti dagli effetti dannosi è smettere di usare i messaggi di testo (SMS) per l'autenticazione a due fattori.
Se l'SMS per l'autenticazione a due fattori è abilitato, il tuo account è a rischio. Abilita un metodo alternativo per l'autenticazione a due fattori, come un'app di autenticazione o una chiave di sicurezza fisica, poi disabilita gli SMS.