Nell’ultimo periodo si sta diffondendo capillarmente una nuova truffa ai danni dei correntisti. Nulla di realmente straordinario, sembrerebbe: gli hacker inventano quotidianamente nuove metodiche per poter prosciugare i conti correnti dei risparmiatori. Abbiamo infatti trattato ampiamente dei tentativi di phishing in cui gli utenti rischiano di cadere, soprattutto durante il periodo estivo e le festività natalizie – momenti di relax, durante i quali si risulta poco inclini a prestare attenzione a possibili truffe.

D’altra parte, questa nuova modalità dovrebbe invece suscitare la preoccupazione dei clienti. Inventata nel 2015 e riproposta in questi mesi, la truffa che prende il nome di SIM Swap Scam ha già mietuto diverse vittime. Pertanto è fondamentale un’adeguata informazione sulla sua natura, su come riconoscerla e sulle contromisure da prendere qualora si sospetti di esserne caduti vittima.

SIM Swap Scam: la truffa spiegata agli utenti

Il meccanismo su cui si fonda il raggiro è un po’ contorto, e paradossalmente sfrutta l’inasprimento delle misure di sicurezza a protezione dei conti. Dallo scorso settembre, infatti, non è più consentito per legge accedere al conto corrente online tramite autenticazione con il token fisico.

Questa modalità è stata infatti sostituita dall’accesso all’home banking tramite codice OTP, una password temporanea (esattamente come quella che compariva sul token) che perviene all’intestatario tramite SMS.

I malintenzionati, falsificando preventivamente i documenti della vittima, vanno a richiedere nuova copia della SIM – inattivando la precedente – e sfruttano il numero telefonico per richiedere alla banca di riferimento una nuova password d’accesso al banking online. Gli operatori, riconoscendo il numero come appartenente all’intestatario, forniscono al cybercriminale la nuova chiave d’entrata: il gioco è fatto.

D’altronde, esiste un modo ben chiaro di accorgersi se si è rimasti vittima di tale raggiro. Una volta attivata la nuova SIM – ora nelle mani del malfattore – l’originale non risulta più funzionante. Solo il clone, in possesso dell’hacker, continua a inviare e ricevere dati, oltre che ad essere raggiungibile. In tal caso, è necessario rivolgersi immediatamente presso il centro più vicino del proprio operatore, o contattare il servizio clienti.

Inoltre, sarebbe preferibile non lasciare sui social o sul web un numero eccessivo di dati sensibili, come data di nascita e luogo di residenza: sarà utile per evitare che gli hacker possano creare i falsi documenti.