Uno studio di Princeton ha recentemente scoperto che cinque operatori statunitensi di carte prepagate, espongono le proprie SIM a vulnerabilità che consentono di rubare il numero di telefono del proprietario.
SIM prepagate: occhio al numero!
I ricercatori hanno comprato 10 prepagate per ognuno dei seguenti operatori: AT&T, T-Mobile, Tracfone, US Mobile e Verizon per un totale, quindi, di 50.
La scoperta poco rassicurante è stata quella di osservare che è sufficiente rispondere ad una sola domanda per verificare la propria identità e poter trasferire il servizio corrente (quello della SIM prepagata) ad una SIM già posseduta in precedenza.
Va da sé che questo tipo di operazione permette ad un malintenzionato di acquisire il numero di telefono di una qualsiasi persona e usarlo come parametro per acquisti bancari, accesso alle mail ecc.
Come si è svolto il test
I ricercatori hanno chiamato le compagnie e hanno richiesto la portabilità verso il proprio numero e hanno intenzionalmente fornito un PIN errato affinché il servizio clienti fosse obbligato a provare un altro metodo di autenticazione.
Al momento di chiedere la data di nascita o il codice postale rispondevano che molto probabilmente si erano sbagliati durante la registrazione, dando un dato sbagliato.
Il servizio clienti a questo punto chiede un terzo tipo di autenticazione, che sarebbe chiedere al chiamante quali sarebbero state le ultime due chiamate.
A questo punto l’autenticazione funziona e la portabilità sul numero è fatta.
Per completezza, i ricercatori hanno esaminato 140 siti popolari che richiedono l’autenticazione del cliente tramite numero di telefono, per capire quali operazioni l’hacker sarebbe in grado di fare.
Su 17 di questi siti sono stati in grado di resettare la password dell’account poiché non era richiesto altro metodo di autenticazione.
I ricercatori hanno contattato T-Mobile che ha risposto, tramite comunicato, che la cronologia delle chiamate non è più usata come forma di autenticazione.
Aggiornamenti al 13 gennaio 2019
Anche Verizon ha risposto alla questione tramite le parole del Senior Vice President Nick Ludlum:”Gli operatori wireless si impegnano nella protezione dei clienti e nel combattere gli attacchi di SIM swap. Facciamo una revisione continua delle pratiche di difesa verso la cybersecurity e sviluppiamo nuove protezioni per i consumatori“.
Infine, US Mobile ha affermato:”meno dell’1% dei SIM swap sono avvenuti tramite telefono. Tra l’altro non è più possibile fare la portabilità tramite servizio clienti, bisogna essere connessi al proprio account, autenticato, sull’app o sulla dashboard“.
Rimani aggiornato seguendoci su Google News!
Da non perdere questa settimana su Techprincess
🚪 La pericolosa backdoor di Linux, disastro sventato da un solo ricercatore
🎶Streaming Farms: il lato oscuro della musica, tra ascolti falsi e stream pompati
✈️Abbiamo provato DJI Avata 2: sempre più divertente!
✒️ La nostra imperdibile newsletter Caffellattech! Iscriviti qui
🎧 Ma lo sai che anche Fjona ha la sua newsletter?! Iscriviti a SuggeriPODCAST!
📺 Trovi Fjona anche su RAI Play con Touch - Impronta digitale!
💌 Risolviamo i tuoi problemi di cuore con B1NARY
🎧 Ascolta il nostro imperdibile podcast Le vie del Tech
💸E trovi un po' di offerte interessanti su Telegram!
