Report dicembre 2021 di Enisa circa il tema del “Countering Sim-Swap”

L’Agenzia dell’Unione europea per la sicurezza informatica (ENISA) nell’ultimo report recentemente pubblicato sul proprio sito, ha svolto una panoramica sullo stato dell’arte del fenomeno dello Sim-Swapping e sulle best practies da mettere in atto per ridurre l’impatto di questa tipologia di attacchi.

Nel report viene data una visione generale sulle modalità d’esecuzione tipiche di questo attacco; viene fatto un elenco delle misure a cui le diverse organizzazioni e pubbliche amministrazioni possono fare riferimento per mitigare gli impatti dell’attacco, facendo inoltre raccomandazioni per i politici e le autorità del settore delle telecomunicazioni e degli altri settori in generale.

Il Subscriber Identity Module (SIM) swap è una procedura legittima eseguita da un cliente
per cambiare la propria scheda SIM quando:

• la carta SIM è stata smarrita, danneggiata o rubata; oppure
• per passare a un nuovo dispositivo con un altro formato di carta SIM o
• per spostarsi verso un altro provider attraverso la portabilità del numero.

Gli attaccanti abusano della capacità dei fornitori di servizi di portare rapidamente e senza soluzione di continuità un numero di telefono a un dispositivo contenente un modulo di identità dell’abbonato diverso (SIM). Di conseguenza, l’attaccante prendendo il controllo dell’account può ricevere tutti gli SMS e le chiamate vocali destinate al legittimo abbonato. I truffatori possono eseguire frodi nell’online banking, ma anche aggirare l’autenticazione a due fattori (2FA) utilizzata per proteggere i vari account digitali diffusi sui social media e sulle applicazioni in generale.

Il fenomeno dello Sim-swapping non è nuovo, infatti già dal 2017 ci sono stati diversi media report sugli attacchi SIM swap, sul targeting di persone all’interno della comunità delle criptovalute, ma anche conti bancari e social media.

Per evitare di essere vulnerabili, gli utenti dovrebbero limitare le loro informazioni personali sui social media, aggiornare regolarmente le password, non aprire mai i messaggi e gli allegati da fonti sconosciute, controllare spesso i propri rendiconti finanziari ed evitare di associare il loro numero di telefono con account online sensibili. Quando possibile, si dovrebbero scegliere ulteriori meccanismi di autenticazione.

Gli Operatori di reti mobili (Mobile Network Operators – MNOs), le banche e le autorità hanno già collaborato per mitigare lo scambio fraudolento di SIM. Le banche infatti possono utilizzare un’interfaccia di programmazione dell’applicazione (Application Programming Interface – API) forniti dagli MNOs per verificare se un attacco di tipo SIM-swap è stato effettuato di recente.

Secondo il report promosso da ENISA, gli MNOs dovrebbero rafforzare i meccanismi di rilevamento e di blocco dello scambio fraudolento di SIM, migliorando i processi interni per fornire al cliente un’esperienza sicura e senza soluzione di continuità. Gli istituti bancari, invece, dovrebbero applicare coerentemente i regolamenti UE come la Direttiva (UE) 2015/2366 (PSD2) e sfruttare le soluzioni tecniche disponibili forniti dagli operatori di telecomunicazioni. Infine, le autorità nazionali dovrebbero incoraggiare e rafforzare il coordinamento tra MNO e settore bancario; si dovrebbe anche promuovere una cooperazione ad un livello superiore, implicando un coordinamento tra l’Europol, le squadre nazionali di risposta agli incidenti di sicurezza informatica (CSIRT) e le diverse forze dell’ordine nei diversi Stati membri. Bisognerebbe, sempre secondo il report, rilasciare in modo efficiente Linee guida di base chiare a tutti gli operatori diretti, alle banche ed al pubblico.