Furto di 100 mila dollari di criptovalute: la vicenda è una lezione sulla sicurezza online

Furto di 100 mila dollari di criptovalute: la vicenda è una lezione sulla sicurezza online

La vittima di un furto di criptovalute condivide su Medium la propria esperienza per sensibilizzare il pubblico a non sottovalutare le buone pratiche di sicurezza online

di pubblicata il , alle 15:21 nel canale Sicurezza
 

"Lo scorso mercoledì ho perso qualcosa come 100 mila dollari. Evaporati in 24 ore a causa di un attacco SIM port che ha svuotato il mio account Coinbase. Sono trascorsi quattro giorni dall'incidente e sono distrutto. Non ho fame, non ho sonno e il mio stato d'animo passa dall'ansia, al rimorso, all'imbarazzo".

E' con queste parole che Sean Coonce, Engineering Manager di BitGo, inizia il proprio racconto su Medium. Il racconto di un furto di criptovalute per l'ammontare, appunto, di circa 100 mila dollari e che Coonce vuole condividere con il pubblico allo scopo di sollevare consapevolezza e attenzione sull'importanza delle adeguate misure di sicurezza che ciascun utente dovrebbe utilizzare quando si trova a proteggere dati o asset sensibili o preziosi. Attenzione: il focus non è sulle criptovalute, ma proprio sulle pratiche di sicurezza.

Dunque si parla di "attacco SIM port" (detto anche SIM swap o SIM splitting a seconda delle sfumature che può prendere), ma che significa? E' il porting di una scheda SIM eseguito da un individuo non autorizzato (un attaccante) su un altro dispositivo, nel caso di embedded SIM, o su un'altra SIM controllata dall'attaccante stesso. Un'operazione di portabilità del numero può essere invece un esempio assolutamente legittimo del porting di una scheda SIM. Di norma gli operatori telefonici seguono, o dovrebbero seguire, procedure di sicurezza ben precise e delineate allo scopo di verificare l'identità dell'utente che richiede il porting. Ma quando ciò non accade (come sembra sia successo nella vicenda narrata, anche se proprio su questo punto i dettagli non sono chiari) possono verificarsi conseguenze particolarmente spiacevoli, esattamente come accaduto a Coonce.

Perché, come immediatamente è facile immaginare, se un attaccante può prendere il controllo del nostro numero di telefono, allora avrà controllo anche sui codici di recupero account inviati tramite SMS quando si usano meccanismi di autenticazione a due fattori. In questo modo si può, per esempio, resettare la password dell'account Gmail e prenderne il controllo, così da poter successivamente controllare anche tutti gli account di servizi vari (social media, conti bancari o, come nel caso di Coonce, account di exchange di criptovalute) e addirittura escludere il legittimo utente dal loro controllo.


Clicca per ingrandire - Lo schema di un attacco SIM Port. Fonte: Sean Coonce, Medium.

Pensiamo per un momento a quanti dati e dettagli privati, oltre alle credenziali di accesso dei servizi online, possono essere legati ad un singolo account Gmail anche per via delle varie interazioni che Google offre tra le sue app e servizi: indirizzi, data di nascita, fotografie personali, calendari, dettagli di viaggi, email e documenti, contatti e via dicendo. Basta prendere controllo di un singolo account email per fare scempio della vita digitale di un individuo.

Come accennavamo in precedenza, nella spiacevole vicenda di Coonce non è chiaro come sia avvenuto nello specifico l'attacco SIM port: appare strano che un operatore telefonico - che in questo caso pare essere AT&T - non metta in atto le dovute misure per la verifica dell'identità dell'utente, ma è pur vero che un attaccante sofisticato può sfruttare l' ampio arsenale di tecniche di ingegneria sociale sia per impersonare l'utente legittimo (magari avendo già raccolto in precedenza informazioni e dati atti allo scopo) sia per persuadere l'operatore a compiere un piccolo strappo alla regola. Tra l'altro verificando sul supporto ufficiale di AT&T (ripetiamo: non siamo certi si tratti di questo operatore, viene semplicemente mostrato da Coonce in uno schema esemplificativo dell'attacco) si può osservare come il porting di un numero mobile richiesto in negozio venga eseguito nel giro di 1-3 ore.

Ma, a prescindere da come l'attacco SIM porting sia effettivamente avvenuto in questa situazione specifica, la vicenda rappresenta un esempio su cui ragionare per capire in che modo si può rafforzare la sicurezza della nostra presenza online. E il primo passo da compiere è la stesura di un profilo di rischio: delineare gli asset o informazioni che vogliamo proteggere e capire quali siano da un lato i loro punti deboli, dall'altro le potenziali minacce ad essi rivolte. I punti deboli possono essere eliminati, le minacce possono essere prevenute. Sarà poi ciascuno ad assumersi il rischio che è disposto a correre, magari decidendo di non proteggersi contro quelle minacce ritenute altamente improbabili. Ma proprio su questo punto Coonce esprime una considerazione in chiusura del proprio racconto: "E' importante che il pubblico sappia quanto facile possa essere diventare vittima".

Coonce, sulla base dell'esperienza vissuta, condivide anche una serie di consigli su come rendere sicura la propria presenza sulla rete, a partire dalla riduzione della propria "impronta" online evitando di condividere dati ed informazioni che raccolti e opportunamente incrociati possano consentire a malintenzionati di sfruttare la nostra identità (spesso sono informazioni condivise in maniera inconsapevole, magari spinti dal desiderio di mettersi in mostra...). Utilizzare poi un'email da tenere strettamente privata e da dedicare esclusivamente agli account di quei servizi che riteniamo essere importanti e preziosi. E ancora: sfruttare in maniera oculata i meccanismi di autenticazione a due fattori. Un attacco SIM porting li può mettere in ginocchio, allora invece di delegare questa misura ad un semplice numero di telefono è forse più saggio introdurre un elemento hardware nel processo di sicurezza. E infine, ma questo riguarda strettamente l'ambito delle criptovalute, conservare le proprie monete digitali in un wallet hardware.

"Non posso smettere di pensare a quelle piccole e semplici cose che avrei potuto fare per proteggermi nel corso del tempo. I miei pensieri sono affollati di "e se.." e di modi in cui sarebbe potuta andare diversamente. D'altra parte questi pensieri si contrappongono a due stati d'animo prevalenti - la pigrizia e l'inclinazione alla sopravvivenza. Non ho mai considerato la mia sicurezza online così seriamente, perché non ho mai vissuto un attacco. E sebbene conoscessi il mio profilo di rischio, ero semplicemente troppo pigro per mettere al sicuro i miei asset con il rigore che meritavano".

E' la dimostrazione di quanto l'innata pigrizia dell'essere umano sia spesso il motore che porta a scegliere una strada più semplice ma meno sicura. Una cosa che può accadere a tutti, nella vita di tutti i giorni: per "comodità" siamo portati a ritenere eccessivo un sistema di sicurezza ridondante, o magari a non mettere in atto misure più robuste semplicemente perché richiedono un minimo "sforzo" aggiuntivo.

22 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
LukeIlBello23 Maggio 2019, 15:32 #1
ecco perchè viene creato il GDPR con regole precise e best practices tese ad eliminare tali eventualità
per tutti coloro che temono intrusioni e voglio essere in regola, possono contattarmi in pvt poichè coi miei soci ci occupiamo proprio di questo
MikTaeTrioR23 Maggio 2019, 15:53 #2
GDPR è una mezza fuffa....con o senza regole GDPR questo attacco sarebbe riuscito lo stesso...
è sicuro non ci possa stare tranquilli, una doppia autenticazione come gauth lo avrebbe salvato.
L'hacker doveva avere anche l'accesso alla mail del malcapitato comunque, non mi stupirei se si scoprisse che si tratta di una persona vicina alla vittima.
poraccio
rug2223 Maggio 2019, 16:05 #3
Originariamente inviato da: MikTaeTrioR
GDPR è una mezza fuffa....con o senza regole GDPR questo attacco sarebbe riuscito lo stesso...
è sicuro non ci possa stare tranquilli, una doppia autenticazione come gauth lo avrebbe salvato.
L'hacker doveva avere anche l'accesso alla mail del malcapitato comunque, non mi stupirei se si scoprisse che si tratta di una persona vicina alla vittima.
poraccio


Clonando la sim ti aggrappi, fai finta di aver dimenticato la password della mail, ti arriva il codice per sms e ciao ciao.

C'è modo di difendersi da questo tipo di attacco?
lucusta23 Maggio 2019, 16:20 #4
Originariamente inviato da: MikTaeTrioR
GDPR è una mezza fuffa....con o senza regole GDPR questo attacco sarebbe riuscito lo stesso...
è sicuro non ci possa stare tranquilli, una doppia autenticazione come gauth lo avrebbe salvato.
L'hacker doveva avere anche l'accesso alla mail del malcapitato comunque, non mi stupirei se si scoprisse che si tratta di una persona vicina alla vittima.
poraccio


assolutamente non para da questi attacchi, ma almeno puoi chiedere il risarcimento danni all'operatore che ha fatto un porting grossolanamente o non ha protetto la sua rete di amministrazione adeguatamente (cosa che il malcapitato di questa storia farà sicuramente, anche se con ben poche speranze di riuscita, in america).

poi, che la pratica più sicura se hai un wallet da 100.000$ sarebbe quella di avere una SIM ed un device dedicato e non usato per altre cose (quindi con un numero in nessun elenco e dato a nessuno), facendolo diventare quindi una sicurezza HW, è la cosa più semplice... ma, come ha scritto il protagonista, è solo una delle tante cose che ha trascurato...

la sicurezza è una questione di mentalità...
HSH23 Maggio 2019, 16:25 #5
l'autenticazione a due fattori.... non copre da sti probemi?
Axios200623 Maggio 2019, 16:52 #6
Sono trascorsi quattro giorni dall'incidente e sono distrutto. Non ho fame, non ho sonno e il mio stato d'animo passa dall'ansia, al rimorso, all'imbarazzo".


Quindi... un engineer manager di una societa' di custodia criptovalute non spende 100$ per una sim piu' telefonino dedicati e sta' cosi' male per 100.000 $ persi?

Per curiosita'... il suo stipendio?

E se per disgrazia gli capitava qualcosa di un pelino piu' grave? Non oso immaginare le conseguenze...

A casa i ladri ti svaligiano il materasso, in banca tra tasse ed investimenti "sicuri" il capitale si riduce, le criptovalute le rubano con un click o si svalutano in pochi minuti...
rug2223 Maggio 2019, 18:20 #7
Originariamente inviato da: HSH
l'autenticazione a due fattori.... non copre da sti probemi?



Originariamente inviato da: SGK
Ammetto di non essere molto ferrato su queste criptovalute (e fregature a quanto pare)...ma non ho capito una cosa...se ho 100.000 euro su un conto deposito, tralasciando per un attimo le varie protezioni e token che lo governano e che possono essere scavalcate, ma per trasferire i soldi da quel conto, ammesso che riescano ad entrare in possesso delle varie password e a clonare il numero di telefono per le operazioni dispositive, ma all'atto pratico cosa possono fare?
Trasferire i soldi dal conto deposito al conto principale dove inizialmente sono transitati e basta.
Qua si sono volatilizzati 100 mila dollari così facilmente?


Qui non è chiaro il tipo di attacco, io sono

Serve sapere solo email e numero di telefono.

Clono la sim, cambio la password all'email confermando il codice che arriverà per sms alla sim clonata, a questo punto cambio la password dell'exchange e arriverà un link all'email che ho già violato.
A quel punto posso tranquillamente spostare i btc su un altro wallet.

Paradossalmente l'autenticazione a due fattori lo ha fregato, se non l'avesse avuta l'attaccante non avrebbe potuto cambiare la password della mail.

Originariamente inviato da: Axios2006
Quindi... un engineer manager di una societa' di custodia criptovalute non spende 100$ per una sim piu' telefonino dedicati e sta' cosi' male per 100.000 $ persi?

Per curiosita'... il suo stipendio?

E se per disgrazia gli capitava qualcosa di un pelino piu' grave? Non oso immaginare le conseguenze...
A casa i ladri ti svaligiano il materasso, in banca tra tasse ed investimenti "sicuri" il capitale si riduce, le criptovalute le rubano con un click o si svalutano in pochi minuti...


Se faceva trading, ed è probabile, era obbligato a lasciarle sull'exchange, poco pratico tenerle su un cold wallet.
Del resto la cosa della doppia mail è un po' un casino.

Rinnovo la domanda, c'è qualche soluzione pe risolvere?
Google authenticator dovrebbe essere ok no?
LSan8323 Maggio 2019, 18:48 #8
Originariamente inviato da: rug22
Rinnovo la domanda, c'è qualche soluzione pe risolvere?
Google authenticator dovrebbe essere ok no?


Google Authenticator (e qualunque generatore di password temporanee hardware) hanno un problema....

Se ti muore il cellulare improvvisamente, gauth non si trasferisce con il recupero dati di backup di Android e a quel punto o hai messo da parte la password di sicurezza per ogni singolo servizio associato al tuo gauth (generata alla conferma dell'associazione) oppure sei tagliato fuori dai tuoi propri account se non hai autentificazioni a due fattori ridondanti.

E' un mese che sto cercando di rientrare in un account dopo che mi è morto durante la ricarica il cellulare Android con Gauth e non trovo la password di sblocco

Di solito come secondo metodo di entrata si lascia appunto il proprio numero di cellulare che nel caso di clonazione/portabilità della sim ti si ritorce contro.

Bisognerebbe avere almeno due generatori hardware di password OTP, senza recupero via telefono, su ogni servizio.
Bradiper23 Maggio 2019, 19:14 #9

Mi sembra di capire che sapevano comunque chi colpire e come...e comunque mi sembra da fessi non spendere 50/100 euro per metterne al sicuro 100.000.
Bo.. Certe cose le so pure io che sono ignorante in materia, mi stavo interessando al mondo bitcoin leggendo qua e là e la seconda cosa che ho fatto è stata andare a vedere cosa sono questi portafogli hardwsr. sembra quasi una fake news
rug2223 Maggio 2019, 19:47 #10
Originariamente inviato da: LSan83
Google Authenticator (e qualunque generatore di password temporanee hardware) hanno un problema....

Se ti muore il cellulare improvvisamente, gauth non si trasferisce con il recupero dati di backup di Android e a quel punto o hai messo da parte la password di sicurezza per ogni singolo servizio associato al tuo gauth (generata alla conferma dell'associazione) oppure sei tagliato fuori dai tuoi propri account se non hai autentificazioni a due fattori ridondanti.

E' un mese che sto cercando di rientrare in un account dopo che mi è morto durante la ricarica il cellulare Android con Gauth e non trovo la password di sblocco

Di solito come secondo metodo di entrata si lascia appunto il proprio numero di cellulare che nel caso di clonazione/portabilità della sim ti si ritorce contro.

Bisognerebbe avere almeno due generatori hardware di password OTP, senza recupero via telefono, su ogni servizio.


Che tipo di account era se posso saperlo?

Anyway, il tizio doveva avere gmail, con hotmail c'è una opzione sconosciuta ai più, opzione che non ho mai trovato su gmail.
Un codice di 25 cifre,lo inserisci e bypassi tutte cose, ovviamente te lo devi segnare prima da qualche parte.

A seguito della news ho fatto l'autenticazione con due passaggi tramite app e ovviamente impostato una mail di backup, mail che non ha associato niente(telefono,altra mail) e che non ho mai dato a nessuno.

FIn quando le app otp son sicure non dovrebbero esserci problemi.

Avere una mail dedicata solo per le banche è di una scomodità unica.

Originariamente inviato da: Bradiper
Mi sembra di capire che sapevano comunque chi colpire e come...e comunque mi sembra da fessi non spendere 50/100 euro per metterne al sicuro 100.000.
Bo.. Certe cose le so pure io che sono ignorante in materia, mi stavo interessando al mondo bitcoin leggendo qua e là e la seconda cosa che ho fatto è stata andare a vedere cosa sono questi portafogli hardwsr. sembra quasi una fake news


Molto probabile che sia un suo conoscente.
Il wallet hardware è carino, ma basta un cold wallet con electrum.
Se però hai trading, sei costretto a tenerle sull'exchange.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^