NEWS

Sicurezza dati, l'autenticazione a due fattori è già obsoleta?

Era lo scorso 30 agosto, quando il ceo di Twitter Jack Dorsey era diventato l’ultima – e sicuramente quella di più alto profilo – vittima di una delle Cyber minacce più recenti e pericolose degli ultimi anni: il SIM Swapping, studiato appositamente per bypassare le nuove misure di autenticazione a due fattori. Questo tipo di attacchi (in italiano si traduce in scambio sim) hanno visto una crescita esponenziale grazie alla facilità con cui possono essere sferrati. Infatti richiedono solo una buona dose di abilità nel social engineering per avere accesso alla SIM card bersaglio; di fatto si tratto di un’altra forma di Phishing.


Il SIM Swapping è una tecnica di criminal hacking in cui gli attori della minaccia prendono di mira gli operatori di telefonia mobile nel tentativo di appropriarsi delle credenziali dei conti bancari degli utenti. L'obiettivo finale dell'attacco consente all'attore della minaccia di contrastare e bypassare l'autenticazione a due fattori basata sull’SMS e ciò che è stato progettato per proteggere.

Questo funziona grazie a tre metodologie ben distinte di attacco:

- Corruzione: a volte i metodi criminali più “old school” sono i più efficaci. I Criminal hacker corrompono un insider all’interno della compagnia telefonica della vittima bersaglio per eseguire un’operazione di clonazione del numero prescelto;
- Possono violare il sistema di provisioning (tramite phishing o altre attiche simili). Questo, nelle telecomunicazioni, è il fornire i servizi di telecomunicazioni ad un utente. Ciò include hardware, software, cablaggio e quanto di specifico il cliente abbia chiesto;
- Da ultimo, possono tentare di impersonare il proprietario del numero di telefono e ingannare l'operatore di telefonia mobile per trasferire il numero.

Fino a poco tempo fa erano disponibili poche statistiche sugli attacchi contro i sistemi di autenticazione a due fattori riusciti, poiché abbastanza rari. Ma non dobbiamo mai sottovalutare l’ingegnosità dei criminal hacker. I Phisher stanno infatti cambiando questa situazione e – utilizzando una combinazione di tecniche “vecchia scuola” e di social engineering – possono ora convincere gli operatori di telefonia mobile di essere la vittima prescelta e ottenere con successo un accesso illimitato alle vostre informazioni sensibili.

Anche se ancora poco comuni in Italia, dall’altra parte dell’Atlantico i clienti di telefonia mobile di Stati Uniti e Canada sono sempre più i principali bersagli di questi attacchi e i loro conti privati, come le loro informazioni bancarie, sono l'obiettivo finale.

Ma come riconosciamo un “attacco tipo”?

Solitamente l’iter segue alcuni passaggi chiave: in primo luogo, la vittima riceve “un'esca” di phishing mascherata da SMS dal proprio operatore di telefonia mobile. Questi tipicamente dicono qualcosa di allettante, ma comunque verosimile, del tipo "stiamo emettendo un rimborso per un precedente sovrapprezzo" - ovvero che noi, operatore telefonico - vi dobbiamo dei soldi. Se il destinatario sbadatamente non contatta il suo provider attraverso i canali tradizionali, il link all'interno del messaggio – ovviamente malevolo – gli chiederà di inserire i suoi dati personali e bancari.

Questi vengono istantaneamente registrati e inviati direttamente al criminal hacker. Inoltre, cliccando sul link di phishing, il destinatario ha confermato che il numero di cellulare è una linea attiva.

Ora, con le informazioni rubate in mano, l’aggressore ha anche la possibilità di effettuare una ricerca online, confermare il fornitore dell'utente del telefono cellulare e chiamare l'operatore. Dopo di che tutto quello che deve fare è rispondere ad alcune domande utilizzando i dati personali della vittima, convincere l'operatore di telefonia mobile di essere effettivamente l'utente e far passare il numero di telefono a distanza su una scheda SIM che, guarda caso, appartiene al truffatore.

Per testare l’efficacia del metodo un team di ricercatori dell’università di Princeton, ha effettuato un test a campione con circa 50 tentativi di SIM Swapping contro i 5 più grandi operatori telefonici statunitensi. Il risultato finale ha messo in evidenza i punti deboli di ciascuna di esse, osservando che nella maggior parte dei casi l'attore di una minaccia deve rispondere correttamente a una sola domanda quando viene interrogato dal suo rappresentante del servizio clienti per poter reimpostare la password sul conto e trasferire il numero. Ottenuto il controllo del numero di cellulare, il Criminal Hacker, ovviamente, può contrastare i controlli 2FA (2 factor authentication) basati su SMS che avrebbero dovuto proteggere il conto bancario online dell'utente.

Reimpostando una qualsiasi password dei conti compromessi, l'acquisizione è completa. Non sono mancati neppure gli esempi concreti dell’efficacia del metodo. Un incontro particolarmente spiacevole in prima persona con un attacco di SIM swap ha fatto sì che la vittima avesse il suo conto Coinbase svuotato, che valeva circa 100.000 dollari in valuta criptata.

Ovviamente non tutti i sistemi di autenticazione a due fattori sono uguali. Per le organizzazioni che si vedono bersagliate da questi attacchi di SIM Swapping è consigliabile passare a sistemi che non possono essere sfruttati da remoto. App di autenticazione con sensori biometrici che richiedono la presenza fisica del titolare del numero di telefono diminuiscono sensibilmente il rischio – anche per le stesse compagnie telefoniche – di essere vittime di questo tipo di truffa.

Anche soluzioni più semplici come l’adozione di extra layer di protezione come un semplice PIN per i servizi che richiedono accesso da remoto.

Un altro consiglio sempre valido è quello di non diffondere informazioni personali “identificative” su social network e sul web in generale; il rischio, altrimenti, è che queste informazioni vengano utilizzate per effettuare un furto di identità, impersonare il target e chiedere il trasferimento del suo numero di telefono su una nuova SIM.

Fonte: Il Foglio

Note Autore

Pierguido Iezzi Pierguido Iezzi

CyberSecurity Director, Digital Innovation Manager, co-fondatore di Swascan

Prev Privacy e intelligenza artificiale, i tre temi critici del 2020
Next L'integrazione del Framework Nazionale per la Cybersecurity e la Data Protection con la ISO/IEC 27701 e lo ISDP©10003

25 maggio 2023: il Privacy Day Forum al CNR di Pisa nel giorno del 5° anniversario del GDPR

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy