Sicurezza informatica: guida ai principali rischi collegati agli SMS

In questo articolo andiamo ad approfondire i rischi maggiori legati all'autenticazione forte tramite SMS.
ambassador futurae marzo 2022

L'utilizzo di SMS come mezzo per generare un codice OTP per autenticare gli utenti ha superato il suo momento di gloria, ma ciò nonostante questo metodo è ancora usato in tutto il mondo e in varie industrie come metodo di autenticazione forte. Questo metodo è tuttora considerato sicuro dalle autorità di regolamentazione, soprattutto nel settore dei servizi finanziari e nel settore sanitario.

sms

Già nel giugno 2017, il National Institute of Standards and Technology (NIST) ha pubblicato delle linee guida sull'identità digitale. In questapubblicazione speciale (800-63B), il NIST ha fortemente sconsigliato l'utilizzo di codici ricevuti tramite SMS per effettuare l’autenticazione. Il motivo è semplice: diverse aziende come la British Metro Bank, Google o Yahoo sono state vittime di attacchi informatici causati dai codici “sicuri” inviati via SMS.

Ci sono vari rischi legati all’utilizzo degli SMS come metodo di autenticazione. La bassa sicurezza di questo metodo è riconducibile a tre categorie di rischi principali: attacchi locali, attacchi agli operatori di telefonia mobile e attacchi attraverso il proprio smartphone. Vediamoli insieme qui di seguito.

Attacchi locali

L'invio e la consegna di messaggi SMS si basa ancora su un protocollo di comunicazione sviluppato nel 1975, il Signalling System 7 (SS7). Se ad esempio un hacker si trova a poca distanza dalla torre di trasmissione più vicina alla vittima oppure si trova nelle vicinanze del dispositivo di quest’ultima, questo protocollo obsoleto permette al malintenzionato di intercettare senza problemi un messaggio SMS inviato in tempo reale.

Attacchi agli operatori di telefonia mobile

Le connessioni di telefonia mobile in Italia sono sicure. Tuttavia, all’estero non sempre ci si trova con con connessioni sicure. Infatti, gli standard di crittografia delle reti mobili variano molto da paese a paese, rendendo facile per i malintenzionati intercettare i messaggi. In altre parole, se un utente all'estero vuole collegarsi al proprio internet banking, il rischio è potenzialmente maggiore.

Inoltre, per quanto riguarda questa categoria di attacchi, vale la pena menzionare quelli che riguardano la facilità con cui gli hacker riescono ad entrare in possesso di una carta SIM valida per l’utente che si vuole attaccare, grazie ad informazioni rubate tramite il social engineering e che vengono poi utilizzate per farsi rilasciare una nuova carta SIM da parte degli operatori di telefonia mobile. Questo tipo di attacchi, conosciuti come "SIM swapping", avvengono di solito in maniera molto rapida, e quando la vittima realizza di aver subito l’attacco normalmente è troppo tardi.

Attacchi attraverso lo smartphone stesso

Uno dei maggiori rischi è spesso nascosto nel proprio smartphone. Per esempio, sempre più spesso i bambini installano delle app dei loro giochi preferiti sullo smartphone dei loro genitori. Quello che probabilmente è meno noto, è che queste app potrebbero essere in grado di leggere i messaggi SMS ricevuti, anche in background. Non solo le app di giochi, ma anche quelle di criptovalute sono un veicolo di attacchi di questo genere, dato che contengono i famosi "cavalli di Troia". Bisogna quindi prestare attenzione quando si installano le app, controllando attentamente lo sviluppatore dell'app tramite un’analisi accurata sullo store legato al produttore del cellulare.

Anche se non correlato direttamente, un altro attacco diffuso che fa leva sui messaggi SMS, è il cosiddetto attacco "smishing" (analogo al phishing via e-mail): i criminali utilizzano messaggi SMS per chiedere alla vittima di accedere a un sito web fasullo appositamente creato per raccogliere i suoi dati personali sensibili, come i dati di accesso all'internet banking.

I messaggi danno l'impressione di provenire da un'entità affidabile, ad esempio fingendo di provenire dal servizio postale per una specifica consegna di pacchi. Sfortunatamente, questi attacchi spesso funzionano molto bene, poiché la fiducia nei messaggi SMS ricevuti sul proprio smartphone è generalmente molto più alta di quella riposta nelle e-mail.

Costi elevati e perdita di controllo

metodi di autenticazione

Oltre all'aspetto della sicurezza che dovrebbe già scoraggiare le aziende dall'utilizzare messaggi SMS, ci sono anche altri fattori che dovrebbero essere presi in considerazione. L'uso degli SMS come metodo di autenticazione forte è generalmente molto costoso visto che l’impresa si trova a sostenere un costo per ogni singolo SMS inviato. Inoltre, non c'è alcun controllo sull’effettiva consegna di un SMS, o quando viene consegnato, e se viene effettivamente letto dall'utente.

Soprattutto in alcune regioni del mondo, le trasmissioni SMS sono spesso complicate dato che gli operatori telefonici le bloccano o ne ritardano la consegna. Come se non bastasse, l'utilizzo di questo metodo non permette nemmeno di approfondire i comportamenti degli utenti: il telefono dell'utente era in un luogo sicuro quando ha interagito con il sito web? L'SMS era protetto dall'autenticazione locale del telefono (come l'impronta digitale o FaceID), o chiunque poteva, semplicemente guardando lo schermo dello smartphone, leggere il codice dell'SMS?

E infine, l'onere della prova in caso di abuso, secondo molti termini e condizioni aziendali, spetta all'utente, il che in realtà non è corretto: diventa estremamente difficile capire cosa è successo in caso di attacchi.

Soluzione: alternativa win-win sia per le aziende che per gli utenti

Utilizzare codici SMS per accedere al portale è sicuramente più sicuro rispetto a non usare l’autenticazione forte, però oggigiorno ci sono vari metodi alternativi che non solo sono più sicuri e più facili da usare, ma danno anche alle aziende la possibilità di approfondire i comportamenti dei propri utenti, e quindi, di conoscerli meglio.

Futurae offre un’ampia gamma di metodi di autenticazione che forniscono un’elevata flessibilità alle aziende: dal token fisico a nuove soluzioni basate su software, e alla protezione contro gli attacchi di social engineering. Inoltre, Futurae permette un'integrazione semplice e veloce nell'infrastruttura esistente, riducendo così il costo totale di proprietà (TOC).

Non solo vengono eliminati i costi elevati degli SMS, ma anche le numerose chiamate all'help desk in caso di problemi. Codici SMS che non arrivano mai oppure codici intercettati dagli hacker, sono problemi che appartengono al passato!

Futurae  avatar
Futurae

Build trust, not inconvenience with Futurae’s future-proof customer authentication. Futurae develops and manages an authentication platform extremely easy to deploy and use. Futurae empowers any web-based and app-based customer interaction to be authenticated easily and securely.