Che cos'è lo scambio di SIM?

Lo scambio di SIM è una forma di frode d'identità in cui un aggressore convince un operatore di telefonia mobile a trasferire il numero di telefono della vittima su una carta SIM o un profilo eSIM sotto il suo controllo. Dopo il trasferimento, l'aggressore può ricevere le chiamate e gli SMS della vittima, compresi i codici di accesso unici utilizzati per l'accesso e il recupero dell'account.

Si tratta anche del cosiddetto SIM hijacking o, in alcuni casi, di una truffa della porta d'uscita. I termini sono correlati ma non sempre identici. In un cambio di SIM, il numero viene spostato su una SIM diversa dello stesso operatore. In un port-out, il numero viene trasferito a un altro operatore. Per la vittima, l'effetto è spesso lo stesso: perdita del servizio e del controllo sulla verifica tramite SMS.

Come funziona un attacco di SIM Swapping

Lo scambio di SIM inizia di solito prima che il telefono perda il servizio. L'aggressore raccoglie innanzitutto i dati personali. Questi possono provenire da phishing, malware infostealer, database violati o post pubblici sui social media. L'obiettivo è raccogliere informazioni sufficienti per rispondere alle domande di sicurezza dell'operatore o per impersonare l'obiettivo in modo convincente.

Successivamente, l'aggressore contatta l'operatore di telefonia mobile e dichiara che il telefono è stato perso, danneggiato o sostituito. Se l'operatore approva la richiesta, il numero viene riassegnato a una SIM o eSIM controllata dall'aggressore. Il telefono della vittima perde quindi il servizio cellulare.

A quel punto, l'aggressore avvia la reimpostazione delle password, intercetta i codici SMS e tenta di accedere a e-mail, servizi bancari, social media, servizi cloud o strumenti aziendali. Ciò che rende pericoloso l'attacco non è la SIM in sé. Il vero pericolo è che il numero di telefono viene spesso considerato come prova di identità.

Perché lo scambio di SIM è importante per le aziende

Lo scambio di SIM è importante perché un numero di telefono è spesso legato a conti di alto valore. Se un aggressore si impossessa del numero di un dipendente, di un responsabile finanziario, di un amministratore o di un dirigente, potrebbe essere in grado di aggirare l'autenticazione a due fattori basata su SMS e reimpostare credenziali importanti.

Questo crea un rischio aziendale diretto. Un numero compromesso può portare alla compromissione della posta elettronica aziendale, ad attività telematiche non autorizzate, all'esposizione di account cloud o all'accesso a console di amministrazione interne. Può anche rallentare la risposta agli incidenti, perché i team potrebbero inizialmente considerare l'interruzione come un problema del vettore piuttosto che un'acquisizione di account in corso.

Per le aziende regolamentate, il problema riguarda anche la conformità e la governance. Se i dati dei clienti o i sistemi interni sono esposti perché un flusso di autenticazione debole dipendeva da un numero dirottato, l'incidente può diventare più di un problema informatico. Può diventare un problema legale, operativo e di reputazione.

Rischi del mondo reale e scenari pratici

Uno scenario comune inizia con un account finanziario o dirigenziale. Un aggressore raccoglie informazioni personali da dati trapelati e profili pubblici, quindi convince il gestore a spostare il numero. In pochi minuti, l'aggressore reimposta la password dell'e-mail, intercetta il codice SMS e ottiene l'accesso alla casella di posta elettronica. Da qui può cercare fatture, approvazioni di pagamenti, accessi al cloud o messaggi di reset della password da altri servizi.

Un altro scenario riguarda le criptovalute o i conti bancari. L'Europol descrive lo scambio di SIM come un'operazione di tecnica di acquisizione del conto utilizzato per ottenere il controllo dell'identità mobile della vittima. I criminali usano lo scambio di SIM per intercettare i messaggi di verifica e prosciugare i fondi o impossessarsi dei portafogli. Il danno finanziario può essere grave, soprattutto quando la vittima si accorge troppo tardi della perdita del servizio.

Un terzo scenario riguarda l'amministrazione SaaS. Se un amministratore IT utilizza una verifica basata su SMS per una dashboard cloud o un account di registrazione, uno scambio di SIM può aprire la porta a modifiche del dominio, creazione di utenti privilegiati o interruzione del servizio. Ecco perché lo scambio di SIM deve essere trattato come un rischio di identità e accesso, non solo come un problema di frode alle telecomunicazioni.

Segni di un attacco di scambio di SIM

Il segnale d'allarme più chiaro è la perdita improvvisa del servizio di telefonia mobile senza una normale spiegazione. Se un telefono risulta inaspettatamente privo di segnale, non riesce a effettuare chiamate o smette di ricevere messaggi in un'area con copertura abituale, ciò può indicare un trasferimento di numero.

Di solito compaiono anche altri segnali nello stesso momento. Potreste ricevere e-mail relative al ripristino della password, a tentativi di accesso o a modifiche dell'account che non avete richiesto. I colleghi possono segnalare la presenza di strani messaggi dal vostro numero. I messaggi di fallback dell'Autenticatore potrebbero non arrivare più.

Questi segnali sono importanti perché il tempo di risposta è fondamentale. Una volta che l'attaccante controlla il numero, la finestra per fermare l'acquisizione dell'account a valle può essere breve.

Strategie di prevenzione e mitigazione

La soluzione più efficace a lungo termine consiste nel ridurre la dipendenza dagli SMS per i flussi di autenticazione importanti. Per gli account sensibili, utilizzare autenticatori basati su app, passkeys o chiavi di sicurezza hardware al posto degli SMS, ove possibile.

A livello di operatore, aggiungete un PIN o una protezione della porta all'account mobile e chiedete quali sono le protezioni anti-portata o per il cambio della SIM. All'interno dell'azienda, rafforzare l'igiene dell'identità. Utilizzate password uniche, gestori di password, privilegi minimi e forti controlli di recupero. Considerate i cambi di numero di telefono come eventi ad alto rischio. Esaminate quali servizi consentono ancora il fallback degli SMS per gli utenti amministrativi e rimuoveteli, se possibile.

Anche il CAPTCHA ha un ruolo limitato ma utile. Lo scambio di SIM spesso inizia con la raccolta di dati, il phishing, l'enumerazione di account o gli attacchi alle credenziali. Un CAPTCHA incentrato sulla privacy nei flussi di login, reset e registrazione può contribuire a rallentare l'abuso automatico che alimenta le prime fasi del furto di identità. Per le organizzazioni europee, captcha.eu si adatta a questo ruolo come controllo conforme al GDPR e incentrato sulla privacy che supporta la difesa dai bot senza diventare il principale fattore di identità.

Cosa fare in caso di scambio di SIM

Se si sospetta uno scambio di SIM, contattate immediatamente il gestore e segnalate le attività di trasferimento non autorizzato di SIM o numeri. Quindi, agire rapidamente sul fronte dell'identità: reimpostare innanzitutto le password per la posta elettronica, revocare le sessioni attive, disattivare il recupero via SMS ove possibile, ruotare i token ed esaminare i registri di accesso per gli strumenti cloud, finanziari e di amministrazione.

Se il numero interessato appartiene a un dipendente con accesso privilegiato, procedere rapidamente all'escalation. Si presume che l'aggressore stia già tentando di reimpostare la password su più servizi. Avvisate il team di sicurezza interno, conservate i registri e verificate se le approvazioni, le richieste di pagamento o le regole della casella di posta sono state modificate durante la finestra di esposizione.

L'obiettivo è il contenimento. Il solo ripristino del servizio non è sufficiente se l'attaccante ha già utilizzato il numero per accedere altrove.

Prospettive future

Lo scambio di SIM si sta evolvendo insieme ai sistemi di identità e all'infrastruttura mobile. L'adozione di eSIM elimina la carta fisica, ma non il rischio di frode. Il processo di controllo viene spostato verso flussi di lavoro digitali, il che significa che i processi del vettore, i controlli di identità e la sicurezza back-end diventano ancora più importanti.

Gli aggressori sono sempre più bravi anche nell'ingegneria sociale e nel Documenti BSI l'uso ripetuto dello scambio di SIM nelle recenti attività di acquisizione di account. Allo stesso tempo, le organizzazioni si stanno orientando verso un'autenticazione resistente al phishing, che dovrebbe ridurre il valore a lungo termine del dirottamento del numero di telefono per gli account critici.

La direzione pratica è chiara. Le aziende devono considerare i numeri di cellulare come comodi strumenti di comunicazione, non come prove di identità ad alta sicurezza.

Conclusione

Lo scambio di SIM trasforma un numero di telefono affidabile in un percorso di attacco. Una volta che un criminale controlla quel numero, i codici SMS e i flussi di recupero dell'account possono lavorare contro la vittima invece di proteggerla. Per le aziende, il rischio reale è più ampio della perdita di una linea di servizio. Include l'acquisizione di e-mail, l'accesso al cloud, le frodi nei pagamenti e le interruzioni operative.

La migliore difesa è a strati. Allontanate gli account importanti dalla verifica basata sugli SMS. Aggiungete le protezioni del vettore. Osservate le perdite improvvise di servizio e le attività di reset sospette. Proteggete i flussi rivolti al pubblico contro i bot e l'abuso di identità. In questo modello, il CAPTCHA incentrato sulla privacy può supportare il perimetro, mentre controlli di autenticazione e ripristino più forti proteggono il nucleo centrale.

FAQ – Domande frequenti

Che cos'è lo scambio di SIM in termini semplici?

Lo scambio di SIM è una tecnica di frode in cui un aggressore riesce a convincere un operatore di telefonia mobile a spostare il vostro numero di telefono su una scheda SIM o eSIM di cui ha il controllo. Una volta fatto ciò, può ricevere le vostre chiamate e i vostri SMS, compresi i codici di accesso.

Lo scambio di SIM è la stessa cosa della frode port-out?

Non esattamente. Uno scambio di SIM di solito mantiene il numero con lo stesso operatore, ma lo sposta su una SIM o eSIM diversa. La frode port-out trasferisce il numero a un altro operatore. In entrambi i casi, l'aggressore può dirottare chiamate e messaggi.

Perché lo scambio di SIM è pericoloso per le aziende?

Può consentire agli aggressori di bypassare l'autenticazione a due fattori basata su SMS, reimpostare le password e accedere a e-mail, finanza e sistemi cloud legati al numero di telefono di un dipendente. Questo può portare a frodi, esposizione dei dati e interruzioni operative.

Come possono le aziende ridurre il rischio di scambio di SIM?

Utilizzate un'autenticazione resistente al phishing dove possibile, eliminate il fallback degli SMS per gli account sensibili, aggiungete protezioni PIN o porte a livello di vettore e monitorate le perdite improvvise di servizio o le attività sospette di recupero degli account.

Il CAPTCHA può aiutare a prevenire lo scambio di SIM?

Non direttamente. Il CAPTCHA non impedisce a un vettore di spostare un numero. Tuttavia, può ridurre il phishing automatico, gli attacchi alle credenziali e l'abuso di account che spesso aiutano gli aggressori a raccogliere dati o a sfruttare i flussi di login e di recupero esposti. Questo lo rende un utile controllo di supporto, non una difesa primaria.