Potresti aver iniziato a ricevere più chiamate spam se il tuo numero di telefono si trova sul dark web o sui siti di ricerca delle persone,
Il numero di attacchi di SIM swapping sui telefoni cellulari sta salendo alle stelle. Solo negli Stati Uniti, si stima che i consumatori abbiano perso quasi 70 milioni di dollari a causa del SIM swapping nel 2021, mentre in Spagna la polizia nazionale ha recentemente arrestato otto persone coinvolte in una rete criminale che ha drenato i conti bancari degli utenti in una serie di attacchi di SIM-swapping. Il problema è così diffuso che Microsoft ha avvertito i consumatori di non utilizzare l’autenticazione a più fattori (MFA) basata su SMS o chiamate telefoniche.
Che cos’è il SIM swapping?
Il SIM swapping, noto anche come SIM hijacking, SIM jacking o SIM splitting, è un tipo di attacco di acquisizione di account (ATO) in cui i criminali informatici trasferiscono il numero di telefono cellulare di una vittima su una nuova carta SIM. Gli attacchi di SIM swapping in genere presentano tre modalità diverse.
- Attacchi di phishing contro i consumatori. In questo caso, i criminali informatici utilizzano il phishing per ottenere informazioni personali dei clienti mobile, quindi utilizzano tali dati per impersonare i clienti e convincere i dipendenti degli operatori di telefonia mobile a emettere nuove carte SIM con il numero di telefono preso di mira. Questo è il modo in cui sono stati perpetrati gli attacchi in Spagna.
- Attacchi di phishing contro gli operatori di telefonia mobile. In questo scenario, i criminali informatici utilizzano il phishing per convincere i dipendenti degli operatori di telefonia mobile a fornire le loro password o scaricare malware, che verranno utilizzati per violare i sistemi in modo da poter eseguire autonomamente il SIM swap.
- Infiltrazioni presso gli operatori di telefonia mobile. Ciò accade quando un cybercriminale prende di mira direttamente un dipendente di un operatore di telefonia mobile autorizzato a effettuare scambi di SIM.
Indipendentemente dal tipo di attacco, il risultato finale è lo stesso. Una volta trasferito il numero di telefono cellulare del consumatore alla SIM in loro possesso, i criminali informatici possono inserirlo in un nuovo dispositivo, utilizzarlo per aggirare la MFA, reimpostare le credenziali di login del consumatore e prendere possesso dei loro account online e delle loro app.
Fermare il SIM swapping: consigli per i consumatori
- Proteggi sempre i tuoi account online con la 2FA quando possibile, ma non utilizzare telefonate o messaggi di testo per l’autenticazione. Utilizza invece la biometria, un token di sicurezza fisico o un’applicazione di autenticazione autonoma.
- Evita di condividere online il tuo numero di cellulare o altre informazioni personali, come il tuo indirizzo.
- Non condividere mai informazioni finanziarie personali online.
- Non fornire mai le informazioni del tuo account mobile in risposta a telefonate o e-mail non richieste che affermano di provenire dal tuo operatore di telefonia mobile. Verifica il contatto chiamando la linea del servizio clienti del tuo operatore o accedendo direttamente al suo sito web.
- Utilizza password forti e uniche per tutti i tuoi account online.
- Non memorizzare mai le tue credenziali di login o altre informazioni sensibili in un file di testo, un foglio di calcolo o un altro tipo di file non crittografato. Utilizza invece un Password Manager come Keeper, che memorizza le tue credenziali di login e altre informazioni personali in una cassaforte crittografata a cui solo tu puoi accedere.
- Prendi in considerazione la possibilità di passare dal tuo attuale operatore di telefonia mobile a Efani, un servizio di telefonia mobile sicuro che offre carte SIM crittografate che proteggono il tuo account mobile e le tue informazioni personali da potenziali vulnerabilità di SIM swap e una copertura assicurativa di 5 milioni di dollari per individuo.
Fermare il SIM swapping: consigli per gli operatori di telefonia mobile
- È fondamentale formare i dipendenti sulla sicurezza informatica, approfondendo, tra gli altri temi, anche come vengono perpetrati gli attacchi di phishing per il SIM-swapping.
- Occorre inoltre sviluppare protocolli di sicurezza completi per i dipendenti e verificare le credenziali dei clienti prima di trasferire i loro numeri su una nuova carta SIM.
- Risulta utile anche adottare il controllo degli accessi basato sui ruoli (RBAC) per limitare il numero di dipendenti autorizzati a spostare numeri su una nuova carta SIM e utilizzare i registri di audit per tracciare tutte queste attività, incluso chi ha effettuato il passaggio e quando.
- In ultimo, è importante richiedere ai dipendenti di utilizzare password forti e uniche e abilitare l’MFA per tutti i loro account di lavoro. Inoltre, è buona norma applicare queste politiche con una solida piattaforma di gestione e crittografia delle password aziendali come Keeper.
La piattaforma di gestione delle password e sicurezza zero-knowledge di Keeper offre agli amministratori IT visibilità completa sulla disciplina in materia di password dei dipendenti, consentendo loro di monitorare l’utilizzo delle password e applicare le politiche di sicurezza delle password su tutta l’organizzazione, inclusi i requisiti di complessità delle password, MFA, RBAC e altre politiche di sicurezza.
Non sei ancora cliente Keeper? Iscriviti subito per una prova gratuita di 14 giorni! Vuoi scoprire di più su come Keeper può aiutare la tua organizzazione a prevenire le violazioni della sicurezza? Contatta il nostro team oggi stesso.