SICUREZZA DIGITALE

Sei cliente Ho.Mobile? Ecco come difenderti dal furto dei tuoi dati subito dal gestore

La compagnia low-cost di Vodafone Italia nega l’incidente ma apre una indagine

L’operatore telefonico HO sarebbe stato vittima di un clamoroso “data breach” e gli hacker avrebbero avuto modo di portarsi via un succulento archivio elettronico con i dati personali di oltre 2 milioni e mezzo di utenti.

Non bastasse, l’enorme patrimonio informativo sarebbe a disposizione del miglior offerente sulle bancarelle virtuali del “dark web”, dove piccoli assaggi sono disponibili per chi vuole provare il macabro brivido di scoprire che la storia è tristemente vera.

La notizia rimbalza (non troppo rumorosamente) sui media e l’azienda si riserva di approfondire la questione senza dare sostanzialmente alcuna risposta ai suoi clienti legittimamente preoccupati per il rispettivo destino.

Le disperate testimonianze non mancano e non conforta leggere i messaggi degli utenti che si rivolgono al supporto del gestore HO presente su Internet.

Su Telegram è addirittura stato aperto un canale intitolato “HO. perso i tuoi dati”….

Cosa è finito nelle mani sbagliate?

I banditi digitali avrebbero acquisito un dettagliato profilo degli abbonati telefonici di HO che include una folta serie di elementi identificativi: nome, cognome, data di nascita, indirizzo di casa e di posta elettronica, nonché altre “voci” estremamente appetitose per i malintenzionati sempre in agguato.

Un dato preoccupa più di tanti altri ed è quello etichettato come ICCID, vale a dire Integrated Circuit Card-Identity (ICCID). Se i meno avvezzi ad acronimi e sigle sono accontentati, quelli che non masticano le tecnologie devono sapere che l’ICCID è il DNA della scheda SIM ed è il codice che può essere utilizzato dai malviventi per mettere in pratica la micidiale tecnica dello “swapping”.

Swapping? Spieghiamo anche questo. E’ la banale sostituzione (fraudolenta) della SIM di un utente che – nella messinscena dei banditi – ha perso il telefonino o se l’è fatto rubare.

Quel codice è l’equivalente di un libretto di circolazione e chi ne è a conoscenza può recarsi in un punto vendita per sfruttarlo “al meglio”. Dichiara di essere Tizio o Caio (grazie al furto di dati appena avvenuto non è difficile), esibisce la fotocopia di un documento falsificato (grazie ai programmi di grafica che girano sui pc è un gioco da ragazzi), racconta la storiella dello smartphone perso o depredato, comprova la titolarità sfoderando il codice ICCID, ottiene una SIM sostitutiva ed è pronto a diventare l’alter ego della sua vittima.

Cosa può succedere?

Sappiamo (spesso a nostre spese) che il nostro cellulare è lo strumento per compiere operazione di “banking online” e i messaggi SMS che arrivano dall’istituto di credito contengono i codici che abilitano l’esecuzione di bonifici o altre attività sul conto corrente.

L’utente HO – poco prima della fatidica sostituzione della SIM ad opera del criminale di turno – può ricevere mail o messaggi sul telefonino (apparentemente inoltrati dalla propria banca) che lo avvisano di problemi tecnici o di presunte truffe a suo danno. Il poco avveduto o semplicemente distratto malcapitato rischia di aderire alle sollecitazioni pervenutegli, finendo con il compilare moduli e fornire dati su un sito web che – gestito dai ladroni – somiglia a quello dell’istituto di credito e richiede il numero del conto e altre informazioni utilizzabili per collegarsi online.

I delinquenti – venuti a conoscenza di quel che serve per accedere al conto corrente via Internet – provvedono alla fase di “SIM swapping” ed entrano in possesso di una SIM pronta a ricevere PIN, password, codici segreti e altre comunicazioni riservate che la banca è convinta di spedire al cliente legittimo possessore di quell’utenza telefonica.

Quel che succede dopo è fin troppo facile ad immaginarsi e ne sanno qualcosa i poveretti che con simili dinamiche si son visti svuotare il conto.

Cosa fare per evitare guai?

Anzitutto è bene tenere d’occhio il proprio telefonino. Se “smette di funzionare” e “rimane senza linea” qualcuno potrebbe aver proceduto ad ottenere un clone della SIM in uso, il cui rilascio determina in automatico la disattivazione di quella originale.

In circostanze del genere si deve contattare il gestore telefonico (consiglio che vale non solo in questo caso recente) e sporgere denuncia alle Forze di Polizia per un sospetto (quasi certo) di furto di identità.

Se si è utenti di un operatore telefonico colpito da una disavventura come quella appena descritta, può essere utile disabilitare immediatamente la ricezione di codici SMS per le operazioni bancarie, per le attività sui social network, per gli account dei servizi fruiti via Internet, per gli acquisti online.

Conviene poi collegarsi al proprio istituto di credito (quello vero e non quello suggerito da qualche mail di “phishing”) per cambiare l’indirizzo mail riportato nella propria “anagrafica”. In questa maniera le future comunicazioni bancarie sul “vecchio” recapito di posta elettronica sarebbero immediatamente da scartare perché certo provenienti da qualcuno che non dispone dell’avvenuto aggiornamento del proprio profilo di “banking online”.

Back to top button