La forza di una catena

Catene / ChainsPoter gestire un conto corrente online è comodo, ma potrebbe essere problematico se sono coinvolti diversi attori.

Lo scorso luglio dei malviventi hanno sottratto 45.000 dollari ad un australiano utilizzando tecniche di social engineering abbinate all’efficienza di un provider telefonico, nonostante il fatto che l’accesso al conto corrente fosse protetto da un sistema di autenticazione a due fattori.

I malviventi sono riusciti ad ottenere delle informazioni private sulla vittima attraverso il social engineering, incluso il suo numero di cellulare utilizzato come secondo fattore di autenticazione.

Con queste informazioni hanno chiesto al provider telefonico il porting del numero di telefono su un altro fornitore; contestualmente hanno inviato alla vittima un SMS in cui veniva avvisato che il suo telefono avrebbe avuto dei problemi per una giornata.

Una volta trasferito il numero, i malviventi potevano ricevere sul loro cellulare il codice di verifica per autorizzare le transazioni ed il gioco era fatto.

Questo è il tipico esempio del motto secondo cui la forza di una catena è la forza dell’anello più debole.

Nella scelta del secondo fattore di autenticazione la banca non ha tenuto conto delle procedure del provider, probabilmente imposte per legge, che permettono una number portability veloce. Ovviamente il provider telefonico non ha colpa perché il suo livello di sicurezza non è concepito per proteggere un conto bancario, ma un numero telefonico.

Autore: Luigi Rosa

Consulente IT, sviluppatore, SysAdmin, cazzaro, e, ovviamente, geek.

4 pensieri riguardo “La forza di una catena”

  1. C’è una falla da qualche parte nella catena ma non mi pare che sia il provider telefonico. Anche avendo a disposizione il telefono dell’utente come hanno fatto ad avere la password o comunque i dati per variare la password dalla banca.
    Mi spiego meglio: per l’accesso serve password + codice inviato tramite sms. La seconda parte è “craccata”, per lo username + password devono esserselo fatto inviare dalla banca. Quest’ultima evidentemente ha procedure di reset troppo leggere, sarebbe bastato chiedere il numero cliente o un pin inviato via mail al momento della creazione del conto.

    1. Probabilmente la password l’hanno rubata con phishing o altro, ma l’utente si sentiva “al sicuro” per la two factor authentication.

      Il problema qui e’ che l’ambito di sicurezza di un login “bank grade” sfrutta un contesto di sicurezza inferiore.

Spazio per un commento