Negli ultimi giorni sta facendo il giro sul web la notizia (recentemente confermata) di un presunto furto di dati dei clienti ho. mobile, l’operatore telefonico low cost di Vodafone.
Per chi non lo sapesse, un gruppo di ethical hacker sarebbe infatti riuscito ad ottenere circa 2,5 milioni di utenze ho. mobile, contenenti i dati sensibili degli utenti, tra cui nome, cognome, residenza e, soprattutto, il codice ICCID, cioè quello che identifica la SIM e permette la portabilità del numero telefonico associato su una nuova scheda dati.
Questi dati sarebbero stati messi in vendita sul dark web, il “lato oscuro” di internet dove vengono svolte attività illegali. Ma quali sono i reali rischi che corrono gli utenti? Come ci si può tutelare? In questo articolo cercheremo di rispondere a queste domande.
Ho. Mobile hackerata: a cosa potrebbero servire i dati rubati?
Innanzitutto bisogna domandarsi perché qualcuno dovrebbe interessarsi di questi dati sensibili. I motivi possono essere molteplici. Qualcuno, ad esempio, potrebbe sfruttare i dati per creare nuovi account bancari o richiedere carte prepagate poco sicure su cui far circolare soldi ottenuti in modo illecito.
Altri, invece, potrebbero utilizzare i dati ricavati per accedere agli account dell’utente violato, come quello della banca, di PayPal, eBay o Amazon. Come? Sfruttando il codice ICCID. Oltre ai dati personali (nome, cognome, residenza e codice fiscale) nel “pacchetto” di informazioni rubati c’è infatti anche il codice ICCID della scheda SIM associata all’utente.
Si tratta di un codice che viene utilizzato per la portabilità del numero su una nuova scheda dati. In questo modo il malintenzionato potrebbe trasferire il numero telefonico dell’utente su un’altra sim in suo possesso, ricevendo le chiamate e i messaggi al posto suo. Perché dovrebbe farlo? Per aggirare l’autenticazione a due fattori, il sistema di sicurezza utilizzato per l’accesso a diversi servizi, tra cui quelli di e-banking.
Quando si tenta di effettuare qualche operazione in particolare, alcuni sistemi inviano infatti un SMS su un numero di cellulare (che è stato fornito al momento della registrazione) contenente un codice OTP. Basta inserire quel codice per autorizzare e concludere l’operazione.
Ad esempio, se si vuole reimpostare la password di un conto e-banking, al fine di ottenere una nuova chiave di accesso sulla propria mail è necessario prima inserire il codice OTP ricevuto via SMS. Ciò è proprio quello che potrebbe fare il malintenzionato trasferendo, grazie al codice ICCID, il numero di cellulare della vittima su una nuova scheda sim in suo possesso. Una volta reimpostata la password, poi, potrebbe accedere al conto corrente ed effettuare qualsiasi operazione.
Dati Ho. Mobile rubati: i rischi sono reali?
Sapere che qualcuno può accedere ai propri dati personali e fare tutto quello riportato sopra non fa di certo piacere. Ma i rischi sono reali?
Le possibilità ci sono, ma ci sono anche parecchi “ma” che rendono il tutto molto più complicato di quello che sembra.
Innanzitutto, i sistemi che utilizzano un’autenticazione a due fattore tramite codice OTP via SMS sono veramente pochi, anzi pochissimi. La maggior parte delle Banche infatti inviano il codice OTP su un dispositivo a parte (come le chiavette che vengono fornite al momento dell’apertura del conto) oppure tramite altri sistemi (alcune Banche sfruttano stesso l’app installata sul cellulare).
Inoltre, per poter effettuare queste operazioni è necessario conoscere anche il nome utente (per le banche alcune volte è un codice alfanumerico fornito stesso dalla banca) nonché la mail (e la relativa password).
Ammesso infine che una piattaforma permetta il recupero totale delle credenziali attraverso il solo numero di telefono (ipotesi assai rara), il soggetto “sotto attacco” riceverebbe comunque una notifica o via mail o tramite app sul cellulare.
Tutto ciò senza considerare che, ovviamente, se qualcuno migra il numero di cellulare su un’altra scheda dati, la SIM “violata” verrebbe disattivata e quindi, molto probabilmente, l’utente violato se ne accorgerebbe nel giro di poco tempo, semplicemente perché il proprio smartphone non riceverebbe più alcun segnale.
Insomma, le probabilità ci sono, ma che il tutto possa accadere nel giro di poco tempo senza che nessuno se ne renda conto è molto difficile.
Dati rubati Ho. Mobile: come tutelarsi?
Ma come fare per stare tranquilli e tutelarsi da questo eventuale attacco?
Innanzitutto, non bisogna farsi prendere dal panico. È possibile infatti tutelarsi nei seguenti modi:
- aderire a servizi di monitoring, come MisterCredit, che permettono di monitorare qualsiasi attività creditizie fatta con il proprio nome. In questo modo se qualcuno dovesse effettuare qualche operazione bancaria o transazione in qualsiasi luogo del mondo a nome nostro lo verremmo comunque a sapere, potendo denunciare il tutto alle autorità competenti.
- controllare che la propria Banca o servizi come PayPal, Amazon, eBay o simili non utilizzino il numero di telefono per ricevere il codice OTP, ma altri sistemi alternativi. Esistono delle applicazioni, come Authenticator di Google (disponibile per Android e iOS), che permettono di ricevere il codice OTP direttamente sul proprio smartphone senza dover ricevere alcun SMS.
L’operatore telefonico ha comunque dichiarato di offrire una sostituzione gratuita della sim presso i rivenditori autorizzati. Questa operazione non comporterà il cambio del numero ma solo la sostituzione della scheda sim con il relativo codice ICCID.
Altri Articoli
Quali iPhone hanno la ricarica wireless?
Come disattivare i suggerimenti Siri su Spotlight
