Poter gestire un conto corrente online è comodo, ma potrebbe essere problematico se sono coinvolti diversi attori.
Lo scorso luglio dei malviventi hanno sottratto 45.000 dollari ad un australiano utilizzando tecniche di social engineering abbinate all’efficienza di un provider telefonico, nonostante il fatto che l’accesso al conto corrente fosse protetto da un sistema di autenticazione a due fattori.
I malviventi sono riusciti ad ottenere delle informazioni private sulla vittima attraverso il social engineering, incluso il suo numero di cellulare utilizzato come secondo fattore di autenticazione.
Con queste informazioni hanno chiesto al provider telefonico il porting del numero di telefono su un altro fornitore; contestualmente hanno inviato alla vittima un SMS in cui veniva avvisato che il suo telefono avrebbe avuto dei problemi per una giornata.
Una volta trasferito il numero, i malviventi potevano ricevere sul loro cellulare il codice di verifica per autorizzare le transazioni ed il gioco era fatto.
Questo è il tipico esempio del motto secondo cui la forza di una catena è la forza dell’anello più debole.
Nella scelta del secondo fattore di autenticazione la banca non ha tenuto conto delle procedure del provider, probabilmente imposte per legge, che permettono una number portability veloce. Ovviamente il provider telefonico non ha colpa perché il suo livello di sicurezza non è concepito per proteggere un conto bancario, ma un numero telefonico.
Lascia un commento