SIM Swapping, cresce l'allarme: ecco perché è pericoloso e quali contromisure adottare

[Unrue]

Però non capisco, anche se hai la sim e quindi il numero di telefono, non serve anche username e password prima? E' una doppia autenticazione appunto. L'SMS è il secondo livello, ma il primo?

In pratica devono rubarti tutto.

[SpyroTSK]

Quote:

Originariamente inviato da floc

semplicemente perchè costava alle banche. Il resto sono tutte BALLE o comportamenti facilmente correggibili lato utente, mentre invece contro il sim swapping non puoi fare NIENTE.

Però l'sms lo paghi tu e il cellulare ce lo metti tu quindi a posto così

Non è vero, sono passato a da Vodafone a Fastweb 1 mese fà, ora sto passando a Ho-Mobile (solamente per questione di costi, da 14€ di vodafone a 5,99 di Ho...) e sia Fastweb che Ho durante l'attivazione, ti chiedono ovviamente il Seriale della vecchia Sim, il numero di telefono e ti mandano un SMS sul vecchio numero con un PIN da inserire e DOPO avviene lo sim Swapping.
Fra le altre cose, 3 gg prima ti arriva un sms dicendo che tra 3 giorni sarà effettuato lo sim Swapping.

Questo è il metodo italiano, in altri stati, boh.

[Darkon]

Quote:

Originariamente inviato da floc

semplicemente perchè costava alle banche.

Il token costa praticamente niente. Perché volete alimentare leggende infondate?!
A conti fatti alla maggior parte delle banche costa di più mantenere una app aggiornata che non il token che era elettronica di bassissimo costo e non richiedeva alcun aggiornamento.

Quote:

Il resto sono tutte BALLE o comportamenti facilmente correggibili lato utente, mentre invece contro il sim swapping non puoi fare NIENTE.

Seh... guarda vieni in filiale. Voglio proprio vedere i "comportamenti facilmente correggibili".
Ad oggi ci sono ancora quelli che cadono nella truffa del principe nigeriano che ha scelto te, emerito sconosciuto, per portare in Italia 50 milioni ma ha bisogno che gli fai un bonifico per sbloccare i soldi. Ah ovviamente in cambio dei tuoi spicci per sbloccare i soldi ti lascia una stecca milionaria.
Ti posso assicurare che a tutt'oggi continuano a partire fior di bonifici perché ci credono.

E te vorresti farmi credere che puoi correggere i comportamenti?

Ho visto gente che messa a sedere con davanti carabinieri e polizia postale che la invitavano a fare denuncia perché erano CHIARAMENTE vittima di una truffa si rifiutavano di crederci dicendo che le forze dell'ordine volevano sostituirsi nell'affare col principe nigeriano.

L'utente NON lo pieghi. Il motivo per cui le banche cercano sistemi "secure by design" è proprio perché l'utente non lo pieghi in nessun modo. Puoi metterlo anche di fronte all'evidenza e continuerà a credere in quello che vuole.

Quote:

Però l'sms lo paghi tu e il cellulare ce lo metti tu quindi a posto così

L'sms OTP che io sappia nessuna banca lo fa pagare all'utente e comunque anche l'SMS è un sistema ormai in graduale dismissione a favore della notifica in app che non puoi intercettare nemmeno con il sim swapping.

[omerook]

ma il sim swapping non si potrebbe evitare obbligando l'utilizzo del codice puk della prima sim associata al numero? quello dovrebbe stare nel cassetto ed è difficile da intercettare dagli attaccanti.
o comunque bisognerebbe adottare un codice segreto di migrazione che solo il legittimo proprietario può avere.
qualcosa simile a quello che si usa per le utenze domestiche.

[ritpetit]

Quote:

Originariamente inviato da Darkon

Il token costa praticamente niente. Perché volete alimentare leggende infondate?!
A conti fatti alla maggior parte delle banche costa di più mantenere una app aggiornata che non il token che era elettronica di bassissimo costo e non richiedeva alcun aggiornamento.



Seh... guarda vieni in filiale. Voglio proprio vedere i "comportamenti facilmente correggibili".
Ad oggi ci sono ancora quelli che cadono nella truffa del principe nigeriano che ha scelto te, emerito sconosciuto, per portare in Italia 50 milioni ma ha bisogno che gli fai un bonifico per sbloccare i soldi. Ah ovviamente in cambio dei tuoi spicci per sbloccare i soldi ti lascia una stecca milionaria.
Ti posso assicurare che a tutt'oggi continuano a partire fior di bonifici perché ci credono.

E te vorresti farmi credere che puoi correggere i comportamenti?

Ho visto gente che messa a sedere con davanti carabinieri e polizia postale che la invitavano a fare denuncia perché erano CHIARAMENTE vittima di una truffa si rifiutavano di crederci dicendo che le forze dell'ordine volevano sostituirsi nell'affare col principe nigeriano.

L'utente NON lo pieghi. Il motivo per cui le banche cercano sistemi "secure by design" è proprio perché l'utente non lo pieghi in nessun modo. Puoi metterlo anche di fronte all'evidenza e continuerà a credere in quello che vuole.



L'sms OTP che io sappia nessuna banca lo fa pagare all'utente e comunque anche l'SMS è un sistema ormai in graduale dismissione a favore della notifica in app che non puoi intercettare nemmeno con il sim swapping.

Il "livello sicurezza" concepito dalla maggior parte delle persone comuni te lo riassumo così: Settimana scorsa cambio di bancomat non funzionante a cliente. Sul Bancomat numero scritto con pennarello indelebile.
Chiedo: scusi, non è il PIN, vero?
"Certo che è il pin, mi sono stancato di tenerlo in foglietti che poi perdo e devo richiedervelo, almeno quando mi serve il bancomat lo ho sempre sottomano!"

Ah, per la cronaca, credete mica sia un caso unico e isolato vero?

[freesailor]

Quote:

Originariamente inviato da kreijack

I vecchi token TOTP (quelli time based per capirci, non gli OTP veri e propri), se intercettati potevano essere riusati più volte nell'ambito della finestra temporale di validità.

Esatto, questa è la "spiegazione ufficiale" della autenticazione a due fattori e della unicità dell'operazione (con inoltre la transazione che non può essere più "dirottata" fraudolentemente verso un altro beneficiario) che sono state imposte per i pagamenti bancari dalla direttiva europea PSD2.

Va detto, però, che la PSD2 non ha imposto l'abolizione del token fisico (che infatti credo alcune banche conservino, almeno come opzione, quale uno degli almeno due fattori di autenticazione indispensabili).

Se i token fisici sono spariti è certamente perchè alle banche non conviene avere un parco di decine di migliaia di token da gestire (da anagrafare, sostituire in caso di malfunzionamento o furto, rinnovare come modello se necessario ecc.) rispetto alla semplicità di far scaricare dai clienti una applicazione, la app, facilmente aggiornabile in modo centralizzato.
E su un dispositivo fisico, lo smartphone, totalmente a carico del cliente.
Se no, le banche si sarebbero tutte tenuti i token fisici ...

[gioffry81]

La mia banca UniCredit non fa installare la sua app su un altro tel se non viene disistallata/autorizzata sul vecchio dispositivo oltre a mandare notifiche e non sms. Ma voglio credere che ormai siano tutte così.

[Sandro kensan]

Per quelli che dicono che la propria banca o la compagnia telefonica non fa fare il cambio di SIM se non si ha la vecchia SIM (o non si riceve un SMS sulla vecchia SIM) oppure se non si ha la vecchia app o cose analoghe ricordo che i cellulari si perdono molto frequentemente e spesso non si ritrovano per cui migliaia di persone o centinaia di migliaia hanno bisogno di avere una SIM nuova con il vecchio numero di telefono Senza avere alcuna SIM (vecchia) oppure hanno bisogno di una app nuova o il codice per l'app che da l'OTP nuova perché se perdono il telefono perdono pure la SIM.

Quindi tutta la baracca (compresa la telefonata alla banca) è basata sulla SIM nuova perché tutto quello che è vecchio è andato perso. Questo sia se la cosa è vera e sia se è una truffa.

Se gli attaccanti hanno la SIM nuova con il vecchio numero di telefono (in rete si trova la lista di 30 milioni di italiani registrati su Facebook o in alternativa milioni di computer italiani sono infettati da virus: in vostro cellulare è sicuro?), una carta di identità valida (per la maggior parte delle persone), allora possono fare quel che vogliono compreso fare una telefonata al call center, compreso installare la nuova app della banca e compreso avere l'app per l'OTP funzionante. Tutto questo lo fa l'attaccante ma anche la persona onesta che perde il telefono.

È per questo motivo che molti anni fa quando sono andato in un luogo di villeggiatura in banca a ritirare del contante ho avuto serie difficoltà e hanno fatto molti controlli prima di darmi i soldi. Avevo pure il PIN del bancomata che ho dovuto digitare in banca per essere sicuri che IO fossi IO.

Adesso invece tutta la sicurezza è affidata a un stagista del negozietto di telefonia cui io mostro una C.I. (magari comprata su Internet per 50 euro) e lui mi fa la SIM swap e con quella e un po' di dati personali io posso prelevare tutti i soldi dal conto corrente.

Ricordo che su Internet ci sono valanghe di dati personali venduti a pagamento perché la gente non ha nulla da nascondere e perché non c'è nessuna cultura della sicurezza informatica e del cercare di non prendersi virus.

[danylo]

Quote:

Originariamente inviato da Yramrag

Il token (offline) per accedere all'home banking non era più considerato sicuro perché, esattamente...?

Ci sono i nuovi generatori di token, con una piccola tastiera, che sono considerati sicuri.
(per generare il token, devi battere un pin di 5 cifre)

Se lo chiedi alla banca te lo danno.
Anche perche' nessuna legge ti obbliga a possedere uno smartphone.

[gioffry81]

Quote:

Originariamente inviato da Sandro kensan

Per quelli che dicono che la propria banca o la compagnia telefonica non fa fare il cambio di SIM se non si ha la vecchia SIM (o non si riceve un SMS sulla vecchia SIM) oppure se non si ha la vecchia app o cose analoghe ricordo che i cellulari si perdono molto frequentemente e spesso non si ritrovano per cui migliaia di persone o centinaia di migliaia hanno bisogno di avere una SIM nuova con il vecchio numero di telefono Senza avere alcuna SIM (vecchia) oppure hanno bisogno di una app nuova o il codice per l'app che da l'OTP nuova perché se perdono il telefono perdono pure la SIM.

Quindi tutta la baracca (compresa la telefonata alla banca) è basata sulla SIM nuova perché tutto quello che è vecchio è andato perso. Questo sia se la cosa è vera e sia se è una truffa.

Se gli attaccanti hanno la SIM nuova con il vecchio numero di telefono (in rete si trova la lista di 30 milioni di italiani registrati su Facebook o in alternativa milioni di computer italiani sono infettati da virus: in vostro cellulare è sicuro?), una carta di identità valida (per la maggior parte delle persone), allora possono fare quel che vogliono compreso fare una telefonata al call center, compreso installare la nuova app della banca e compreso avere l'app per l'OTP funzionante. Tutto questo lo fa l'attaccante ma anche la persona onesta che perde il telefono.

È per questo motivo che molti anni fa quando sono andato in un luogo di villeggiatura in banca a ritirare del contante ho avuto serie difficoltà e hanno fatto molti controlli prima di darmi i soldi. Avevo pure il PIN del bancomata che ho dovuto digitare in banca per essere sicuri che IO fossi IO.

Adesso invece tutta la sicurezza è affidata a un stagista del negozietto di telefonia cui io mostro una C.I. (magari comprata su Internet per 50 euro) e lui mi fa la SIM swap e con quella e un po' di dati personali io posso prelevare tutti i soldi dal conto corrente.

Ricordo che su Internet ci sono valanghe di dati personali venduti a pagamento perché la gente non ha nulla da nascondere e perché non c'è nessuna cultura della sicurezza informatica e del cercare di non prendersi virus.

Premettendo che nulla è impenetrabile, ma sono deterrenti che è indubbiamente piu sicuro averli che non averli, nel mio specifico caso se perdo il telefono e faccio una nuova sim con il vecchio numero, devo obbligatoriamente andare di persona alla banca con i documenti. Poi se si presenta il mio sosia con documenti falsi, AMEN

[biometallo]

Quote:

Originariamente inviato da Yramrag

Il token (offline) per accedere all'home banking non era più considerato sicuro perché, esattamente...?

Da quel che ricordo il problema sta nel fatto che non essendo possibile aggiornare l'algoritmo, se non sostituendo periodicamente il prodotto fisico si teme che prima o poi la cifratura possa essere bucata, mentre l'app appunto può essere aggiornata da remoto con costi minimi.

Anche se in effetti la cosa mi ha sempre lasciato perplesso... possibile che con tutti i trojan telefoni che non ricevono patch di sicurezza da anni ecc.. che circolano nel mondo l'app per smartphone sia più sicura?

Quote:

Originariamente inviato da Unrue

Però non capisco, anche se hai la sim e quindi il numero di telefono, non serve anche username e password prima? E' una doppia autenticazione appunto. L'SMS è il secondo livello, ma il primo?

In pratica devono rubarti tutto.

Dovrebbe essere come dici tu, ma qui scatta la cosidetta "ingegneria sociale" che poi anche solo per fare il sim swap non basta avere il numero di telefono

Quote:

Originariamente inviato da danylo

Ci sono i nuovi generatori di token, con una piccola tastiera, che sono considerati sicuri.
(per generare il token, devi battere un pin di 5 cifre)

Credo che siano considerati non sicuri come i vecchi, tanto che come tu stesso dici li danno solo su richiesta, proprio perché non possono obbligare i clienti ad avere uno smartphone, cercando comunque di fare in modo che finiscano a meno persone possibili.

[ryan78]

Quote:

Originariamente inviato da Darkon

L'sms OTP che io sappia nessuna banca lo fa pagare all'utente e comunque anche l'SMS è un sistema ormai in graduale dismissione a favore della notifica in app che non puoi intercettare nemmeno con il sim swapping.

si paga si paga

Lo fanno pagare così scegli l'app che è gratis (non tutte le banche però).

Comunque il problema dell'autenticazione su cellulare si potrebbe risolvere attivando dalla banca un blocco temporaneo dell'account online riattivabile successivamente dall'utente recandosi ad un bancomat ad esempio o in fisicamente in filiale. In fondo è a tutela del proprio conto, avere un paio di giorni offline non è la fine del mondo. Si usano le gambine e si tornano a fare i bonifici dalla banca (se proprio servisse ). Però se ti clonano la carta il problema potrebbe restare anche successivamente (sempre che la sim nuova non venisse spedita direttamente dal provider a mezzo raccomandata tracciabile).

Per superare il problema, per chi ha la linea telefonica a casa, si potrebbe dare la possibilità di attivare una autenticazione a tre fattori con un metà del codice numerico dettato al telefono. Metà via sms, metà tramite telefono di casa. Da usare per le sole operazioni che superino una certa soglia o modifiche dell'area clienti.

C'è una bella differenza tra fare un bonifico di 300 euro e uno di 3000 euro o di più. Avere qualche restrizione in più penso possa solo fare felici gli utenti. Chi non vuole può benissimo usare il sistema tradizionale.

Con le Poste, a causa di problemi di sicurezza, da un po' di tempo richiedono (anche con le carte prepagate) oltre all'sms OTP, anche l'autenticazione con la password dell'area clienti. Ecco questa io la trovo una puttanata perché se la dovessi perdere o qualcuno dovesse sniffare quella password avrebbe accesso all'intera area clienti. Io avrei fatto delle password create nell'area clienti da cambiare ogni 3 mesi (un po' come si fa con yahoo che permette di creare password dedicate per i client di posta). In questo modo l'accesso all'area clienti resta sicuro. Un po' come faceva Ubi, poi Bper con il codice Key6.

Gli accessi all'area Master dovrebbero essere blindatissimi e scomodi (zona modifiche importanti, massimali, anagrafica, operazioni corpose), mentre la zona d'uso comune potrebbe avere accessi più tradizionali.

Questo è il prezzo da pagare per fare tutto a casa, in mobilità e in autonomia. E non è che i canoni annuali siano poi così bassi; forse era meglio prima dove la vera autenticazione era l'utente reale che si recava in banca, conosciuto fisicamente dal bancario presente in filiale.