20.12.2022 - Il numero di segnalazioni pervenute all’NCSC (635) è rimasto praticamente invariato rispetto alla settimana precedente. Ha suscitato particolare interesse il caso in cui gli aggressori hanno tentato di lucrare con la registrazione a un’app pompando il traffico di SMS e utilizzando numeri di telefono esteri.
Attacchi ad app con la funzione di registrazione tramite cellulare
Attualmente la registrazione tramite numero di telefono è molto diffusa tra le app per smartphone per attribuire un account in modo univoco. Dopo la registrazione il provider invia un SMS con un codice di verifica, senza il quale non è possibile utilizzare l’app. Questo tipo di registrazione semplice, senza password né indirizzo e-mail è di facile utilizzo e relativamente sicuro, perché permette di riconoscere rapidamente le registrazioni effettuate con numeri di telefono inesistenti.
È l’ennesima segnalazione di abuso di questo tipo. Gli aggressori si sono registrati automaticamente con numeri di telefono esteri centinaia di migliaia di volte. Gli SMS con il codice di verifica sono stati inviati a numeri di diversi Paesi, in particolare di quelli per i quali sono previsti costi aggiuntivi (di roaming o di interworking). Con l’elevato utilizzo della rete aumentano anche i costi. I provider di app devono pagare per il traffico dati causato dagli SMS di registrazione, anche se fraudolento. Una quota dei costi generati in tal modo finisce nelle tasche degli aggressori.
Senza misure adeguate, questi attacchi possono costare cari ai provider di app. La stimolazione (o il pompaggio) del traffico di rete è nota come «traffic pumping» e quando implica l’utilizzo di SMS si parla di «SMS traffic pumping».
Raccomandazioni per i provider di app
- Moderate imperativamente l’invio di SMS, ad esempio limitando il numero di messaggi che possono essere inviati in rapida successione.
- Consentite la registrazione solo con numeri di telefono «normali» per la vostra app, ad esempio con prefisso svizzero.
- Chiedete al vostro provider di impedire l’invio di SMS a numeri per i quali sono previsti costi aggiuntivi.
- Fissate dei limiti ai costi con il vostro provider di SMS, in modo da interrompere gli invii al raggiungimento di tale soglia.
- Allestite un sistema di controllo, in modo da sorvegliare gli invii di questo tipo di SMS.
Numeri e statistiche attuali
Segnalazioni della scorsa settimana per categoria:
Ultima modifica 20.12.2022