Perché l’attacco hacker a Ho Mobile è più grave di quanto sembri: l’analisi dell’esperto
Sono passate poche ore da quando l'operatore Ho Mobile ha ammesso di aver subito un furto di dati che comprende informazioni sensibili appartenenti a un numero imprecisato di clienti. Il gruppo non ha voluto specificare l'entità della platea colpita ma ha ammesso che tra le informazioni sottrattegli ci sono quelle relative ai dati anagrafici e ai dati tecnici delle SIM collegate ai contratti. Per capire cosa sia possibile fare con queste informazioni a disposizione, Fanpage.it si è rivolta all'esperto informatico Riccardo Meggiato, che ha dipinto alcuni degli scenari possibili.
L'attacco alle SIM
Conoscendo il codice ICCID di una scheda SIM è innanzitutto possibile fingersi un altro numero di telefono, intercettando il traffico destinato alla SIM originaria. In questo modo diventa semplice ottenere i codici per l'autenticazione a due fattori emessi come prova di identità da numerosi servizi come Google, Facebook e altri prodotti di home banking. Violare questi account richiede di conoscere anche nomi utente e password, ma uno dei sistemi di protezione più efficaci viene comunque a mancare.
"Lo swapping è una tecnica molto semplice e al contempo altamente pericolosa – ha dichiarato Meggiato; è per questo che il gruppo ha dato la possibilità di cambiare gratuitamente le SIM, ed è qualcosa che gli utenti colpiti dovrebbero sicuramente prendere in considerazione di fare. Il problema inoltre è che tutti danno per scontato che l'attacco sia appena avvenuto, ma questo non è assolutamente detto; eventualmente si trattasse di un attacco vecchio di mesi, quelle informazioni potrebbero essere già in circolazione da più tempo, anche se apparse sul dark web di recente".
Una volta neutralizzata la possibilità di perdere l'accesso al proprio numero di telefono o di condividerlo inconsapevolmente con altri, il furto di questo genere di dati lascia però altri effetti a lungo termine. Il pacchetto completo di nome, cognome, data di nascita, luogo di nascita, indirizzo di residenza ed indirizzo email apre infatti le porte a phishing e furti di identità.
Rischio Phishing
Un truffatore in possesso di questi dati può ad esempio fingersi un istituto di credito o un'azienda che eroga servizi di luce e gas, e contattare la vittima utilizzando il suo indirizzo email. Presentandosi in questo modo può poi utilizzare i dati rubati per far credere di essere effettivamente chi dice di essere e guadagnare la fiducia dell'interlocutore. Raggiunto questo traguardo può richiedere pagamenti non dovuti o raccogliere altri dati come credenziali di accesso ai veri istituti bancari. Truffe simili online ne circolano già in abbondanza, ma spesso la genericità con la quale i messaggi si rivolgono ai destinatari permette ai più di mangiare la foglia; in possesso di dati così accurati sulle vittime, le probabilità di successo di queste truffe aumentano.
Documenti falsificati
Avere a disposizione le informazioni anagrafiche di un individuo – fa notare sempre Meggiato – "permette di impersonarlo su numerosi siti che come prova di identità richiedono semplicemente delle copie scansionate di veri documenti. Basta una scansione fatta ad arte e un po' di abilità nell'uso di programmi come Photoshop per sostituire nomi, cognomi e altri dati all'interno di documenti che così sembrano autentici. I portali e i servizi che non hanno modo di effettuare controlli incrociati con numeri di documenti come quelli presenti nelle carte di identità – vengono così ingannati e si fidano dei truffatori confondendoli con le vittime. Parliamo di Facebook, ma anche di banche di criptovalute e molto altro".
La vicenda non è chiusa: le indagini sull'accaduto del resto sono ancora in corso e sull'entità effettiva dell'attacco (così come sulle misure prese per mitigarne gli effetti) arriveranno ulteriori notizie sia da Ho Mobile che dal garante della privacy; nel frattempo alcuni degli utenti colpiti stanno già muovendosi su canali online come Telegram e forum per capire come organizzare un'azione concertata nei confronti dell'operatore.