14.05.2024 - Al giorno d’oggi l’accesso a molte applicazioni su Internet viene protetto tramite un’autenticazione a due fattori dove gli smartphone rivestono un ruolo sempre più importante fungendo da secondo fattore di sicurezza per connettervisi. Per questo motivo i cibercriminali cercano sempre più spesso di accedere anche a questi dispositivi in modo da ottenere tutte le credenziali necessarie. Un esempio notificato all’UFCS la settimana scorsa dimostra che l’inserimento di una password in caso di un attacco di phishing contro un servizio Internet a prima vista non critico può avere gravi conseguenze e addirittura bypassare l’autenticazione a due fattori.
Settimana 19: lo smartphone come tallone d’Achille, ovvero come i cibercriminali aggirano l’autenticazione a due fattori
Come già accennato in una precedente retrospettiva settimanale, in molti casi l’account di posta elettronica è al giorno d’oggi un bersaglio ambito per accedere a diversi servizi Internet. Spesso l’indirizzo e-mail è utilizzato come username. In caso di password dimenticata, l’utente può farsi mandare semplicemente un link all’indirizzo e-mail per reimpostarla. Se un hacker riesce a compromettere l’account di posta elettronica, può utilizzare la funzione di ripristino della password per accedere a numerosi servizi Internet collegati a questo account. Ecco perché gli attacchi di phishing contro gli account di posta elettronica sono sempre più spesso l’«arma preferita» degli hacker. Tuttavia, un caso notificato all’UFCS la settimana scorsa mostra che non è solo la compromissione di un account di posta elettronica a fungere da via d’accesso per numerosi tentativi di hacking a valle, mettendo anche in luce come il modus operandi dei criminali permetta loro di guadagnare gradualmente terreno e di adattarsi alla vittima a seconda della situazione.
L’attacco mirava all’account del portale clienti di un operatore di telefonia mobile. Utilizzando un sito di phishing, i criminali sono riusciti innanzitutto a impossessarsi della password di questo account della vittima. Lo scopo primario dei criminali era tuttavia creare un’eSIM, e per questo hanno dovuto anche far sì che la vittima inoltrasse il codice di verifica ricevuto tramite SMS. A tal fine i criminali creano perlopiù dei finti concorsi in cui il codice SMS deve essere confermato e inserito in un sito web per ricevere il presunto premio. Con la password, il login e il messaggio SMS di verifica, i criminali possono creare un’eSIM e quindi ricevere tutte le telefonate e tutti gli SMS inviati al numero corrispondente. Anche se a prima vista il danno potenziale sembra di lieve entità, questo approccio può avere gravi conseguenze.
Prima l’accesso all’e-mail, poi all’account Apple, e poi...
In un secondo momento i criminali hanno cercato di accedere all’account di posta elettronica della vittima. Molti provider di posta elettronica come Yahoo o Gmail consentono di reimpostare la password non solo tramite un indirizzo e-mail alternativo, ma anche via SMS utilizzando il numero di cellulare. Quindi, se come in questo caso i criminali hanno accesso agli SMS in arrivo con il link di verifica, possono impossessarsi dell’account di posta elettronica.
Dai dati inseriti nel portale clienti del provider di telecomunicazioni i criminali sono riusciti inoltre a vedere che la vittima usava un iPhone e quindi a presumere che quest’ultima avesse anche un account Apple. Avendo precedentemente ottenuto l’accesso all’account di posta elettronica e agli SMS inviati alla vittima, i criminali sono stati in grado di accedere anche all’account Apple e quindi a tutte le funzioni collegate, compresi i backup memorizzati nel cloud, che hanno ripristinato su uno dei loro smartphone.
In questo modo gli hacker hanno potuto ottenere maggiori informazioni sulle app utilizzate dalla vittima e hanno via via cercato di compromettere in maniera mirata altri account. Di solito i criminali si focalizzano su servizi standard come Facebook, Instagram e altri social media che la maggior parte degli utenti ha installato sugli smartphone. Tuttavia, in questo caso il backup ha fornito ai criminali una panoramica precisa delle app installate e ha permesso loro di scoprire che la vittima aveva diverse app per gestire dei conti di criptovalute. Con queste informazioni sono riusciti a loro volta a reimpostare le password degli account e a impossessarsi dei codici numerici delle app di autenticazione a due fattori. In questo caso, il danno è ammontato a oltre 20 000 CHF, e solo perché all’inizio è stata inserita in un sito di phishing la password di un servizio Internet apparentemente non critico.
Raccomandazioni
- Attivate, se possibile, un’autenticazione a due fattori. Ciò garantisce un maggiore livello di protezione per impedire che il vostro account venga violato.
- Non inserite mai dati personali come password o dati della carta di credito su un sito Internet aperto tramite un link ricevuto via e-mail o SMS.
- Ricordatevi che i mittenti delle e-mail possono essere falsificati facilmente.
- Utilizzate password di almeno 12 caratteri, composte da lettere maiuscole e minuscole, numeri e caratteri speciali.
- Evitate di riutilizzare le password.
- Se possibile, utilizzate più indirizzi e-mail a seconda dello scopo.
Numeri e statistiche attuali
Segnalazioni della scorsa settimana per categoria:
Ultima modifica 14.05.2024