Furto di dati a Coinsquare: gli hacker ora minacciano attacchi di SIM Swapping

Furto di dati a Coinsquare: gli hacker ora minacciano attacchi di SIM Swapping

Il furto è avvenuto lo scorso anno ad opera di un dipendente. Ora chi è in possesso delle informazioni minaccia di sfruttarle per condurre attacchi di SIM swapping, per scavalcare i meccanismi di autenticazione a due fattori degli utenti

di pubblicata il , alle 16:41 nel canale Sicurezza
 

Dati personali ottenuti da un furto di informazioni di cui è stato vittima il servizio di cambio di criptovalute Coinsquare potrebbero essere utilizzati per perpetrare attacchi cosiddetti di SIM Swapping, o almeno questo è quanto minacciato dagli hacker ora in possesso di tali informazioni. E' Motherboard a dare notizia dell'accaduto, dopo che un hacker sotto pseudonimo ha condiviso con il sito web una porzione dei dati rubati a Coinsquare. E' bene sottolineare, come conferma la stessa Coinsquare, che il furto di informazioni è avvenuto ad opera di un dipendente interno alla società, che ha avuto accesso ad un database contenente dati dei clienti e utilizzati per l'elaborazione di opportunità commerciali.

Le informazioni in possesso del o degli hacker sono costituite da 5000 righe contenenti indirizzi email, numeri di telefono e, in alcuni casi, indirizzi di residenza. Nell'elenco è presente inoltre una colonna dal titolo "total $ funded first 6 months" che verosimilmente potrebbe rappresentare la quantità di fondi che un utente ha trasferito sul suo account Coinsquare in un determinato periodo, e se Coinsquare etichetta l'utente come un "high value client". I dati sembrano non includere password.

Per verificare i dati Motherboard ha provato a creare account su Coinsquare selezionando casualmente indirizzi email presenti nell'elenco. Nessun tentativo è andato a buon fine poiché effettivamente gli indirizzi email utilizzati erano già riferiti ad account Coinsquare esistenti, suggerendo quindi che le informazioni in possesso degli hacker fossero reali. Motherboard ha poi provato a contattare alcuni degli utenti presenti nell'elenco: tre hanno risposto confermando di essere utenti Coinsquare e due hanno inoltre confermato i loro numeri di telefono.

Stacey Hoisak, responsabile legale di Coinsquare, ha affermato che la società è venuta a conoscenza del problema circa un anno fa, notificando alle autorità l'accaduto e a tutti gli utenti coinvolti già allora. Hoisak ha tuttavia osservato che Coinsquare non era originariamente a conoscenza della portata della violazione e, dopo aver visionato le informazioni in possesso di Motherboard, ha determinato la presenza di un maggior numero di utenti interessati dal problema rispetto a quanto originariamente preventivato.

"Dal momento che siamo venuti a conoscenza del problema lo scorso anno, Coinsquare ha sostituito il sistema di sales management interno, riscritto le politiche di data management e innalzato i controlli interni, e non siamo a conoscenza di alcuna violazione o altri furti da parte di impiegati sin da allora" ha spiegato Hoisak a Motherboard.


Uno degli slogan di Coinsquare: ironico, vero?

Pare comunque che l'intento originario degli hacker - oltre a sbugiardare Coinsquare, che si autodefinisce "the most secure trading platform" - fosse quello di vendere le informazioni, salvo poi intuire di poter mietere un bottino più consistente sfruttando i dati per condurre attacchi SIM swapping. Questo caso specifico ci permette di far luce su una tendenza sempre più diffusa, nel panorama della criminalità del web, di cercare di sfruttare eventuali falle di soluzioni di autenticazioni a due fattori basati su sistemi di telecomunicazione.

In un attacco SIM swapping un hacker può, con diversi metodi, prendere il controllo del numero di telefono della vittima e da qui riuscire ad effettuare alcune operazioni come ad esempio chiedere il reset di password di utenze o ancora ricevere il codice di autenticazione a due fattori di determinati servizi web. Avevamo già parlato in precedenza di alcune vicende legate ad attacchi di questo tipo, come nel caso del furto di criptovalute per un valore di 100 mila dollari o, addirittura, la violazione dell'account di Twitter di Jack Dorsey, CEO proprio della piattaforma di microblogging.

Ricordiamo che con i termini di SIM swapping (ma anche SIM port o SIM splitting, a seconda delle sfumature) si intende un attacco che si basa sulla - semplifichiamo - clonazione di una scheda SIM eseguita da un individuo non autorizzato su un altro dispositivo o su un'altra SIM controllata dall'attaccante stesso. Per concretizzare e semplificare il concetto è come se si andasse a compiere un'operazione di number portability eseguita fuori dai canali leciti ed ufficiali. Ora, in generale gli operatori dovrebbero seguire regole e procedure ben precise per verificare la corretta identità di chi stia richiedendo la portabilità di un numero. Ma quando ciò non avviene, o per negligenza, o per particolare abilità dell'attaccante nel mettere mano alle più sofisticate ed efficaci tecniche di ingegneria sociale, le conseguenze possono essere spiacevoli. Quando un attaccante ha la possibilità di prendere il controllo del numero di telefono della vittima, allora riuscirà a controllare anche gli eventuali codici di recupero account inviati tramite SMS quando si usano meccanismi di autenticazione a due fattori: da qui basta riuscire a resettare la password di un singolo account email per entrare nella vita digitale di una persona.

Come spesso accade partiamo da un caso particolare, come la vicenda che ha visto protagonista Coinsquare, per provare a ragionare sul modo in cui si possa adottare un comportamento più consapevole quando si parla della sicurezza della presenza online. E' bene considerare un approccio rigoroso, iniziando a stendere, ad esempio, un profilo di rischio che tenga conto degli asset o delle informazioni che vogliamo proteggere e capire quali siano da un lato i loro punti deboli, dall'altro le potenziali minacce ad essi rivolte per eliminare i primi e prevenire le seconde.

Più in generale può essere una giusta cautela quella di ridurre la propria impronta online, condividendo solamente quelle informazioni essenziali per il funzionamento di servizi a cui siamo iscritti ed evitando di mettere in mostra dati e informazioni non necessari, ma che se venissero opportunamente catalogati e incrociati potrebbero consentire a terzi di sfruttare la nostra identità. Un'altra buona pratica può essere quella di utilizzare un'email da tenere strettamente privata e utilizzare per gli account che riteniamo essere importanti e preziosi. E, come insegnano queste vicende, considerare con attenzione l'impiego dei meccanismi di autenticazione a due fattori: se sono basati su un numero di telefono possono non essere poi così a prova di bomba...e allora meglio, ove possibile, scegliere una soluzione basata su un token hardware, cioè un elemento fisico che deve essere in nostro possesso.

La sicurezza informatica, o più in generale la sicurezza della propria presenza online, è un processo che richiede attenzione e scrupolosità. E, come tutti i processi di questo tipo, mostra il fianco all'innata pigrizia dell'essere umano. Torniamo quindi a condividere un concetto spesso sottolineato, e cioè di quanto proprio l'innata pigriza dell'essere umano sia la radice da cui spesso parte la scelta di imboccare una strada più semplice ma meno sicura. Volete un esempio "storico"? E' il fisico e premio Nobel Richard Feynman ad offrircene uno, interessante, pittoresco e spaventoso allo stesso tempo, raccontato nel saggio biografico "Sta scherzando, Mr. Feynman!" frutto delle conversazioni del geniale scienziato con l'amico Ralph Leighton.


Richard Feynman, premio Nobel per la fisica nel 1965 e...incubo dei lucchetti a combinazione!

I fatti risalgono alla prima metà degli anni '40 del ventesimo secolo, quando Feynman lavorava presso i Los Alamos National Laboratory nel contesto del Progetto Manhattan, il programma di ricerca statunitense che portò alla realizzazione delle prime bombe atomiche (...a proposito di bomba!). Feynman, un vero e proprio "smanettone", si dilettava al tempo nel forzare lucchetti a combinazione. Ecco cosa accadde un giorno, quando per la stesura di un resoconto si trovò nella necessità di consultare un documento conservato nell'ufficio di un collega, temporaneamente assente:

"[...] Tornai al primo mobile e provai 27-18-28. Clic! Il classificatore si era aperto [...]. C'erano in tutto nove classificatori e io ne avevo aperto uno, ma il documento che cercavo stava in un altro [...]. Provai con il secondo: 27-18-28. Click! La combinazione era la stessa. Incredibile ma vero! [...] Alcuni dei classificatori erano nella stanza accanto: provai 27-18-28 su uno, e si aprì anche quello. Avevo appena aperto tre serrature con un'unica combinazione. [...] Io avevo aperto la cassaforte che custodiva i segreti della bomba atomica, i procedimenti per la produzione del plutonio, i sistemi di purificazione, i piani di fabbricazione, le dimensioni il materiale fissile occorrente, come funzionava la bomba, come si producevano i neutroni - tutto, tutto quello che si sapeva a Los Alamos! La ricetta era completa."

1 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
nx-9905 Giugno 2020, 08:24 #1
Come volevasi dimostrare, vada per gli account social, ma vedersi svuotare il conto in banca ...

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^