Aggiornamenti recenti Settembre 28th, 2023 4:08 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Addio password: su Windows 11 arriva il supporto nativo per le passkey
- Torna ZeroFont: la vecchia tecnica di phishing si è rinnovata
- Individuata una vulnerabilità critica in libwebp già sfruttata dagli attaccanti
- Malware-as-a-service: i ransomware sono i software più venduti
- Il settore automotive abbraccia la cybersecurity: calano le vulnerabilità critiche nelle auto
Gli rubano i Bitcoin e lui fa causa al gestore telefonico per 240 milioni
I pirati sono riusciti a “rubargli” il numero di telefono e aggirare il sistema di autenticazione. La vittima: “AT&T non ha fatto i controlli che avrebbe dovuto fare”.
Una causa “monstre” da 240 milioni di dollari è stata intentata nei confronti di AT&T, una delle più grandi compagnie telefoniche operanti sul territorio statunitense. A presentarla è un cliente della compagnia, che accusa AT&T di essere responsabile per un furto di 24 milioni di dollari in Bitcoin.
La vicenda, che a prima vista sembra solo una notizia folcloristica, apre però un fronte nel tema della sicurezza che potrebbe avere ripercussioni piuttosto “importanti” sotto il profilo della sicurezza.
Il protagonista della vicenda si chiama Michael Terpin e, come si legge nella querela (pubblicata a questo indirizzo da The Register) fa parte di diverse community attive nel settore delle cripto-valute.
Per proteggere i suoi conti, Terpin utilizza un classico sistema di autenticazione a due fattori tramite invio di codice via SMS. Il sistema, però, non ha funzionato come avrebbe dovuto. Qualcuno, infatti, è riuscito ad aggirarlo utilizzando una tecnica che negli USA sta spopolando.
I sistemi di autenticazione a due fattori tramite SMS sono diffusissimi, ma il loro livello di sicurezza viene sempre più spesso messo in discussione.
In gergo si chiama SIM-Swap ed è una truffa piuttosto diffusa, utilizzata dai cyber-criminali per avere accesso ai dati delle loro vittime rubandogli, in pratica, il numero di telefono. Per farlo contattano il gestore telefonico impersonando il titolare del contratto e “convincono” l’operatore di turno a trasferire il numero su una nuova SIM.
Teoricamente per eseguire l’operazione è necessario esibire un documento d’identità valido, ma nel caso di Terpin, si legge nella querela, sarebbe stato necessario un ulteriore controllo di sicurezza, che lo stesso Terpin ha richiesto di attivare dopo un primo tentativo di attacco subito con queste esatte modalità nel giugno del 2017.
Dopo l’episodio, infatti, il suo account sarebbe stato modificato in modo che ogni operazione (compreso il cambio di SIM) avrebbe richiesto non solo l’identificazione tramite un documento, ma anche l’uso di una password.
A quanto pare, però, non è stato sufficiente. Il 7 gennaio 2018 Terpin si è accorto che il suo cellulare non funzionava più e prima che potesse bloccare la SIM (stando a quanto scrive il servizio anti frodi di AT&T non sarebbe stato raggiungibile di domenica) l’ignoto pirata informatico sarebbe riuscito a trasferire dal suo conto la bellezza, appunto, di 24 milioni di dollari.
L’ipotesi del querelante è che il cambio di SIM sia stato fatto con la complicità di un impiegato di AT&T che il cyber-criminale avrebbe corrotto con una classica “mazzetta”. Di qui l’accusa ad AT&T di non aver tutelato in maniera adeguata la sicurezza dell’account e la richiesta di risarcimento che, oltre i Bitcoin rubati, comprende 216 milioni come “punizione” ai danni della compagnia telefonica.
Azzardare quale possa essere l’esito della causa, al momento, è piuttosto difficile. Anche perché è probabile che i legali di AT&T opporranno il fatto che addossare tutta la responsabilità del furto alla gestione della SIM sia eccessivo, visto che in ogni caso il pirata informatico doveva conoscere username e password per accedere al wallet di Terpin.
Il vero problema, però, è un altro: ha davvero senso considerare i codici inviati via SMS come un sistema di autenticazione affidabile? E ancora: è plausibile richiedere a un operatore telefonico di usare nella protezione di un account telefonico un livello di diligenza proporzionale ai potenziali danni collegati alla violazione?
Anche se il caso di Michael Terpin si pone infatti al limite (alzi la mano chi ha 24 milioni di dollari in Bitcoin) un eventuale precedente in questo senso potrebbe avere (e avrà sicuramente) effetti devastanti, aprendo la strada a ogni tipo di pretesa (e anche di truffa) ai danni degli operatori che non riescono a garantire al 100% la sicurezza di un’utenza telefonica.
La conseguenza più probabile, però, è che in futuro gli operatori stessi possano pensare di tutelarsi escludendo qualsiasi responsabilità nel caso in cui l’utenza stessa sia utilizzata come fattore di autenticazione.
Quale che sia il risultato di tutto questo, una cosa è certa: trovare alternative più affidabili sta diventando una questione urgente. Molto, molto urgente.
Condividi l'articolo
Violare Windows in stato di blocco? Chiedi a Cortana
Leak dai sistemi di GoDaddy. Il gigante dell’hosting espone dati sensibili
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Malware-as-a-service: i ransomware sono i software più... I cybercriminali stanno sviluppando nuovi attacchi,... -
Il settore automotive abbraccia la cybersecurity: calano le... Sembra che la cybersecurity sia diventata centrale per il... -
Il cybercrimine organizza competizioni per sviluppare nuovi... Uno dei modi migliori per condividere idee e favorire la... -
DDoS tramite dispositivi IoT: una minaccia sempre più... I dispositivi IoT stanno trasformando l’operatività... -
Fine Grain Password: un servizio Microsoft per gestire... La sicurezza delle password è un aspetto cruciale per...
Minacce recenti
Off topic
-
Maythefourth: La caduta dell’Impero Galattico è... E se vi dicessimo che la saga di Star Wars ... -
Gli hacker e il cinema: i dieci migliori film secondo... Abbiamo rubato al blog di Kaspersky un vecchio pezzo di... -
Campione di scacchi blinda il PC. “Paura degli hacker” Il numero uno degli scacchi mondiali Magnus Carlsen ha... -
L’autore di fsociety pensa di essere Mr. Robot, ma è un... Il pirata informatico che ha creato il ransomware cerca... -
Yahoo sospende l’inoltro delle email. Paura di un esodo... Dopo la raffica di figuracce, l’azienda sospende per...
Post recenti
-
Addio password: su Windows 11 arriva il supporto nativo per... L’ultimo aggiornamento di Windows 11 include nuove... -
Torna ZeroFont: la vecchia tecnica di phishing si è... ZeroFont, una tecnica di phishing già ampiamente... -
Individuata una vulnerabilità critica in libwebp già... Google ha individuato una nuova vulnerabilità critica, la... -
Trovati nuovi pacchetti npm malevoli che sottraggono le... Il team di sicurezza di Sonatype ha individuato una -
Scoperto Sandman, un gruppo cybercriminale che colpisce i... SentinelLabs e QGroup GmbH hanno individuato un nuovo...
Ransomware: la serie
No posts found.
