Nel Regno Unito sono stati arrestati otto uomini al termine di un’indagine internazionale, persone accusate di avere portato a termine attacchi di SIM swapping, una tecnica che consente di ottenere accesso al numero di telefono del legittimo proprietario violando determinate tipologie di servizi online che usano proprio il numero di telefono come sistema di autenticazione.
I sospetti, persone tra i 18 e i 26 anni, facevano parte di organizzazione criminale più grande individuata con ramificazione a Malta e in Belgio, e che prendeva di mira utenti statunitensi di spicco, incluse star dello sport, influencer, artisti e loro familiari.
Dalla scorsa primavera, la rete domposta da una dozzina criminali, ha cominciato a portare a termini attacchi di SIM-swapping accedendo ai numeri di telefono delle vittime, cambiando le loro password. Hanno altresì preso in ostaggio i loro account social pubblicando contenuti, pubblicando messaggi come se questi fossero partiti dai legittimi proprietari.
Il SIM-swapping è una tecnica che ruota intorno alla SIM card del gestore di telefonia: la scheda in questione si connette alla rete dell’operatore che associa la SIM fisica al nostro numero. Con la complicità di operatori del settore (oppure usando il phishing o altre tecniche di ingegneria sociale) è possibile trasferire da una SIM card a un’altra la corrispondenza univoca tra la nostra “identità fisica” (la SIM) e la nostra “identità digitale” (il numero di telefono).
La rete di criminali è stata individuata grazie alla collaborazione di agenti dell’Europol, della National Crime Agency del Regno Unito, i servizi segreti degli Stati Uniti, indagine della Homeland Security statunitense, l’FBI, e dell’Ufficio del procuratore distrettuale di Santa Clara (California). Gli arrestati ora dovranno difendersi da reati ai sensi del Computer Misuse Act, legislazione del Regno Unito per temi di reati informatici, alla base di gran parte della legislazione sui crimini informatici in molte delle nazioni del Commonwealth.
Il SIM-swapping e il voice phishing (truffe tramite chiamate telefoniche che sollecitano l’utente a compiere una qualche azione) sono da tempo in aumento in Europa e negli Stati Uniti. L’Europol consiglia alle persone di aggiornare i software dei propri dispositivi, limitare la condivisione di dati online e sfruttare sempre, quando possibilità, l’autenticazione a due fattori per i servizi online.
Per tutte le notizie sulla sicurezza informatica vi rimandiamo a questa sezione di macitynet.