[CDT] SIM scam e sicurezza del conto bancario: 2FA dei miei stivali.
Buongiorno nexiani, dovreste avvisare tutti coloro a cui volete bene che il giorno in cui il loro telefono dovesse perdere completamente la linea (anche dopo un paio di riavvii) allora è il caso che si precipitino in banca a bloccare l'accesso al conto. Leggendo questo articolo «Truffa sim swap, “così attraverso il numero di telefono ci hanno svuotato il conto”. I rischi nascosti nelle nuove procedure di sicurezza» [1] ho scoperto questa tecnica [2]: https://en.wikipedia.org/wiki/SIM_swap_scam --8<---------------cut here---------------start------------->8--- The fraud exploits a mobile phone service provider’s ability to seamlessly port a telephone number to a device containing a different subscriber identity module (SIM). [...] Once this happens the victim's phone will lose connection to the network and the fraudster will receive all the SMS and voice calls intended for the victim. This allows the fraudster to intercept any one-time passwords sent via text or telephone calls sent to the victim, and thus to circumvent any security features of accounts (be they bank accounts, social media accounts, etc.) that rely on text messages or telephone calls. --8<---------------cut here---------------end--------------->8--- L'articolo citato all'inizio dice sostanzialmente che alcuni cittadini italiani si sono trovati il conto svuotato da chi ha usato la tecnica sopra: --8<---------------cut here---------------start------------->8--- Una volta individuata la vittima si procede all’acquisizione delle credenziali di home banking tramite tecniche di hacking. [...] La pericolosità di questa truffa sta nel superamento del secondo fattore di autenticazione, di recente legato al numero di telefono: “Il cellulare viene identificato con la sim e chi ne entra fisicamente in possesso ha un grande vantaggio” [...] Negli Stati Uniti, dove questa truffa è molto diffusa già da qualche anno, i clienti che si sentono a rischio possono chiedere al proprio operatore di non rilasciare duplicati della sim in centri servizi standard. Questo passaggio è scomodo quando capita di perdere per davvero la sim, ma forse è il momento di rivalutarlo vista la crescita di questo tipo di truffe. [...] Il punto di partenza rimane in ogni caso il furto delle credenziali di home banking, che nella grande maggioranza dei casi avviene tramite il cosiddetto phishing [...] E poi è fondamentale aggiornare il sistema operativo dei dispositivi cui cui operiamo: molti attacchi avvengono tramite l’installazione di malware sul pc, e questo spesso accade perché non abbiamo aggiornato il sistema operativo e i browser con cui navighiamo --8<---------------cut here---------------end--------------->8--- Secondo me cambia proprio poco se il 2FA è gestito via SMS o via app: chi ha le credenziali di accesso primarie ci mette 15 secondi ad associare la propria app al conto, che si tratti di app proprietarie o libere (FreeOTP) non fa la differenza... ...ma, ma, ma: nel caso l'utente utilizzi app proprietarie 2FA sul proprio smartphone e queste app lo hanno costretto a inserire le credenziali primarie per poter attivare l'app (AFAIU il 98% delle app proprietarie distribuite dalle banche) allora la superficie di attacco a disposizione dei truffatori aumenta **esponenzialmente** Aver introdotto il 2FA e aver consentito che fosse gestito in questo modo ha reso più complicata la vita agli utenti e dato un solo po' di fastidio ai truffatori che ora sono costretti a usare un pochino di risorse in più per ottenere lo scopo. Io continuo a credere che l'unico modo serio per proteggersi da questo tipo di truffe sia essere in grado di proteggere veramente le proprie credenziali primarie *ma* questo implica che i dispositivi sui quali le memorizziamo siano davvero sicuri (io comincierei dal sistema operativo, poi per l'hardware vedremo... tipo https://betrusted.io/) Il 2FA andrebbe anche bene se chi lo offre fosse _costretto_ ad accettare che i clienti possano utilizzare qualsiasi app loro desiderino senza essere costretti a usare la app specifica (in genere proprietaria). Giusto per capirci, anche io uso 2FA via FreeOTP [3] - per esempio per l'accesso web a servizi quali per esempio https://gitlab.com un servizio per pubblicare repository git - mentre la mia banca vorrebbe costringermi ad installare la propria app, la quale per l'attivazione mi chiede di inserire i codici di autenticazione primaria... ho risposto loro che sono fuori di testa, preferisco pagare extra per avere i codici via SMS :-O Perché il PSD2 non obbliga chi eroga i servizi 2FA a dare accesso attraverso uno degli standard disponibili?!? Come se non bastasse, quando sono costretto a chiamare un operatore telefonicamente il sistema automatico mi chiede di inserire codice utente e **password** attraverso DTMF [4] (il tastierino che invia i numeri coi toni), prima di procedere... al che lo faccio solo quando sono disperato perché così mi tocca modificare la password dopo *ogni* chiamata... mi piacerebbe scambiare due paroline con coloro che hanno redatto il PSD2 :-@ L'ufficio complicazioni inutili degli affari complessi è sempre molto indaffarato. Se qualcuno trovasse una falla nel mio ragionamento sarei molto lieto di ascoltare :-) Saluti, Giovanni [1] https://www.ilfattoquotidiano.it/2020/01/30/truffa-sim-swap-cosi-attraverso-... [2] l'avevo sempre immaginata possibile ma non sapevo fosse effettivamente documentata... beata ignoranza! [3] https://f-droid.org/it/packages/org.fedorahosted.freeotp/ [4] intercettare le chiamate GSM è un gioco da ragazzi oggi -- Giovanni Biscuolo Xelera IT Infrastructures
Mi chiedo: questo problema può investire anche SPID L2? Dopo le vulnerabilità con IMSI catchers e SS7 non ci si può più affidare alla sicurezza di canali come le reti GSM, pensate negli anni '80 in un contesto di fiducia e affidabilità tra operatori e le cui "features" sono scivolate a quanto pare fino al 5G (parlatemi di path-dependency!) In Italia le bache potrebbero sfruttare SPID come uno dei fattori: voi usereste SPID (magari se fosse attivo quello di livello 3, con smartcard ad esempio) come uno dei fattori per accedere al vostro conto bancario? Ma le soluzioni interoperabili non sono molto apprezzate oggi: se dovessi indovinare quali saranno le soluzioni che il mercato "sceglierà", punterei su biometria (le impronte digitali, quelle clonabili e abbondantemente presenti sullo schermo dello smartphone), sorveglianza ambientale (microfoni del cellulare e del laptop devono essere nello stesso ambiente), georeferenziazione dei fattori multipli... Ciao, Alberto On 30/01/2020 12:53, Giovanni Biscuolo wrote:
Buongiorno nexiani,
dovreste avvisare tutti coloro a cui volete bene che il giorno in cui il loro telefono dovesse perdere completamente la linea (anche dopo un paio di riavvii) allora è il caso che si precipitino in banca a bloccare l'accesso al conto.
Leggendo questo articolo «Truffa sim swap, “così attraverso il numero di telefono ci hanno svuotato il conto”. I rischi nascosti nelle nuove procedure di sicurezza» [1] ho scoperto questa tecnica [2]: https://en.wikipedia.org/wiki/SIM_swap_scam
--8<---------------cut here---------------start------------->8--- The fraud exploits a mobile phone service provider’s ability to seamlessly port a telephone number to a device containing a different subscriber identity module (SIM).
[...]
Once this happens the victim's phone will lose connection to the network and the fraudster will receive all the SMS and voice calls intended for the victim. This allows the fraudster to intercept any one-time passwords sent via text or telephone calls sent to the victim, and thus to circumvent any security features of accounts (be they bank accounts, social media accounts, etc.) that rely on text messages or telephone calls.
--8<---------------cut here---------------end--------------->8---
L'articolo citato all'inizio dice sostanzialmente che alcuni cittadini italiani si sono trovati il conto svuotato da chi ha usato la tecnica sopra:
--8<---------------cut here---------------start------------->8---
Una volta individuata la vittima si procede all’acquisizione delle credenziali di home banking tramite tecniche di hacking.
[...]
La pericolosità di questa truffa sta nel superamento del secondo fattore di autenticazione, di recente legato al numero di telefono: “Il cellulare viene identificato con la sim e chi ne entra fisicamente in possesso ha un grande vantaggio”
[...]
Negli Stati Uniti, dove questa truffa è molto diffusa già da qualche anno, i clienti che si sentono a rischio possono chiedere al proprio operatore di non rilasciare duplicati della sim in centri servizi standard. Questo passaggio è scomodo quando capita di perdere per davvero la sim, ma forse è il momento di rivalutarlo vista la crescita di questo tipo di truffe.
[...]
Il punto di partenza rimane in ogni caso il furto delle credenziali di home banking, che nella grande maggioranza dei casi avviene tramite il cosiddetto phishing
[...]
E poi è fondamentale aggiornare il sistema operativo dei dispositivi cui cui operiamo: molti attacchi avvengono tramite l’installazione di malware sul pc, e questo spesso accade perché non abbiamo aggiornato il sistema operativo e i browser con cui navighiamo
--8<---------------cut here---------------end--------------->8---
Secondo me cambia proprio poco se il 2FA è gestito via SMS o via app: chi ha le credenziali di accesso primarie ci mette 15 secondi ad associare la propria app al conto, che si tratti di app proprietarie o libere (FreeOTP) non fa la differenza...
...ma, ma, ma: nel caso l'utente utilizzi app proprietarie 2FA sul proprio smartphone e queste app lo hanno costretto a inserire le credenziali primarie per poter attivare l'app (AFAIU il 98% delle app proprietarie distribuite dalle banche) allora la superficie di attacco a disposizione dei truffatori aumenta **esponenzialmente**
Aver introdotto il 2FA e aver consentito che fosse gestito in questo modo ha reso più complicata la vita agli utenti e dato un solo po' di fastidio ai truffatori che ora sono costretti a usare un pochino di risorse in più per ottenere lo scopo.
Io continuo a credere che l'unico modo serio per proteggersi da questo tipo di truffe sia essere in grado di proteggere veramente le proprie credenziali primarie *ma* questo implica che i dispositivi sui quali le memorizziamo siano davvero sicuri (io comincierei dal sistema operativo, poi per l'hardware vedremo... tipo https://betrusted.io/)
Il 2FA andrebbe anche bene se chi lo offre fosse _costretto_ ad accettare che i clienti possano utilizzare qualsiasi app loro desiderino senza essere costretti a usare la app specifica (in genere proprietaria).
Giusto per capirci, anche io uso 2FA via FreeOTP [3] - per esempio per l'accesso web a servizi quali per esempio https://gitlab.com un servizio per pubblicare repository git - mentre la mia banca vorrebbe costringermi ad installare la propria app, la quale per l'attivazione mi chiede di inserire i codici di autenticazione primaria... ho risposto loro che sono fuori di testa, preferisco pagare extra per avere i codici via SMS :-O
Perché il PSD2 non obbliga chi eroga i servizi 2FA a dare accesso attraverso uno degli standard disponibili?!?
Come se non bastasse, quando sono costretto a chiamare un operatore telefonicamente il sistema automatico mi chiede di inserire codice utente e **password** attraverso DTMF [4] (il tastierino che invia i numeri coi toni), prima di procedere... al che lo faccio solo quando sono disperato perché così mi tocca modificare la password dopo *ogni* chiamata... mi piacerebbe scambiare due paroline con coloro che hanno redatto il PSD2 :-@
L'ufficio complicazioni inutili degli affari complessi è sempre molto indaffarato.
Se qualcuno trovasse una falla nel mio ragionamento sarei molto lieto di ascoltare :-)
Saluti, Giovanni
[1] https://www.ilfattoquotidiano.it/2020/01/30/truffa-sim-swap-cosi-attraverso-...
[2] l'avevo sempre immaginata possibile ma non sapevo fosse effettivamente documentata... beata ignoranza!
[3] https://f-droid.org/it/packages/org.fedorahosted.freeotp/
[4] intercettare le chiamate GSM è un gioco da ragazzi oggi
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
participants (2)
-
Alberto Cammozzo -
Giovanni Biscuolo