SIM Swapping, cresce l'allarme: ecco perché è pericoloso e quali contromisure adottare

[Redazione di Hardware Upg]

Link alla notizia: https://www.hwupgrade.it/news/sicure...re_104742.html

L'FBI lancia l'allarme, ma la minaccia esiste anche in Europa e la polizia spagnola ha appena sgominato un'organizzazione criminale impegnata in questo tipo di attacchi. Ecco di che si tratta

Click sul link per visualizzare la notizia.

[agonauta78]

La miglior difesa non esiste in caso di negozianti collusi con i malviventi. Secondo me la verifica quotidiana del saldo e del funzionamento della sim, può già bastare. In ogni caso se sostituiscono la sim, la maggior parte delle volte smette di funzionare dalle 24. La mia app bancaria richiede un codice di verifica ottenibile solo tramite call center negli orari previsti ogni volta che cambio telefono e la reinstallo, e già questo dovrebbe garantire una maggiore sicurezza

[Sandro kensan]

Quindi l'articolo sta dicendo semplicemente che l'autenticazione a due fattori fatta con il cellulare fa schifo e se uno è così ingenuo da metterci tutti i propri soldi con a guardia l'autenticazione a due fattori basata su SIM ovvero basata su cellulare allora deve affrontare "una vera e propria corsa contro il tempo difficile da vincere.".

Anche perché un attaccante ha gioco facile ad entrare nel nostro cellulare, quindi impossessarsi solo di dati quali le nostre credenziali di accesso al conto corrente (che abbiamo sul cellulare, il nostro nome e cognome che è sicuramente sul cellulare, il nostro numero di telefono, i dati della nostra carta di identità che sicuramente sono sul nostro cellulare (data di nascita, luogo, residenza, ovvero codice fiscale).

Con i solo dati (che sono numeri e lettere), l'attaccante fa lo SIM Swap e ci frega i soldi del conto corrente, tutti e subito. I soldi di una vita andati in fumo solo perché il "cellulare è tanto comodo". Alla faccia...!

[Yramrag]

Il token (offline) per accedere all'home banking non era più considerato sicuro perché, esattamente...?

[!fazz]

Quote:

Originariamente inviato da Yramrag

Il token (offline) per accedere all'home banking non era più considerato sicuro perché, esattamente...?

non è che non era considerato più sicuro è che con il token fisico (che anche io preferisco) non c'era la correlazione con l'identità dell'utente cosa che secondo chi ha scritto la legge c'è maggiormente con un app sul cellulare

Quote:

Originariamente inviato da agonauta78

La miglior difesa non esiste in caso di negozianti collusi con i malviventi. Secondo me la verifica quotidiana del saldo e del funzionamento della sim, può già bastare. In ogni caso se sostituiscono la sim, la maggior parte delle volte smette di funzionare dalle 24. La mia app bancaria richiede un codice di verifica ottenibile solo tramite call center negli orari previsti ogni volta che cambio telefono e la reinstallo, e già questo dovrebbe garantire una maggiore sicurezza

la migliore difesa sarebbe imho ritardare la procedura di cambio sim di ad esempio 24h con sms sulla vecchia sim di richiesta di cambio e possibilità di blocco ma purtroppo in questo modo se uno ad esempio perde il telefono impiega un giorno in più a tornare operativo

[agonauta78]

In ogni caso la mia banca permette di annullare i bonifici entro le 19, per cui...certo che se non ti funziona la sim e non ti fai delle domande...

[Jack.Mauro]

Il problema non è solo l'autenticazione a 2 fattori, ma anche il funzionamento tipico del "recupera password" che si appoggia molto spesso al solo fattore telefonico.

[Yramrag]

Quote:

Originariamente inviato da !fazz

non è che non era considerato più sicuro è che con il token fisico (che anche io preferisco) non c'era la correlazione con l'identità dell'utente cosa che secondo chi ha scritto la legge c'è maggiormente con un app sul cellulare

Quindi un dispositivo che tengo (tenevo) sempre nel cassetto è meno sicuro di uno che bene o male ho sempre con me.
Tra l'altro, il mio token chiedeva di inserire il bancomat, il PIN del bancomat e poi generava una coppia di codici in risposta a quella richiesta dall'operazione online... A me pareva sicuro

[Darkon]

Quote:

Originariamente inviato da Yramrag

Il token (offline) per accedere all'home banking non era più considerato sicuro perché, esattamente...?

Perché la maggior parte della gente conservava il token fisico insieme a un foglio con scritto username e password.

Il numero degli accessi illeciti dovuti a questo tipo di conservazione aveva raggiunto livelli devastanti e quindi han dovuto trovare altro.

[Sandro kensan]

Quote:

Originariamente inviato da Yramrag

Quindi un dispositivo che tengo (tenevo) sempre nel cassetto è meno sicuro di uno che bene o male ho sempre con me.
Tra l'altro, il mio token chiedeva di inserire il bancomat, il PIN del bancomat e poi generava una coppia di codici in risposta a quella richiesta dall'operazione online... A me pareva sicuro

La "calcolatrice" di Bancoposta? Era una ottima soluzione. Comunque è falso quel che è stato detto riguardo il fatto che il token non è legato alla persona. Diverse banche attualmente danno il token legato alla persona e applicano il SMS come terzo fattore di autenticazione.

Riassumendo: credenziali per accedere al conto, token fisico e EMS per confermare l'operazione.

Ricordo a un commentatore qui sopra che esistono i bonifici istantanei e che le banche li stanno implementando. Questo significa che dopo un minuto tutti i propri soldi sono sul conto corrente dell'attaccante il quale può prelevarli. Quindi non è più annullabile un bonifico istantaneo.

[Sandro kensan]

Quote:

Originariamente inviato da Darkon

Perché la maggior parte della gente conservava il token fisico insieme a un foglio con scritto username e password.

Il numero degli accessi illeciti dovuti a questo tipo di conservazione aveva raggiunto livelli devastanti e quindi han dovuto trovare altro.

Quindi è falso che il sistema attuale è più sicuro di quello vecchio ed è vero che è più sicuro solo per quegli utenti che conservano il PIN del token insieme al token fisico.

Diciamo le cose come stanno perché poi i soldi di una vita sono i miei e non di quelli che mettono il fogliettino insieme al token.

[Sandro kensan]

Quote:

Originariamente inviato da Yramrag

Il token (offline) per accedere all'home banking non era più considerato sicuro perché, esattamente...?

Come ha detto Darkon (penso sia vero) il token fisico è enormemente più sicuro ma è stato tolto perché si voleva agevolare gli utenti che conservano il PIN insieme al token fisico.

Poi diverse banche forniscono su richiesta il token fisico, basta informarsi e chiedere. Io ho scelto la mia banca sulla base del fatto che mi fornisse il token fisico altrimenti avrei scelto un'altra banca.

[Darkon]

Quote:

Originariamente inviato da Sandro kensan

Quindi è falso che il sistema attuale è più sicuro di quello vecchio ed è vero che è più sicuro solo per quegli utenti che conservano il PIN del token insieme al token fisico.

Non è proprio così semplice. Stabilire qual è più sicuro non è così linearare. Ad esempio è molto più semplice fare un sim swap che intercettare una notifica in app. Quindi avere l'app che ti fa da chiave con un codice biometrico di sblocco è molto sicuro.
Allo stesso tempo se non blocchi mai il telefono, usi un pin banale e hai tante info salvate in chiaro puoi avere tutte le sicurezza di questo mondo ma le rendi inefficaci.

Diciamo che ad oggi il truffatore medio difficilmente si sbatte con complesse tecniche di hacking dato che spessissimo riescono a farsi dare le credenziali direttamente dalle persone spacciandosi per "antitruffa" ad esempio.

[Sandro kensan]

Quote:

Originariamente inviato da agonauta78

La miglior difesa non esiste in caso di negozianti collusi con i malviventi.

Essite la possibilità che dici ma esiste anche la possibilità (penso la più usata) che il malvivente si faccia un Carta di Identità falsa on line (molti siti la offrono a bassi prezzi) con i dati che l'attaccante preleva dal proprio cellulare infettato.

Con la C.I. l'attaccante va in un negozio Vodafono e si fa fare la nuova SIM dell'utente ingenuo che ha tutti i propri soldi sul cellulare e glieli preleva con un bonifico istantaneo.

[Sandro kensan]

Quote:

Originariamente inviato da Darkon

Non è proprio così semplice. Stabilire qual è più sicuro non è così linearare. Ad esempio è molto più semplice fare un sim swap che intercettare una notifica in app. Quindi avere l'app che ti fa da chiave con un codice biometrico di sblocco è molto sicuro.
Allo stesso tempo se non blocchi mai il telefono, usi un pin banale e hai tante info salvate in chiaro puoi avere tutte le sicurezza di questo mondo ma le rendi inefficaci.

Diciamo che ad oggi il truffatore medio difficilmente si sbatte con complesse tecniche di hacking dato che spessissimo riescono a farsi dare le credenziali direttamente dalle persone spacciandosi per "antitruffa" ad esempio.

Ok, la app che genera la OTP con autenticazione biometrica ha un suo livello di sicurezza, Ok anche che l'attaccante medio ha vita facile e non necessita di tecniche di hacking per ottenere quello che può fare con tecniche di social engineering. Ma io non affiderei tutti i miei soldi a queste certezze che tu esprimi.

C'è ragionevolmente quella percentuale di malfattori che applica tecniche evolute e in tal caso ne sarebbe notevolmente gratificato con un bel bottino. Ricordo che nei conti correnti c'è pure chi ha i soldi per comprarsi casa, non ci sono solo conti in rosso.

[agonauta78]

Sicuramente se devono sbattersi il gioco deve valere la candela, non mettono su un casino per 10000 euro sul conto corrente. Anzi ultimamente si sente di gente che comunica per telefono i codici a sedicenti operatori bancari, senza neanche scomodare i sim swapping. Se sei un p1rla e hai tanti soldi, il problema sei tu, non le misure di sicurezza.

[kreijack]

Quote:

Originariamente inviato da Yramrag

Il token (offline) per accedere all'home banking non era più considerato sicuro perché, esattamente...?

I vecchi token TOTP (quelli time based per capirci, non gli OTP veri e propri), se intercettati potevano essere riusati più volte nell'ambito della finestra temporale di validità.

Comunque non sono un fan delle app bancarie. La app della mia banca (ING) p.e. consente di fare operazioni con la sola impronta digitale. Questo significa che se uno prende il controllo del mio telefono (anche da remoto), può impersonare me.
Avrei preferito che ci fosse anche un PIN (tipo quello per l'accesso da web, ma con un codice diverso).

Certo le app bancarie non soffrono del problema dello sim swapping, né del problema degli TOTP di cui sopra.

[Sandro kensan]

Quote:

Originariamente inviato da kreijack

Certo le app bancarie non soffrono del problema dello sim swapping, né del problema degli TOTP di cui sopra.

Con la SIM puoi portare tutta la baracca costruita dalla banca su un nuovo telefono, quello dell'attaccante.

Ti bastano solo le informazioni che sono facilmente disponibili se ha una app infetta nel cellulare: numero di telefono e altri dati personali oltre alle credenziali della banca.

[agonauta78]

No, se cambi sim e telefono dopo la reinstallazione su un nuovo telefono l'app ti chiede un codice univoco che solo il call center può dare, solo per la prima installazione.
Credem fa così

[floc]

Quote:

Originariamente inviato da Yramrag

Il token (offline) per accedere all'home banking non era più considerato sicuro perché, esattamente...?

semplicemente perchè costava alle banche. Il resto sono tutte BALLE o comportamenti facilmente correggibili lato utente, mentre invece contro il sim swapping non puoi fare NIENTE.

Però l'sms lo paghi tu e il cellulare ce lo metti tu quindi a posto così