fbpx

Blog

Sim SWAP: come ti vuoto l'home banking

sim swap frodeE'la truffa del momento con cui oltre a rubarti l'identità di svuotano il conto corrente, vediamo in cosa consiste.   L'attacco SIM SWAP è conosciuto fin dal 2016, ed inizia  con l'ottenere una SIM duplicato della vittima.

Cosa ci facciamo con una SIM? tutti i sistemi di autenticazione a 2 fattori (2FA), da Facebook, Instagram, Linkedin, fino a G-Mail usano il cellulare come sistema di verifica dell'identità del soggetto. Questo significa che se dimenticate la password di Facebook, di G-Mail, o dello SPID potete richiedere il recupero o il reset della password dal  sito, Facebook ad esempio, mediante una procedura che vi farà arrivare un SMS con le istruzioni per il recupero o il reset. Queste informazioni arriveranno solo sulla SIM duplicata, non su quella della vittima che sarà sconnessa dalla rete e quindi non avrà alcun avvisaglia.

Chi dovesse entrare in possesso di un duplicato della vostra SIM avrebbe certamente la possibilità di accedere a tutte le vostre identità digitali, gli basterà conoscere il vostro account per ottenere il reset/recupero password mediante il numero cellulare per, impersonare a pieno titolo le vostre identità digitali, e magari cambiando password vi impedisce pure di rientrare a gestire Facebook, Instagram, SPID, o G-Mail.

Lo scenario non è certo di più sereni ma questo cosa c'entra con il rischio di avere l'Homebanking svuotato? e come mai è possibile visto che ormai tutte le banche hanno le App e comunicano quasi essenzialmente con quelle??? A dire il vero mandano anche gli SMS ma costa 15c ognuno... mentre il pop-up dell'App è gratuito, quindi tutti preferiscono usare l'App.
Dimenticavo, una volta le banche avevano i Token.....solo ultimamente hanno sostituito/obbligato tutti a passare dal Token all'App.

Ritorniamo alla nostra SIM SWAP, iniziamo col dire che i dati di connessione alla banca possono essere rastrellati mediante malware creati ad hoc  per una o più banche,  ma come abbiamo visto prima conoscendo il vostro account  è possibile accedere   ai vostri account Google, Apple, Facebook e recuperare da questi i vostri dati bancari, etc.. con la tecnica prima descritta, il malfattore ha una visibilità completa di tutto quello che avete fatto: cronologia navigazione, preferiti, etc.. gli sarà quindi sufficiente installare l'App della vostra banca, e censire un nuovo dispositivo., il suo cellulare con il duplicato della vostra SIM, mediante l'SMS che la banca manderà al numero del titolare del conto per verificare che sia il legittimo attivatore di un nuovo dispositivo.

Messaggio arrivato e .... bingo! il malfattore ha censito il suo cellulare suol vostro Homebanking e quindi ora può accedere, come fosse voi o un vostro familiare, al vostro conto, che naturalmente provvederà a svuotare in 2,3, 4 bonifici per non incappare nei controlli antiriciclaggio. Naturalmente bonifici diretti verso paesi con una legislazione "compiacente" al suo obiettivo.. Non conosco la legge Spagnola, ma certamente mi capita di riscontrare come questi bonifici siano tutti diretti in Spagna... 

Naturalmente tutto questo succede nel tardo pomeriggio, magari di un venerdì o di un ponte, in modo che la vostra SIM sia spenta, attivata la copia del malfattore. Inoltre dal momento che ha censito come legittimo il suo dispositivo voi non riceverete alcuna notifica delle operazioni....pensate, addirittura la banca chiede al malfattore il PIN per autorizzare i bonifici.... , ma è proprio possibile che non si sia accorta di niente???

In tutto questo meccanismo, ci cono delle gravi responsabilità, a partire dal gestore telefonico che spesso con troppa facilità fornisce un duplicato della SIM, ma anche da parte della banca, che si fida di un SMS per censire un nuovo dispositivo e non attua alcun controllo antifrode: basterebbe usare le funzioni di geo-localizzazione e fare un profiling del tipo di operazioni svolte per capire che i bonifici disposti con buona probabilità non sono "legittimi"

Ma c'è modo di incastrare il "ladro"? Direi in generale si. Infatti tutto le azioni che il malfattore ha messo in atto lasciano tracce indelebili sui sistemi a cui si connette. Acquisendo i dati di accesso alle varie piattaforme, e correlandole fra loro, sarà possibile individuare il malfattore e documentare la frode fatta ai vostri danni.

Se è pur vero che il malfattore lascia tante tracce è anche vero che lo fa su sistemi di vari gestori, che hanno legislazioni anche diverse dalla nostra, e quindi potrebbero tenere i dati di accesso per poco tempo. E' fondamentale in questi casi procedere con tempestività ad acquisire in modalità forense, mediante un consulente informatico forense, i dati di accesso da tutte le piattaforme contattate in modo che possano essere usate in giudizio. l'adozione di metodologie scientifiche di digital forensics di acquisizione delle prove, la redazione di una perizia informatica che a partire dai dati di accesso spiega come si è sviluppata la truffa, permettono di fornire in sede giudiziaria, ma anche nel confronto con la banca, un quadro probatorio fondato su elementi oggettivi e verificabili.

 

 

Ex dipendente e nuova azienda condannati per furto dati riservati

Il lavoratore che nel passaggio da un'azienda a un'altra trasferisce informazioni riservate è colpevole e risponde di furto di informazioni riservate
Al contempo anche l'azienda che lo assume, ottiene un indubbio vantaggio ed è quindi responsabile per le informazioni trasferite sui suoi computer e può essere condannata se le informazioni vengono utilizzate per svolgere attività in suo favore.
Questo è quanto ha stabilito il Tribunale di Milano, sezione specializzata impresa, con la sentenza 8246/2019. L'analisi di Matteo Prioschi su Il Sole 24 ORE 
Come fare ad accorgersi un dipendente infedele che trafuga informazioni in favore di un'altra azienda?
Una analisi forense dei dispositivi utilizzati dal dipendente infedele, sia quanto è ancora in azienda o dopo la sua uscita,  ci fornisce una visione dettagliata dell'utilizzo effettuato dal dipendente: potrebb aver aver copiato di dati su un disco usb, averli inviati per email, o via webmail, o addirittura aver usato dropbox, gdrive o onedrive per sposatare moli di informazioni riservate aziendali.

Una analisi forense, tempestiva, che porta ad una perizia informatica forense, svolta da informatici forensi accreditati, permette di ricostruire fedelmente quanto fatto dal soggetto permettendo di identificare e isolare i comportamenti infedeli o addirittura di danneggiamento che potrebbe aver messo in atto.
In caso di dubbi su dipendenti infedeli, consultatici sapremo dare risposte ai vostri interrogativi

coffeecapp
Coffee cApp, un'App............

...insecurity by default & by design

 

 

 

Prendere il caffè con una App è chiaramente molto comodo: non hai bisogno di spiccioli, non hai il problema di perdere la chiavetta e se finisce il credito ricarichi rapidamente magari con Paypall Nell'usare una di queste App, Coffe cApp, salta subito agli occhi che, come qualche anno fa, bisogna registrarsi e non è possibile utilizzare la propria utenza Google o Facebook.
Usare le api di autenticazione di Google, Facebook etc... può non piacere ad alcuni programmatori e agli integralisti della privacy ma certamente ci aspettiamo che queste API siano abbastanza sicure.
Implementare un procedimento di registrazione non è complesso ma si rischia di scivolare su delle bucce di banana. Proprio riguardo a quest'App abbiamo trovato un articolo molto interessante.
https://medium.com/@fs0c131y/nothing-is-safe-in-a-hacker-conference-not-even-the-coffee-machine-8501bf14f41a. Dall'articolo risulta chiaramente che username e password passano in chiaro, no hash di nessun tipo, che è possibile fare brute force e gussing sul PIN, insomma quanto di peggio si possa immaginare dal punto di vista della sicurezza. L'autore non lo ha scritto ma personalmente sono convinto che sia abbastanza agevole dire alla macchinetta del caffè che mi merito un caffè grautito....occhio la stessa App viene usata anche per i distributori di merendine, certamente più costose del caffè:-)

il rischio non è solo per l'esercente che potrebbe vedere vuoti i distributori senza incassare un euro, e già questo sarebbe grave, ma c'è un rischio alto anche per l'utenza di questi distributori automatici, senza adeguati meccanismi di protezione e salvaguardia delle credenziali ignoti potrebbero consumare caffè e bibite a nostre spese... e questo per la reputation di quest'azienda sarebbe ben peggiore del primo rischio.

A oltre un anno dall'entrata in vigore del GDPR siamo all'assurdo di dover constatare l'applicazione del principio Insecurity By Default & by Design, c'è ancora molta strada da fare, nel 2019 non si può vedere passare le password in chiaro, mancano le basi e la sensibilità ai temi della sicurezza dei dati.

Bheè viene da domandarsi se è stato fatto almento effettuato un test di sicurezza, un vulnerability assessment o un penetratin test, prima di mettere in produzione una tale infrastruttura

 

in ogni caso se state per portare in produzione un'App o un altra soluzione tecnogica consultatici per una verifica di sicurezza: verifica codice sicuro, web application test, IP Penetration test

 

Studio Fiorenzi P.IVA 06170660481 - Perizie Informatiche Forensi e Consulenze Tecniche a valore Legale e Giudiziario in Tribunale