Ad oggi, molti servizi sono protetti da sistemi a doppia autenticazione, che poggiano su un numero di cellulare. Bisogna utilizzare un codice, che ci arriva di solito via sms, per accedere a un account. E ci sono servizi, come Whatsapp o Snapchat, che sono direttamente legati al nostro numero di cellulare, che dal prossimo autunno ci permetterà anche di attivare un iPhone.
Il cellulare tende insomma a diventare la nostra password universale per il mondo di servizi e contenuti digitali. Il problema è che “per un attaccante ben determinato, è possibile ottenere, tramite operatore telefonico un controllo temporaneo, su un numero di telefono e quindi poter vedere tutti gli sms che arrivano”, spiega Luca Bechelli, del consiglio direttivo del Clusit, l’associazione informatica italiana. Si chiama “dirottamento del cellulare” (“phone hijacking”) ed è un fenomeno in forte crescita, come riporta, per prima, l’autorità americana Federal Trade Commission, con un raddoppio dei casi in tre anni.
Come quello di Chris Burniske, forte investitore bitcoin, che si è visto rubare in questo modo l’equivalente (in bitcoin) di 150 mila euro dal proprio portafoglio digitale. Peggio è andata all’imprenditore Joby Weeks, che ha perso l’equivalente di un milione di dollari, nonostante avesse attivato misure di sicurezza addizionali per il suo numero di telefono, presso il proprio operatore. Con la stessa tecnica, il fondatore del movimento per i diritti degli afro-americani Black Matter Lives ha subito di recente il furto del proprio account Twitter. Legato al (fragile) filo di un numero di cellulare c’è quindi un mondo di interessi pubblici e privati; non solo economici, ma anche di caratura politica. E tutto questo, certo, ormai attira schiere di pirati informatici.
Anche in Italia, “dove spesso il furto di numero di telefono avviene nei negozi degli operatori”, spiega Bechelli. “Succede così – continua. Un criminale entra in un negozio, dice di aver subito il furto del cellulare e del portafoglio con i documenti, e di avere bisogno subito – per una emergenza, che può inventare – di avere accesso al proprio numero. Allora può convincere il commesso a disabilitare la vecchia sim e a dargliene una nuova, con quel numero. Procedura che ormai avviene in poche ore”.
“Un altro modo è chiamare il call center dell’operatore fino a trovare un addetto abbastanza ingenuo o impreparato da farsi convincere ad attivare un inoltro di chiamate e sms su un numero che è nelle disponibilità del criminale”, continua. Prima o poi, tenta e ritenta, si riuscirà a carpire la buona fede dell’addetto. In ogni caso, si può così avere accesso a codici, via sms, per autorizzare un bonifico o il trasferimento di bitcoin. “Alcune banche fanno arrivare la one time password via sms. Altre hanno invece app per generarle, ma è un sistema aggirabile per chi ha controllo su un numero di telfeono. Un criminale infatti può usare un codice sms per attivare questa app sul proprio cellulare”.
“Si può anche prendere controllo di una casella mail, che a sua volta ci dà accesso ad altri servizi e contenuti”. Le cronache riportano casi di furto di foto private, a scopo di ricatto. “Molto ambiti, ora, anche i dati sanitari di una persona, ai quali è possibile accedere se si ha controllo della mail associata al servizio. Lo scopo è usare i dati per truffe o ricatti”.
Di fondo, c’è che “gli operatori permettono agli addetti di fare eccezioni alle regole di sicurezza che stanno dietro al controllo su un numero di telefono. E questo perché dal loro punto di vista, se da una parte sarebbe oneroso utilizzare sistemi di sicurezza più rigorosi, dall’altra è basso il danno per un furto: al massimo dovranno rimborsare il credito telefonico utilizzato dal malvivente”. Peccato però che ormai il valore di quel numero non è più solo il credito telefonico, ma un intero mondo di servizi e contenuti, che vanno dal nostro conto corrente ai nostri dati più privati.
Fonte LaRepubblica