Alfonso Maruccia

Phone Hijacking, il nuovo fenomeno dell'estate

Dagli USA arriva l'allarme su uno dei rischi di sicurezza più in crescita del momento, con i cyber-criminali impegnati a rubare i numeri telefonici per svuotare account, portafogli di criptomonete e altro ancora

Roma - La nuova frontiera del cyber-crimine a stelle e strisce è il phone hijacking, vale a dire la pratica di "rubare" il controllo di un numero telefonico cellulare al legittimo proprietario per poi chiedere un riscatto, compromettere gli account online e - soprattutto - svuotare i portafogli virtuali dei possessori di Bitcoin e altre criptomonete sulla breccia.

L'allarme arriva dalla Federal Trade Commission (FTC) USA ed è stato rilanciato in queste calde settimane agostane dal New York Times, e serve per sottolineare i rischi di un fenomeno sempre più diffuso oltre che per denunciare la scarsa consapevolezza del problema da parte delle compagnie di telecomunicazioni e provider assortiti.

Lorrie Cranor, Chief Technologist per la FTC, parla del phone hijacking dopo esserci passata in prima persona quando una sconosciuta è entrata in un negozio di telefonia, ha dichiarato di essere lei e ha acquistato due nuovi iPhone collegandoli al numero di telefono di Cranor. Ovviamente, il conto (salato) dell'acquisto è stato poi spedito alla vera Cranor quando ormai era troppo tardi.
Il phone hijacking è in crescita sostenuta, spiegano dalla FTC, dai 1.038 incidenti registrati a gennaio del 2013 (negli USA) si è arrivati a 2.658 a gennaio 2016 e questo senza tenere conto di chi ha scelto di non denunciare il suo caso alle autorità. Oltre alla disavventura di Cranor, in molti altri casi i criminali chiamano direttamente le compagnie telefoniche chiedendo di trasferire il controllo di un numero di telefono a un altro dispositivo sotto il loro controllo.

Una volta convinto l'operatore a eseguire l'operazione, i criminali possono sfruttare la presunta sicurezza superiore dei meccanismi di autenticazione a doppio fattore - tramite cui viene inviato un codice alfanumerico di controllo su un numero di cellulare presumibilmente in possesso dell'utente - per compromettere account di posta elettronica, profili sui social network e tutto quanto.

Ed è proprio qui che risiede una delle origini del problema, denunciano le autorità, perché Verizon, AT&T e compagnia sono generalmente propense a cambiare il controllo di un numero telefonico senza fare particolare attenzione all'esattezza delle informazioni di controllo fornite dagli impostori che si spacciano per gli utenti.

I danni potenziali derivanti dal phone hijacking sono notevoli, ma a quanto pare uno dei bersagli prediletti dai criminali sono al momento i possessori di criptomonete: chi traffica in Bitcoin e compagnia tende apparentemente a farlo sapere in giro tramite i social network, e un malintenzionato può sfruttare le informazioni disponibili in rete - oltre al trucco del cambio di controllo del numero telefonico - per rubare i BTC in possesso dello sprovveduto utente vittima dell'attacco.

Alfonso Maruccia
Notizie collegate
  • AttualitàBitcoin, divide et impera?Scontri tra i gestori del software portano alla creazione di una nuova criptomoneta, Bitcoin Cash (BCC), in contrapposizione al classico Bitcoin. Ha esordito alla grande e creato non pochi scompigli nel mercato delle criptovalute
11 Commenti alla Notizia Phone Hijacking, il nuovo fenomeno dell'estate
Ordina
  • Hakerare una rete GSM è possibile, prendere il controllo da remoto di uno smartphone è relativamente facile, per ottenere il clone di una SIM basta un po' di pelo ed un po' di ingegneria sociale.

    Eppure la banca on-line con cui ho rapporti tutto sommato felici da quasi 20 anni vuole in tutti i modi convincermi ad aderire ad una modalità di "firma digitale" (con quale coraggio la chiamano così?) basata su uno scambio di SMS.

    Ho discusso col commerciale e col servizio clienti e sono stato trattato da retrogrado, vi farei sentire il tono ironico-compassionevole delle risposte quando illustravo loro i rischi della tecnologia proposta.

    E non sono solo loro, tutti arrabattano in direzione della dematerializzazione e credono che l'autenticazione tramite telefono sia la panacea verso tutta la burocrazia cartacea.

    Perché non usare la CNS? Forse troppo semplice, qualche manager IT avrà ritenuto che non c'era gloria.
    non+autenticato
  • Da una parte i loro sistemi di pagamento sono antidiluviani. Sistemi di pagamento online con card reader che leggono il tuo bancomat e genrano codici temporanei come un token esistono da 10 anni.

    Però il problema è anche il potere degli americani che vogliono tenere le banche straniere legate a VISA o Mastercard. Le altre banche europee li hanno mandati affanculo, le nostre banche non osano affidarsi a sistemi indipendenti. In più il telefono è un buon sistema per tracciare gli utenti. Ti conviene tenere d'occhio le altre banche europee. Quado mettono piede in Italia sarà la grande fuga dai dinosauri italiani.
    non+autenticato
  • Il problema è causato dai mostruosi buchi di sicurezza nel sistema ideato da Apple. La SIM integrata nel telefono e la possibilità data a personale inesperto di settare il numero di telefono nella SIM integrata sono azioni criminali.
    Se Apple fosse una società seria dovrebbero rotolare tante teste fuori dai loro uffici.
    non+autenticato
  • L'articolo parla di altro.

    Qualcuno è entrato in un negozio di fonia, ha attivato due NUOVE SIM con numeri uguali alle precedenti, in possesso del legittimo proprietario, se le è fatte installare su due nuovi telefoni ed uscito come se nulla fosse.
    All'attivazione delle nuove sim, le vecchie hanno smesso di funzionare.

    Tutto questo in modo indipendente da qualunque produttore di apparati. Il problema è nella modalità di identificazione del soggetto che si è presentato in negozio che solitamente si basa su un documento con foto ed il codice fiscale...

    Leggere prima di commentare no, eh?
  • - Scritto da: logicaMente
    > L'articolo parla di altro.
    >
    > Qualcuno è entrato in un negozio di fonia, ha
    > attivato due NUOVE SIM con numeri uguali alle
    > precedenti, in possesso del legittimo
    > proprietario, se le è fatte installare su due
    ....

    >
    > Leggere prima di commentare no, eh?

    Lorrie Cranor, Chief Technologist per la FTC, parla del phone hijacking dopo esserci passata in prima persona quando una sconosciuta è entrata in un negozio di telefonia, ha dichiarato di essere lei e ha acquistato due nuovi iPhone collegandoli al numero di telefono di Cranor. Ovviamente, il conto (salato) dell'acquisto è stato poi spedito alla vera Cranor quando ormai era troppo tardi.
    non+autenticato
  • Appunto. La marca o il modello dei nuovi telefoni che il simpatico malvivente ha fatto addebitare sul conto della signora è significativo nel contesto (a parte il fatto che sono oggetti costosi, facilmente smerciabili e quindi appetibili)?

    Ci sono collegamenti, anche impliciti con il meccanismo delle SIM "integrate"? No, anche perchè lo stesso articolo originale (linkato) dice che: " The customer service representative explained that my account had been updated to include new iPhones, and in the process the SIM cards in my Android phones had been deactivated . " e poi " The store replaced my SIM cards and got my phones working again "

    Aggiorno la domanda precedente: leggere e capire no, eh?
  • Ma che glielo spieghi a fare ???? Gli é bastato leggere iPhone , gli si é chiusa la vena ed ha cominciato a dare aria alla bocca.
    non+autenticato
  • - Scritto da: umby
    > In effetti qualcuno si era giá mosso in tal senso
    > tempo
    > fa...
    >
    > http://www.finanzaonline.com/forum/banking-carte-d
    >
    > https://www.investireoggi.it/forums/threads/widiba

    Questo è colpa dei sistemi retrogradi delle banche italiane.
    Quando le banche straniere sbarcheranno in Italia con sistemi tipo ingenico che sono intere epoche piu avanti le banche italiane soffriranno parecchio.
    non+autenticato
  • L'utilizzo del numero di telefono come fattore di autenticazione è deprecated dal NIST da anni. E comunque nessuna compagnia telefonica al mondo ha mai garantito che un numero telefonico fosse unicamente utilizzabile da una sola persona. Anzi, da decenni è noto che le linee fisse sono senza autenticazione e che i numeri di telefono posso essere riassegnati. Solo in pochi paesi (tra cui l'Italia) è prevista la registrazione del documento per accendere una linea telefonica mobile, ed a fini antiterrorismo (avere qualcuno a cui fare domande), non antifrode.

    Il prossimo grande annuncio quale sarà? Che le impronte digitali non possono essere cambiate se compromesse?
    non+autenticato
  • La richiesta di copia di un documento d'identità è una procedura tanto sicura che nel 2010 alla morte di mia madre è saltato fuori che era intestataria di tredici utenze cellulari - lei che non aveva mai avuto intestato nemmeno il telefono fisso.
    non+autenticato