Autenticazione a 2 fattori e frodi informatiche con SIM swapping

La password come sistema di sicurezza spesso e volentieri non è più sufficiente. Lo dimostra il fatto che sempre più servizi telematici o app ricorrono a sistemi di autenticazione a 2 fattori per effettuare accessi e operazioni. Ma siamo davvero sicuri che le doppie credenziali siano un metodo infallibile?

Ovviamente la risposta è no, e per provartelo ti racconterò cosa sta successo a proposito di SIM swapping, per farti capire come le frodi informatiche siano sempre all’ordine del giorno.

Definizione di autenticazione a due fattori e di SIM swap

Inizierò chiarendo l’argomento che vorrei affrontare e per farlo voglio partire da due definizioni.

Autenticazione a 2 fattori

L’autenticazione a due fattori è un metodo di accesso (o di conferma di un’operazione) che ricorre a un doppio sistema di verifica per certificare l’identità di una persona o il suo consenso all’eseguire un’azione specifica (come un pagamento).

Uno dei 2 fattori di riconoscimento è di solito una password (per così dire permanente) cui viene associato istantaneamente un altro metodo di riconoscimento temporaneo (un codice inviato per SMS o email, un popup di altro dispositivo o altra applicazione…). I due elementi identificativi congiunti migliorano la sicurezza, per questo trovano ormai applicazione diffusa in ambito bancario o a protezione degli account nei social network.

SIM swapping

Per SIM swapping (letteralmente “scambio di SIM”) si intende un tipo di truffa informatica che permette agli hacker clonare un numero di telefono mobile e di usare lo stesso per accedere a dati di vario tipo o per appropriarsi di denaro.

Una volta ottenuto l’accesso ad una SIM l’hacker può usare il relativo numero di telefono per associarlo ad un’altra scheda (la versione illecita della ben nota portabilità del numero da un gestore telefonico ad un altro). Fatto ciò il numero di telefono può essere usato in modo fraudolento.

Leggi anche “Gestione password: la situazione e i nostri consigli” dal nostro Blog".

Numeri di telefono come fattori di autenticazione

Il numero di telefono viene spesso utilizzato come secondo fattore di autenticazione per molte applicazioni per smartphone, comprese quelle dedicate all’home banking. Ne consegue che dopo aver hackerato il numero di telefono si può utilizzare questo dato personale per accedere a diversi servizi bancari e finanziari.

Questo è proprio quello che è successo di recente.

Passaggio dai token fisici a quelli digitali nei sistemi di home banking

A partire da settembre 2019 i cari vecchi token (chiavette elettroniche sulle quali viene visualizzato un codice d’accesso temporaneo per accedere ai servizi bancari) hanno fatto posto ad altri sistemi di autenticazione come dati biometrici o codici forniti tramite SMS.

La comodità di questa scelta è innegabile: anziché portarsi sempre una chiavetta con sé, meglio usare il nostro telefonino per il “secondo fattore di autenticazione” (cosa che nell’era dei pagamenti contactless sembra più che giusta).

Ma è altrettanto innegabile che delegando tutto ai nostri dispositivi mobili una bella fetta di responsabilità in merito alla sicurezza di conti correnti e sistemi di pagamento in generale è ricaduta sulle nostre spalle!

Ed è proprio qui che entra in gioco il SIM swapping perché l’accesso al numero di telefono permetterebbe di controllare i codici di autenticazione (token digitale) inviato sullo smartphone. Di fatto, questo è proprio quello che accaduto a diversi malcapitati. A fine gennaio 2020, per esempio, si è registrato ad un caso di hackeraggio a scapito di un quarantenne che si è visto svanire circa 50.000 euro con 4 bonifici consecutivi.

Viene quasi da chiedersi se l’eliminazione dei token fisici sia stata davvero la scelta migliore considerando i rischi per la sicurezza informatica.

Abbiamo visto l’esempio di SIM swapping ai danni di un privato cittadino, ma la stessa cosa potrebbe capitare anche a un tuo dipendente, mettendo a rischio la sicurezza dei dati aziendali e le risorse finanziarie di tutta l’organizzazione. Ci avevi pensato? Se la tua risposta è no, allora ti consigliamo di leggere:

• Device aziendali e furto: cosa fare subito
• Dati aziendali e tutela della privacy: smartphone in pericolo?