Sicurezza informatica: gli hacker a caccia di numeri di telefono

Da molti analisti ed esperti del settore è considerato come una sorta di Sacro Graal della sicurezza informatica. Quanto meno, quando si parla di protezione degli account personali e della privacy. In effetti, l’autenticazione a due fattori permette all’utente di rafforzare la “difesa perimetrale” della propria posta elettronica, del proprio porfilo social o dell’home banking, richiedendo di inserire un secondo codice numerico (solitamente di sei cifre) oltre la password per certificare la propria identità.

L’autenticazione a due fattori, però, non è “uguale per tutti”. A seconda del servizio su cui si decide di attivarlo, l’utente riceverà il codice tramite un’apposita appoppure via messaggio di testo. Una scelta apparentemente “innocua”, ma che potrebbe avere conseguenze piuttosto gravi per la nostra privacy e la difesa degli account che abbiamo online. Insomma, l’obiettivo diametralmente opposto per il quale si utilizza solitamente l’autenticazione a due fattori.

Come dimostrano diversi studi di settore – e decine di casi reali – utilizzare il proprio numero di cellulare per ottenere il codice secondario è tra le scelte più errate che si possano fare. A differenza dell’app, infatti, un numero di telefono può essere oppure “preso in ostaggio” da hacker e criminali informatici di vario tipo. I cyber criminali, in particolare, sembrano aver individuato due diverse tecniche per aggirare la verifica in due passaggi: il furto – anche temporaneo – del numero di telefono o sfruttare dei bug del sistema di invio e ricezione degli SMS.

Come funziona il phone hijacking

phone hijacking

La prima tecnica, più semplice da mettere in atto e per questo più utilizzata, è quella del phone hijacking (letteralmente, “dirottamento del telefono”). Si tratta di un vero e proprio attacco di social engineering condotto non tanto contro l’intestatario del numero di telefono, quanto nei confronti della compagnia telefonica. Tutto quello di cui si ha bisogno è conoscere alcuni dati anagrafici della vittima (nome e cognome, data e luogo di nascita dovrebbero essere più che sufficienti), il numero di telefono e l’operatore telefonico.

A questo punto basterà recarsi presso un centro assistenza (oppure chiamare il servizio clienti) e, con una scusa qualsiasi, convincere la persona con la quale si parla a disattivare la vecchia SIM e attivarne una nuova con lo stesso numero. Nel caso si abbia successo, nel giro di qualche ora si avrà tra le mani la chiave per scardinare l’autenticazione a due fattori della vittima prima ancora che possa accorgersi che il proprio telefono è stato dirottato. Basterà inserire le credenziali di accesso e attendere la ricezione del messaggio di testo e il gioco è fatto.

Sfruttare il bug del protocollo SS7

Una tecnica più raffinata, e per questo più dispendiosa sia economicamente sia temporalmente, è quella che prevede di sfruttare a proprio vantaggio un bug nel protocollo SS7. Acronimo di Signaling System 7, si tratta di una serie di protocolli che si occupano di gestire chiamate, invio e ricezione di SMS e altri servizi di telefonia. Sfruttando le vulnerabilità – note da tempo, ma mai risolte – dell’SS7, gli hacker possono far credere alla rete mobile di avere lo stesso numero di telefono della vittima, e quindi possono ricevere chiamate a loro nome, ma anche SMS e usufruire di altri servizi.

Mettendo in atto un attacco man in the middle, dunque, si potrà clonare il numero di telefono della vittima, richiedere l’invio del codice di sblocco del sistema di verifica in due passaggi e attendere comodamente la ricezione dell’SMS. A differenza del dirottamento del telefono, in questo caso la vittima si accorgerà di quanto accaduto solo nel momento in cui avrà modo di scoprire l’eventuale furto di informazioni.

Furto di Bitcoin, ma non solo

furto bitcoin

Le prime avvisaglie di questa nuova tendenza del mondo della sicurezza informatica sono arrivate dagli Stati Uniti, dove diverse persone si sono ritrovate di punto in bianco con uno o più account violati. Diversi casi riguardano l’accesso al portafogli Bitcoin (o, comunque, di criptovalute) con furti che vanno dai 150mila dollari a svariati milioni di dollari. Ma questa non è che la punta dell’iceberg: la stessa tecnica può essere utilizzata per accedere a caselle di posta elettronica, a profili social e anche il mobile o l’home banking. Insomma, una vera e propria chiave universale per il nostro mondo digitale.

Furto d’identità telematico

furto identità

Così, anche se si dovesse essere impostata una password sicura, chiunque riuscirebbe a bypassare l’ostacolo dell’autenticazione a due fattori e introdursi nella nostra posta elettronica o nel nostro profilo social con pochissimo sforzo. A pensarci bene, si tratta di un vero e proprio furto d’identità digitale, dal momento che accedendo alla posta elettronica, il cyber criminale avrà modo di scoprire anche le credenziali di altri servizi web.

Ciò consentirà al criminale informatico di spacciarsi per noi sui social network, di controllare lo stato del nostro conto corrente o, come detto, rubare i Bitcoin e le altre criptovalute presenti nei nostri portafogli crittografici. Non solo: queste tecniche di attacco informatico possono permettere di accedere anche al nostro profilo WhatsApp e Telegram, dando modo all’hacker di chattare tranquillamente con i nostri amici e ricavare ancora più informazioni sul nostro conto.

Grazie per il tempo dedicato alla lettura di questo articolo

Paolo

Annunci

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione /  Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione /  Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione /  Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione /  Modifica )

w

Connessione a %s...

Create a website or blog at WordPress.com

Su ↑

%d blogger hanno fatto clic su Mi Piace per questo: