Perdere il controllo del proprio smartphone a causa di attacchi di frode "SIM swap" può avere conseguenze potenzialmente devastanti
Anche con notevoli precauzioni di sicurezza in atto, L'amministratore delegato di Twitter Jack Dorsey è diventato vittima di un imbarazzante compromesso quando gli aggressori hanno preso il controllo del suo account sulla piattaforma dirottando il suo numero di telefono.
Dorsey è diventato l'ultimo obiettivo della cosiddetta frode "SIM swap" che consente a un truffatore di indurre un operatore di telefonia mobile a trasferire un numero, causando potenzialmente la perdita del controllo non solo dei social media, ma conti bancari e altre informazioni sensibili.
Questo tipo di attacco mira a una debolezza nell'"autenticazione a due fattori" tramite messaggio di testo per convalidare l'accesso a un account, che è diventato un metodo di effrazione popolare negli ultimi anni.
Twitter ha detto venerdì che l'account è stato ripristinato dopo un breve periodo in cui gli aggressori hanno pubblicato una serie di tweet offensivi.
Ma Ori Eisen, fondatore della società di sicurezza Trusona con sede in Arizona, specializzata nell'autenticazione senza password, ha affermato che la soluzione rapida non dovrebbe essere vista come una risposta al vasto problema delle frodi relative allo scambio di SIM.
"Il problema non è finito, "Eisen ha detto, osservando che questi tipi di attacchi sono stati utilizzati per impadronirsi di altri account di social media di alto profilo e per vari tipi di schemi di frode.
Eisen ha affermato che non è chiaro quante persone vengano attaccate in questo modo, ma che la tecnologia automatizzata può creare miliardi di chiamate che inducono le persone a rinunciare a informazioni o password.
Cambio di telefoni, o frode?
Alcuni analisti affermano che gli hacker hanno trovato il modo di ottenere facilmente informazioni sufficienti per convincere un operatore di telecomunicazioni a trasferire un numero sull'account di un truffatore, soprattutto dopo l'hacking di grandi database che portano a dati personali venduti sul cosiddetto "dark web".
Il CEO di Twitter Jack Dorsey è diventato vittima di un hack "SIM swap" che ha permesso a un utente malintenzionato di pubblicare tweet offensivi che sembravano provenire da lui
"I messaggi di testo degli account mobili possono essere dirottati da sofisticate tecniche hardware, ma anche dalla cosiddetta "ingegneria sociale":convincere un gestore di telefonia mobile a migrare il tuo account su un altro, telefono non autorizzato, " ha detto R. David Edelman, un ex consigliere della Casa Bianca che dirige un centro di ricerca sulla sicurezza informatica presso il Massachusetts Institute of Technology.
"Ci vogliono solo pochi minuti di confusione per fare danni come quelli sperimentati da Dorsey."
Migliaia di questi attacchi sono stati segnalati in paesi in cui i pagamenti mobili sono comuni, anche in Brasile, Mozambico, India e Spagna.
I ricercatori della società di sicurezza Kaspersky affermano che i sistemi di sicurezza di molti operatori mobili "sono deboli e lasciano i clienti aperti ad attacchi di scambio di SIM", soprattutto se gli aggressori sono in grado di raccogliere informazioni come date di nascita e altri dati.
In un recente post sul blog, I ricercatori di Kaspersky Fabio Assolini e Andre Tenreiro hanno affermato che alcuni casi provengono da criminali informatici che pagano dipendenti corrotti di gestori di telefonia mobile, per un minimo di $ 10 a $ 15 per vittima.
"L'interesse per tali attacchi è così grande tra i criminali informatici che alcuni di loro hanno deciso di venderlo come servizio ad altri, " hanno scritto i ricercatori.
In Brasile, alcuni criminali si sono impossessati degli account WhatsApp delle vittime, usarlo per chiedere agli amici della persona un "pagamento urgente, "Scrissero Assolini e Tenreiro.
'Maturo' per frode
"Questa è una strada abbastanza matura per la frode, " ha detto Joseph Hall, tecnologo presso il Center for Democracy &Technology di Washington.
Un attacco che si impossessa del telefono cellulare di un utente può portare alla perdita del controllo dei conti bancari e dei social media, dicono gli esperti di sicurezza
Hall ha affermato che alcuni operatori utilizzano l'intelligenza artificiale per separare le sostituzioni legittime della carta SIM dalle frodi, ma che questo non è stato diffuso universalmente.
"Darei la colpa ai gestori di non avere modi più robusti per autenticare gli utenti, " Ha aggiunto, invitando anche Twitter a offrire migliori garanzie.
Un falso tweet del presidente o di un'altra persona di spicco potrebbe portare a "conseguenze devastanti, "come un crollo dei mercati finanziari, ha detto Sala.
"Questo genere di cose diventa difficile da contrastare, perché anche dopo che è emersa l'informazione che si tratta di una bufala, la gente potrebbe non crederci, " Egli ha detto.
Il caso Dorsey, Sala ha detto, evidenzia la necessità di migliori forme di autenticazione, soprattutto per le grandi piattaforme online come Facebook e Twitter dove i messaggi possono avere un impatto.
Potrebbe trattarsi di una chiave fisica che si collega a un dispositivo o a un sistema basato su software come Google Authenticator, Sala ha notato.
Eisen ha detto che paradossalmente, la spinta verso password più lunghe e complesse ha portato a un maggiore utilizzo di messaggi di testo non sicuri per l'autenticazione.
"I professionisti della sicurezza devono accettare il fatto che ciò che prima funzionava non funziona ora, " Egli ha detto.
"Dobbiamo cercare soluzioni che non siano facilmente sfruttabili dai malintenzionati e che siano facili da adottare per le persone".
© 2019 AFP