La violazione degli archivi di ho. Mobile c’è stata (confermata anche dalla stessa azienda) e una porzione non ancora definita di informazioni relativa ai suoi clienti è in vendita nel Dark Web: partendo da questa considerazione è utile considerare quelli che possono essere i rischi per i clienti dell’operatore di telefonia mobile.
Sebbene la comunicazione agli attori impattati dall’incidente, come previsto dal GDPR sia necessaria solo nei casi in cui la violazione di dati possa presentare un rischio elevato per i diritti e le libertà delle persone, avvisare tempestivamente l’utenza è fondamentale in casi come questo.
Indice degli argomenti
Alto rischio di attacchi SIM swap
Si è discusso a lungo del rischio di attacchi di SIM swapping connesso alla disponibilità delle informazioni trafugate e messe in vendita.
Il pericolo principale per l’utenza in questo caso è la sottrazione temporanea del numero di telefono del legittimo proprietario con conseguenti rischi. Il numero, infatti, è utilizzato dagli utenti nei processi di autenticazione a due fattori per la ricezione della password temporanea (One Time Password, OTP).
Un attaccante in possesso dei codici OTP può di fatto accedere in nome e per conto dell’utente a tutti quei servizi che prevedono questa modalità di autenticazione.
Quali sono i servizi potenzialmente al rischio a seguito di un attacco di SIM swapping? C’è l’imbarazzo della scelta, dagli account di posta elettronica e social network ai servizi di online banking.
WhatsApp, Signal e le conseguenze di un attacco SIM swap
In pericolo ci sono anche i servizi di instant messaging come WhatsApp e Signal se per essi non è stato impostato un PIN supplementare (registration lock) a protezione dell’account.
L’accesso agli account di instant messaging delle vittime potrebbe consentire ad un attaccante di prendere visione del contenuto delle relative chat con ovvi rischi per la privacy.
Rischio di attacchi phishing mirati e furto delle password
Ovviamente per la compromissione di account legati a diversi servizi, all’attaccante serviranno anche le credenziali di accesso agli stessi, ma queste informazioni possono esser facilmente reperite in molteplici modi, ad esempio acquistando dump di dati provenienti da altri incidenti online oppure mediante attacchi di spear phishing, ovvero phishing mirato a specifici utenti.
Alcuni servizi, inoltre, consentono di effettuare il reset di password o il recupero della username attraverso SMS inviati all’utente. In quest’ultimo caso l’accesso al numero della vittima fornirebbe all’attaccante tutto il necessario per il recupero della username ed il reset delle password.
Va sottolineato che i dati trafugati sono inoltre sufficienti per condurre proprio questi attacchi di phishing.
Rischio malspam
Subito dopo la scoperta dell’offerta nell’underground criminale avevo messo in guardia da azioni criminali che sfruttando l’interesse nella notizia dell’attacco al provider italiano ho. Mobile, avrebbero avviato campagne di malspam che possono colpire i clienti dell’azienda.
Si potrebbero osservare campagne di spam che utilizzano messaggi che con carattere di urgenza invitano le potenziali vittime a riempire form per la raccolta dei loro dati oppure aprire documenti Office che consentono di infettare le macchine delle vittime con diverse tipologie di malware.
Tra questi malware vi sono anche i ransomware che espongono quindi le vittime all’ulteriore rischio di estorsione e ad eventuali ingenti perdite finanziare. Il rischio è ancora più elevato qualora vi siano nell’archivio in vendita alcune utenze utilizzate da aziende.
Le campagne di phishing potrebbero cercare di ingannare gli utenti inducendoli all’azione immediata per scongiurare la disattivazione precauzionale della SIM a seguito della conclamata violazione.
Rischio truffe telefoniche
Altro rischio per gli utenti è quello di truffe di vario genere, il limite è solo nella fantasia degli attaccanti che possono usare i dati rubati per confezionare frodi ad hoc per i clienti di ho. Mobile.
Ad esempio, gli attaccanti potrebbero offrire loro un fantomatico bonus in caso di compilazione di una form oppure la sottoscrizione di una super offerta previo pagamento di importi esigui.
Infine, considerando che i dati trafugati includono anche gli indirizzi degli utenti, la relativa divulgazione potrebbe esporre gli utenti ad altre pratiche criminali, quali stalking ed in taluni casi persino pratiche di Doxing che consistono nel diffondere pubblicamente su Internet informazioni personali o dati sensibili riguardanti la vittima, con un chiaro intento malevolo.
I consigli per mitigare i rischi
Per mettere al riparo la propria utenza telefonica da possibili truffe e mitigare i rischi cyber appena esposti è utile adottare alcune semplici regole di sicurezza:
- innanzitutto, se abbiamo ricevuto comunicazione ufficiale via SMS da parte di ho. Mobile in merito al furto di nostri dati personali, è utile sfruttare l’opportunità data dall’operatore telefonico di sostituire gratuitamente la SIM card. Per farlo, è sufficiente recarsi di persona presso un rivenditore autorizzato (qui l’elenco completo), sottoporsi ai necessari controlli di sicurezza e richiedere la nuova scheda telefonica. Per completare la procedura è necessario portare con sé la SIM attuale e un documento di identità valido. Sempre per motivi di sicurezza, ho. Mobile non può spedire a casa dei clienti la nuova SIM card: ricordiamo, infatti, che tra le informazioni trafugate nel data leak ci sono anche gli indirizzi di casa dei clienti;
- è utile, inoltre, sostituire almeno temporaneamente il numero di telefono ho. Mobile associato ai propri account social (WhatsApp, Facebook, LinkedIn e via dicendo) o dei servizi di banking online e usato per la verifica a due fattori o per la ricezione via SMS dei codici OTP (One Time Password);
- nel data leak di ho. Mobile non sono stati esfiltrati dati relativi alle modalità di pagamento per il rinnovo del credito telefonico. Ciononostante, è sempre utile verificare che sul proprio conto corrente non risultino transazioni anomale o non autorizzate;
- infine, è importante prestare sempre la massima attenzione a telefonate sospette effettuate da truffatori che potrebbero usare i dati rubati nel data leak di ho. Mobile e fingere di parlare a nome dell’operatore per ottenere altre informazioni personali, ad esempio quelle necessarie ad effettuare pagamenti.