In principo fu l’SMS: il breve messaggio di testo, la prima killer app dei cellulari (ben lontani dagli attuali smartphone), l’inizio dell’era della messaggistica istantanea (oggi erroneamente identificata con il solo Whatsapp). Non li usa più nessuno, in ambito privato, anche per via dei costi non sempre affogati negli abbonamenti mensili; ma sono ancora molto utilizzati negli ambiti commerciali, ed i pirati digitali ne approfittano.
Phishing e virus
La tecnica più banale è l’invio di un SMS contenente un collegamento ad una risorsa web, la quale può essere il download di un file infettante (virus o malware in generale) o una pagina di phishing (dove vengono richieste l’inserimento di dati o anche credenziali attraverso l’inganno di un aspetto identico a quello delle pagine di servizi comuni, a partire ovviamente dalle banche). Il numero mittente sembra legittimo, ma invece è molto facile cammuffarlo o falsificarlo.
A parte avere lo smartphone dotato di un buon antivirus, l’unica difesa è alzare il livello del sospetto: qualsiasi comunicazione non richiesta o non attesa deve essere verificata o, se non è possibile, ignorata. Ignorare un SMS non significa fare come se non fosse mai arrivato: significa invece accedere al sito ufficiale del (presunto) mittente passando per i soliti canali diretti, e cercare lì quanto citato nell’SMS. La procedura è più laboriosa ma è assolutamente necessaria per evitare furti di dati o smartphone bloccati.
Password usa e getta
Molti servizi “critici” hanno adottato una tecnica di autenticazione a due fattori che consiste nel richiedere le usuali credenziali (username e password) che però vanno confermate attraverso un codice di controllo valido una sola volta (One Time Password) inviato, appunto, via SMS ad un numero che sia stato “certificato” in precedenza. Questa modalità è stata ritenuta a lungo valida (cioè sicura), finché non è stata escogitata una raffinata tecnica di aggiramento: usando in modo fraudolento le procedure con cui sia attiva una nuova SIM per un dato numero, è possibile far sì che il codice di controllo temporaneo finisca su una SIM diversa da quella del legittimo proprietario. Tale tecnica ha il difetto (per i ladri) di essere facilmente scoperta, in quanto la SIM legittima smette di funzionare (niente chiamate e SMS), ma i tempi necessari per accorgersi della truffa e porvi rimedio sono comunque abbastanza lunghi per permettere di concludere il furto di dati (o lo svuotamento del conto corrente…). Esiste anche una raffinata tecnica che utilizza il protocollo che controlla il roaming tra operatori (SS7) per ottenere lo stesso risultato (cioè l’SMS che finisce su un altro telefono), la quale è difficile da individuare ma per fortuna anche molto più difficile da mettere in atto.
La difesa in questo caso è difficile, ma si può almeno evitare di rendere la vita facile al nostro ladro proteggendo anche le informazioni apparentemente più banali (i nostri username, il nostro numero di telefono, password complesse, etc) in modo che non diventiamo facili bersagli.
Falsi messaggi di recupero
Una variante meritevole di attenzione del phishing è quella per rubare l’accesso a servizi vari attraverso le procedure di recupero della password. Funziona sui servizi dove abbiamo impostato il nostro numero di telefono per l’invio di un codice di conferma per procedere a reimpostare la password (magari perché dimenticata). La tecnica è banale: un falso messaggio proveniente apparentemente dal servizio in questione ci avvisa che per qualche motivo arriverà un codice e che dobbiamo inoltrarlo rispondendo (minacciando di bloccare il nostro accesso). Il “ladro”, che conosce il nostro username per quel servizio (non è per nulla difficile scoprirlo), effettua la procedure di reimpostazione password che causa l’invio del codice di verifica, esso ci arriva e come richiesto lo inviamo noi al ladro!
Anche in questo caso, il livello di attenzione è la difesa più valida: sospettare sempre, ed evitare di fare sempre ciò che ci viene richiesto.
Gli SMS non sono sicuri
La sostanza è che gli SMS (in modo analogo a quanto succede per la posta elettronica) non sono sicuri, ed il motivo è che si basano su protocolli antiquati risalenti a quando la sicurezza informatica non era ancora un problema. Di fatto, manca la crittografia (quindi in caso di intercettazione chiunque riesce a leggere il contenuto) e usa una modalità di autenticazione basilare (il solo numero di telefono), per cui impersonificare qualcun altro è facilissimo. Per cui, è necessario imparare a diffidare di qualsiasi comunicazione importante avvenga via SMS.
LabPrivacy RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
