LEGALAUDIT
Cyber Coach

Ingegneria sociale

Account takeover, SIM swap e OTP phishing

Il numero passa a un'altra SIM, gli SMS bancari arrivano altrove, l'account email viene svuotato. Sequenza tipica.

10 min di letturaAvanzato

Indicatori da riconoscere

  • Il telefono perde rete improvvisamente e non riprende dopo riavvio
  • Ricevi email di 'cambio password' o 'nuovo dispositivo' che non hai richiesto
  • Notifica di porting del numero senza che tu abbia firmato nulla
  • Login nell'app bancaria fallisce con messaggio 'dispositivo non riconosciuto'
  • L'operatore telefonico ha attivato una eSIM su tua richiesta che non hai fatto
  • Notifiche 2FA push che non hai iniziato (push fatigue)
  • Una falsa pagina di login bancaria ti chiede dati + OTP in real-time

Cosa fare subito

  • Attiva blocco porting / 'porting lock' con il tuo operatore (se disponibile)
  • Sposta 2FA da SMS a app authenticator o chiave hardware FIDO2
  • Imposta PIN aggiuntivo presso l'operatore per qualunque operazione su SIM/eSIM
  • Monitora gli accessi email: regole di inoltro, ultimi login, app collegate
  • Se sospetti SIM swap: chiama subito l'operatore da un altro telefono, blocca la SIM
  • Avvisa la banca per congelare bonifici uscenti per 24-48h
  • Genera codici di recupero e conservali offline (cassaforte o cassetto sicuro)

Caso reale

SIM swap su libero professionista, Roma 2025

Un avvocato di Roma riceve un 'cliente' che gli chiede preventivo via email con documento di identità scansionato. Il documento è suo, rubato in un breach precedente. I criminali avevano ottenuto data di nascita, codice fiscale e numero telefonico da listing sul dark web.

Il giorno dopo l'avvocato perde la linea telefonica. Nel giro di 90 minuti i criminali resettano la password della banca via SMS, autorizzano un bonifico SEPA istantaneo di 28.000 EUR verso una mule lituana e svuotano il conto Revolut. L'avvocato realizza tutto solo quando passa dal Tabacchi e vede l'app banca con saldo zero.

Mythos ha ricostruito la timeline: incrocio di breach esposti, finestra temporale tra perdita linea e bonifico, cluster del wallet ricevente. Il dossier ha permesso al pubblico ministero di richiedere il congelamento entro le 24h grazie alla rete Europol AMP.

Cosa può fare Mythos su questo caso

  • Cross-check dell'email/numero con database di breach noti (HIBP-style)
  • Analisi della timeline: porting, login bancario, transazioni
  • Tracciamento del bonifico SEPA e correlazione con cluster di money mule noti
  • Analisi dei log email per regole di inoltro e accessi sospetti
  • Dossier per la richiesta di congelamento via Europol/AMP

Passi successivi

Lezione 2FA: il salvavita del contoAnalizza l'incidente con Mythos