Attenti al numero di telefono: conto corrente a rischio
Dalla Russia un nuovo allarme: sono in aumento i rischi per i conti correnti a causa di nuove tecniche che permettono ai cybercriminali di rubare il numero di telefono delle vittime
Le eSIM, cioè le SIM “embedded” che stanno (molto lentamente, a dire il vero) sostituendo le SIM fisiche negli smartphone di tutto il mondo, sono estremamente comode per chi cambia spesso operatore telefonico, ma possono favorire un hacker esperto che ha intenzione di rubarci il numero di telefono e, tramite esso, aggredire il nostro conto in banca.
A scoprirlo sono stati i ricercatori di cybersicurezza della società russa FACCT, che non hanno pubblicato dettagli specifici sul metodo per non agevolare i criminali, ma affermano che di metodi ce ne sarebbero anche più di uno. Il rischio, quindi, sarebbe molto più concreto di quanto non si potrebbe pensare.
Come funziona una eSIM
Il termine eSIM sta per “Embedded Subscriber Identity Module“, cioè SIM “incorporata” nel telefono. A differenza delle SIM tradizionali, che l’utente può inserire, rimuovere, spostare da un cellulare all’altro, le eSIM sono invece un circuito saldato all’interno dello smartphone.
Ciò vuol dire che, quando l’utente vuole cambiare numero o portare il numero da uno smartphone all’altro, deve rivolgersi al suo operatore, concederli l’accesso alla eSIM e attendere che l’operatore faccia tutto da remoto.
Per aggiungere una eSIM sul proprio telefono, l’utente deve solitamente eseguire la scansione di un QR Code su una tessera fornita dall’operatore telefonico.
In questo processo, però, può inserirsi un hacker con lo scopo di dirottare il numero di telefono dell’utente sulla sua eSIM, sostanzialmente rubandolo eseguendo ciò che tecnicamente viene chiamato “SIM swapping“, cioè scambio (non voluto) di SIM.
Cosa si rischia con l’eSIM
Secondo FACCT, per rubare un numero di telefono gli attaccanti forzano l’account dell’utente con credenziali rubate, o trovate in un database sul dark web, o ottenute con un attacco di forza bruta (milioni di tentativi consecutivi, finché non “entra” quello giusto).
A questo punto inizia la portabilità del numero (non voluta dalla vittima). Una delle possibilità è quella di creare un codice QR contenente il numero di telefono hackerato, che può essere scannerizzato per attivare una nuova eSIM. Questa procedura “sposta” il numero di telefono della vittima sulla eSIM dell’hacker, mentre disattiva la eSIM (o anche la SIM tradizionale) della vittima.
Dopo l’attacco il conto è a rischio
Una volta ottenuto il numero di telefono della vittima, i rischi per i suoi profili online si moltiplicano. Tra gli attacchi possibili c’è anche quello al conto in banca, per il quale non basta il furto del numero di telefono, ma è comunque fondamentale per sottrarre molto denaro dal conto.
Una volta hackerato il conto corrente con altre tecniche, infatti, il cybercriminale ha due possibilità: fare una valanga di acquisti online di piccola entità, che non richiedono autorizzazione ma passano in automatico, oppure fare grossi bonifici verso altri conti, che al contrario richiedono la “SCA“: Strong Customer Authentication.
La SCA è l’autenticazione forte del cliente bancario, in sostanza un’autenticazione a due fattori: oltre al nome utente e password per entrare nell’app o nel sito della banca, infatti, per autorizzare i bonifici l’istituto di credito invia al numero di telefono registrato dal cliente dei codici “OTP“, cioè One Time Password.
Ovvero password usa e getta, che servono solo per autorizzare quella transazione. E’ chiaro che per fare tutto ciò l’hacker ha bisogno di dirottare i messaggi SMS in ingresso su quel numero di telefono verso il suo smartphone. L’unico modo per farlo è proprio il “SIM swapping“.
