Molti smartphone di fascia alta, tra cui gli iPhone, supportano le eSIM. I cybercriminali hanno quindi aggiornato la tecnica nota come SIM swapping per sfruttare l’assenza della card fisica. Per accedere al numero di telefono è sufficiente prendere il controllo dell’account mobile e utilizzare le funzionalità disponibili.
eSIM swapping con codice QR
Le eSIM sono card digitali conservate su un chip all’interno del dispositivo. Invece di inserire una SIM fisica nello slot, l’associazione della card al numero di telefono e il passaggio da un operatore all’altro avviene tramite scansione di un codice QR.
Il tradizionale attacco di SIM swapping prevede l’uso di ingegneria sociale o la complicità di un dipendente dell’operatore telefonico. Con le eSIM è sufficiente accedere all’account mobile, ad esempio tramite malware, forza bruta o data breach. Dopo aver preso il controllo dell’account, i cybercriminali generano un codice QR per attivare una nuova eSIM. In seguito alla scansione, il numero di telefono viene “portato” su un altro dispositivo, mentre la eSIM del legittimo proprietario viene disattivata.
I cybercriminali possono usare il numero di telefono per ottenere i codici dell’autenticazione in due fattori e quindi accedere a vari servizi, tra cui quelli bancari. Dato che il numero permette anche di accedere agli account delle app di messaggistica è possibile impersonare la vittima e mettere in atto truffe con la richiesta di denaro.
Gli utenti dovrebbero usare password complesse per gli account mobile, mentre per gli account bancari è consigliata l’autenticazione tramite app o chiavi fisiche.