Un brutto quarto d’ora. Lo ha passato Jack Dorsey in un pomeriggio di fine estate. Lui è il Ceo di Twitter e poche settimane fa ha subìto un attacco hacker da un gruppo chiamato Chuckle Squad.

Ai pirati informatici sono bastati pochi minuti e un minimo di ingegno con la tecnica del SIM Swapping per hackerare l’account di Twitter di Mr Dorsey.
Da quel momento hanno cominciato a “cinguettare” sul social una serie di post razzisti e antisemiti. La situazione è tornata alla normalità nell’arco di una decina di minuti, il tempo necessario per riprendere il controllo e per cancellare i messaggi offensivi. Ma l’accaduto ha lasciato tutti sbigottiti, dimostrando che ci sono ancora enormi problemi di sicurezza da risolvere. Non solo è stato violato un account del social più amato dai politici, soprattutto americani, ma era addirittura quello del suo Ceo. Incredibile!

Ecco come hanno fatto

In realtà, gli hacker non sono riusciti a prendere il totale controllo dell’account di Jack Dorsey. Si sono limitati a trovare il modo di postare tweet. Ciò non rende l’accaduto meno grave, ma ci spinge a riflettere sull’implementazione delle misure di sicurezza del social: nemmeno l’attivazione dell’autenticazione a due fattori ha impedito ai membri di Chuckle Squad di violare un account tanto importante.
L’attacco è stato sferrato con la tecnica del SIM Swapping. Prima di spiegare in cosa consiste, facciamo un passo indietro: la possibilità di cambiare SIM mantenendo il proprio numero, nasce per esigenze lecite. Può essere dovuto al malfunzionamento o alla rottura della SIM card originale, oppure al cambio di dispositivo e, di conseguenza, di formato fisico della SIM, o al passaggio a un altro provider telefonico con portabilità del numero. Inoltre, questa funzione può tornare utile quando ci si trova in aree con poco segnale o per inviare tweet anche da comuni cellulari senza funzioni smart.
Dal punto di vista di un malintenzionato, riuscire a portare a termine un’operazione di SIM Swapping illegittima significa accedere al numero di telefono dell’ignaro proprietario. È dunque una vera e propria tecnica di attacco, che consente di avere accesso al numero di telefono di una persona e di violare determinate tipologie di servizi online che usano il numero di telefono come sistema di autenticazione. Una minaccia seria, soprattutto per i dispositivi aziendali.
In pratica, tramite tecniche di social engineering che ingannano gli operatori di telefonia, i truffatori intestano un numero di telefono a una nuova SIM, superando in questa maniera anche l’eventuale autenticazione a due fattori. Il codice di autenticazione viene infatti inviato alla SIM che si trova nelle mani dei pirati. Nel caso di Mr Dorsey, gli hacker non ne hanno avuto nemmeno bisogno: una volta registrata una nuova SIM col suo numero, si sono limitati a inviare cinguettii tramite sms.
Poche ore dopo l’accaduto, Twitter ha specificato che il gruppo Chuckle Squad ha sfruttato un buco nella sicurezza del provider telefonico e non del social: «Il numero telefonico associato con l’account è stato compromesso a causa di un errore di sicurezza del provider telefonico. Questo ha permesso a una persona non autorizzata di inviare tweet tramite sms da un numero telefonico. Il problema è stato risolto».

I sintomi che dovrebbero metterci in allarme

Come possiamo accorgerci di essere vittime di un attacco di SIM Swapping? Può succedere che, improvvisamente, il cellulare non sia più in grado di connettersi alla rete del nostro operatore. In linguaggio comune, “non ha più campo”. Quindi, se di punto in bianco il segnale svanisce, la cosa più sensata da fare è quella di spegnere e riaccendere lo smartphone. Se il segnale non torna subito, probabilmente abbiamo un problema. Potrebbe anche trattarsi di un disservizio del provider, ma si tratta di un’eventualità abbastanza rara.
Allora è necessario chiamare immediatamente il Customer Service del nostro gestore telefonico (da un altro telefono ovviamente, dato che il nostro non funzionerà più) e chiedere lumi. Quando avviene un cambio di SIM, quella esistente viene sconnessa e pertanto risulta “morta”. Di solito questi attacchi si consumano in orari notturni o il venerdì sera, così da guadagnare tempo prezioso. Non preoccupiamoci del fatto che siano le 23 di un giorno festivo, chiamiamo subito il Customer Service e facciamo luce sul caso. Chiediamo esplicitamente se il nostro numero telefonico sia stato oggetto di una richiesta di trasferimento di SIM o di operatore e facciamo tutto ciò che ci verrà richiesto per provare la nostra identità e annullare il prima possibile quella richiesta.
Il timing è tutto e la “tecnica dello struzzo” è altamente penalizzante: mettere la testa sotto la sabbia e fare finta di niente sperando che passi, equivale a correre rischi salatissimi.

Prevenire è meglio che curare

Il fatto che non preveda alcuna necessità di interazione lato utente rende questa tipologia di attacchi particolarmente preoccupante. In altre parole, per finire nella rete dei cybercriminali non servono clic a valle della ricezione di e-mail, né software malevoli da scaricare. A tutti potrebbe capitare di cadere vittima, anche al più “sveglio” e consapevole degli utenti.
Trattandosi di una vulnerabilità del gestore telefonico, consigliamo di non usare il numero telefonico per processi di autenticazione a due fattori che prevedano come modalità di ricezione del secondo fattore di autenticazione l’invio di un sms. È meglio appoggiarsi a metodi più sicuri: ad esempio, l’utilizzo di app di autenticazione (Google Authenticator e Authy sono solo due esempi tra le possibilità esistenti). I cyber criminali, infatti, non sono in grado di ottenere l’accesso a queste applicazioni, nemmeno nel caso in cui siano in possesso del nostro numero di telefono.
Questo vale per qualsiasi account, non soltanto per Twitter. Stupisce che un personaggio di spicco come Mr Dorsey non avesse preso certe precauzioni, considerando che la tecnica dello SIM Swapping non è certo una novità ed è stata usata più volte in passato, soprattutto per sottrarre criptovalute.
Laddove non sia possibile sfruttare le app di autenticazione, meglio utilizzare una verifica via e-mail al posto di un messaggio sul telefonino, proteggendo l’autenticazione alla casella di posta elettronica con un meccanismo a due fattori più sicuro.
Un’altra via è affidarsi ad autenticatori hardware, come Google Titan Security Keys o YubiKey. Essi superano il concetto di 2FA e abbracciano il nuovo standard U2F (Universal 2nd Factor) di Fido Alliance, che innalza ulteriormente il livello di sicurezza del sistema di autenticazione.
Un altro consiglio è quello di non diffondere sui social network e sul web in generale delle informazioni personali “identificative”. E non facciamo troppa pubblicità di essere in possesso di criptovalute, perché potrebbe attirare l’attenzione dei malintenzionati. Infine, proteggiamo il nostro account direttamente con il provider di telefonia mobile. Sarebbe opportuno chiedere l’impostazione Pin (o passcode) per accedere all’account e dare disposizione di richiederne sempre l’utilizzo per effettuare ogni modifica, cambio di SIM card compresa.
Un ultimo accorgimento è quello di impostare un Pin per accedere alla SIM (meglio se non banale), in modo che, nel caso venga sottratta e inserita in un altro telefono, non sia possibile ottenere l’accesso senza l’inserimento di quel Pin.

Hai subìto un cyber-attacco sulla tua SIM aziendale?
Il nostro team può aiutarti a risolvere qualsiasi problema e a prevenirne di nuovi in futuro.
Scrivici all’indirizzo e-mail info@tptechnology.it