Lingua
ENUKESFRDEITPTPLROCSSKHUNLTR
← Torna al blog

Sicurezza SMS e SIM: come funzionano gli attacchi SIM-Swap

__Cybersecurity25 marzo 2026·8 minuti di lettura

Nel gennaio 2024, l'account X (Twitter) ufficiale della SEC è stato violato. Un post falso sull’approvazione dell’ETF Bitcoin ha mosso i mercati per miliardi di dollari. Il vettore d'attacco? A SIM swap: l'aggressore ha convinto un operatore telefonico a trasferire il numero di telefono della SEC sulla sua scheda SIM, quindi lo ha utilizzato per reimpostare la password dell'account.

Il tuo numero di telefono non è solo un modo per raggiungerti. È la chiave di accesso alla tua posta elettronica, ai tuoi conti bancari, ai portafogli crittografici e ai social media. Ed è incredibilmente facile da rubare.

Come funzionano gli attacchi SIM-Swap

Un attacco SIM-swap è una forma di furto di identità in cui un utente malintenzionato si impossessa del tuo numero di telefono. Ecco il processo:

Passaggio 1: raccolta delle informazioni personali

L'aggressore raccoglie i tuoi dati personali (nome, indirizzo, data di nascita, ultime quattro cifre del tuo SSN) da violazioni di dati, social media o siti di broker di dati. Queste informazioni sono spesso sufficienti per superare le domande di sicurezza dell'operatore.

Passaggio 2: contattare il corriere

L'aggressore chiama il tuo operatore di telefonia mobile (o visita un negozio) e si spaccia per te. Affermano di aver perso il telefono o di aver bisogno di una nuova carta SIM. Utilizzando le informazioni personali raccolte, superano la verifica dell'identità.

Passaggio 3: prendi il controllo del numero

L'operatore trasferisce il tuo numero sulla carta SIM dell'aggressore. Immediatamente perdi il servizio. L'aggressore ora riceve tutte le tue chiamate e i tuoi messaggi di testo, inclusi Codici di verifica SMS.

Da qui, l'aggressore reimposta le password per i tuoi account di posta elettronica, bancari e crittografici utilizzando il recupero della password basato su SMS. L'intero processo richiede meno di 30 minuti.

Metodi di intercettazione SMS

Lo scambio SIM non è l'unico modo per compromettere gli SMS. Gli aggressori hanno più strumenti:

Sfruttamento del protocollo SS7

SS7 (Signaling System 7) è il protocollo che collega le reti telefoniche a livello globale. È stato progettato nel 1975 con zero security. Gli aggressori che ottengono l'accesso alla rete SS7 (spesso tramite dipendenti delle telecomunicazioni corrotti o acquistando l'accesso) possono:

  • Intercetta messaggi SMS in tempo reale
  • Monitora le posizioni dei telefoni a livello globale
  • Reindirizza le chiamate a numeri diversi

    • Nel 2017, i criminali hanno utilizzato gli attacchi SS7 per prosciugare i conti bancari tedeschi intercettando i codici SMS 2FA. Questo non è teorico: sta accadendo su larga scala.

    Malware sul tuo telefono

    Il malware mobile può leggere i messaggi SMS in arrivo direttamente dal tuo telefono. Alcune varianti:

  • Richiedi permessi SMS durante l'installazione
  • Sovrapponi schermate false sulle app bancarie
  • Inoltra silenziosamente i messaggi all'aggressore

    • Stazioni base false (ricevitori IMSI)

    Dispositivi come le razze imitano le torri cellulari, costringendo i telefoni vicini a connettersi. Una volta connesso, l'aggressore può intercettare chiamate e messaggi SMS. Questi dispositivi costano solo $ 1.000 e possono essere realizzati con software open source.

    Perché SMS 2FA non è abbastanza sicuro

    Molti servizi utilizzano ancora SMS per l'autenticazione a due fattori. Ecco perché è pericoloso:

  • __SMS non crittografato: i messaggi viaggiano in chiaro attraverso la rete dell'operatore
  • Gli scambi di SIM sono facili: gli operatori sono stati citati in giudizio per negligenza negli attacchi di scambio
  • __SS7 è rotto e non può essere riparato senza sostituire l'intera infrastruttura di telefonia globale
  • __I codici di recupero vanno a SMS: anche se utilizzi un'app di autenticazione, il recupero dell'account spesso ricade su SMS

    • NIST (il National Institute of Standards and Technology degli Stati Uniti) ha sconsigliato l'autenticazione basata su SMS dal 2016. Tuttavia la maggior parte delle banche offre ancora solo SMS.

    L'alternativa? App di autenticazione (Google Authenticator, Authy) o chiavi di sicurezza hardware (YubiKey). Leggi la nostra guida 2FA completa per le istruzioni di configurazione.

    Casi di scambio SIM nel mondo reale

    SEC Twitter Hack (2024)

    L'account X della Securities and Exchange Commission degli Stati Uniti è stato violato tramite SIM swap. È stato pubblicato un falso post di approvazione dell'ETF Bitcoin, causando un'enorme volatilità del mercato.

    Furto di criptovalute da 400 milioni di dollari (2023)

    Un attacco coordinato di SIM-swap ha preso di mira gli investitori in criptovalute, prosciugando i portafogli protetti da SMS 2FA. L'FBI ha arrestato l'anello, ma la maggior parte dei fondi non è stata recuperata.

    Twitter di Jack Dorsey (2019)

    L'account dell'amministratore delegato di

    Twitter è stato violato tramite uno scambio di SIM. Se il CEO di un'azienda tecnologica non è al sicuro, nessuno lo è.

    Come proteggersi

    1. Imposta un PIN sul tuo account operatore

    Chiama il tuo operatore telefonico e imposta un PIN o un passcode da fornire per eventuali modifiche all'account. Questo è il passaggio più importante:

  • T-Mobile: PIN dell'account nelle impostazioni
  • __AT&T: Codice di sicurezza extra
  • Verizon: PIN account
  • __Maggior parte degli operatori: Chiama il servizio clienti per richiedere un PIN di sicurezza

    • 2. Passa alle app di autenticazione

    Sostituisci SMS 2FA con un'app di autenticazione ovunque possibile. I codici vengono generati sul tuo dispositivo e non viaggiano mai sulla rete.

    App consigliate: Google Authenticator, Authy (ha backup nel cloud), Microsoft Authenticator. Per la massima sicurezza, utilizza una chiave hardware YubiKey.

    3. Abilita blocco numero/blocco porta

    La maggior parte degli operatori offre una funzionalità che impedisce il trasferimento del tuo numero senza la verifica di persona con un documento d'identità governativo. Abilitalo adesso.

    4. Utilizza un numero separato per i conti finanziari

    Considera l'utilizzo di un numero Google Voice o di una SIM prepagata secondaria esclusivamente per i servizi bancari e finanziari. Non condividere questo numero pubblicamente.

    5. Rimuovi il tuo numero dai profili pubblici

    Il tuo numero di telefono sui social media semplifica l'ingegneria sociale. Rimuovilo dai profili pubblici e disattiva i siti di broker di dati come Whitepages, Spokeo e BeenVerified.

    6. Monitora i segni di uno scambio di SIM

    Se riscontri uno di questi problemi, agisci immediatamente:

  • Perdita improvvisa del segnale del cellulare
  • Messaggi "SIM non fornita" o "Nessun servizio"
  • E-mail impreviste dell'operatore relative alle modifiche dell'account
  • Impossibile effettuare chiamate o inviare SMS

    • Se ciò accade: chiama immediatamente il tuo operatore da un altro telefono. Quindi modifica le password per la tua email e proteggi i tuoi account.

    FAQ

    Cos'è un attacco SIM-swap?

    Un attacco di scambio SIM avviene quando un criminale convince il tuo operatore di telefonia mobile a trasferire il tuo numero di telefono su una carta SIM che controlla. Una volta che hanno il tuo numero, ricevono le tue chiamate, i tuoi SMS e i codici di verifica SMS.

    Qualcuno può hackerare il mio telefono tramite SMS?

    Sì. Gli aggressori possono inviare collegamenti dannosi tramite SMS (smishing), sfruttare le vulnerabilità del protocollo SS7 per intercettare i messaggi o utilizzare attacchi di scambio SIM per reindirizzare completamente i messaggi. Questo è il motivo per cui gli SMS non sono consigliati per l'autenticazione a due fattori.

    Come faccio a sapere se la mia SIM è stata scambiata?

    Il segnale più evidente è l'improvvisa perdita del servizio cellulare: nessun segnale, nessuna chiamata, nessun messaggio. Potresti anche ricevere notifiche inaspettate dal tuo operatore sulle modifiche dell'account. In questo caso, contatta immediatamente il tuo operatore da un altro telefono.

    Strumenti correlati

  • Password Generator: le password complesse rimangono la tua migliore difesa quando gli SMS falliscono
  • __Guida 2FA: passa dagli SMS all'autenticazione sicura
  • __Guida al recupero della posta elettronica: cosa fare quando gli account vengono compromessi