SICUREZZA INFORMATICA

Attacco Simjacker, SIM e telefoni criptati per falsificare i numeri di telefono: come difendersi

Sono numerose le società di sorveglianza patrocinate da molti governi che utilizzano sempre più spesso attacchi di tipo Simjacker e SIM Swapping per spiare ignare vittime attraverso i loro smartphone. Ecco i dettagli di questo fenomeno criminale e i consigli per difendersi

01 Feb 2022
M
Benito Mirra

Information & Cyber Security Advisor

C’è grande attenzione sul ritorno dell’exploit Simjacker, scoperto da Adaptive Mobile Security, un’azienda di sicurezza informatica di Dublino specializzata in telecomunicazioni: exploit utilizzato da società di sorveglianza patrocinate da molti governi, sviluppato da una “azienda privata” che collabora con i governi, per monitorare le persone.

Un serio problema che ha rappresentato e rappresenta tutt’ora una minaccia per più un miliardo di proprietari di telefoni in 30 diversi paesi del mondo. Una vera e propria operazione di spionaggio, che mette la privacy di milioni di utenti a repentaglio, perché si basa su una funzione non più aggiornata dal 2009 e perché può colpire la maggior parte delle marche di smartphone come Apple, Huawei, Zte, Motorola e persino il 5G e i dispositivi di IoT (internet of Things, internet delle cose) che utilizzano le SIM card cosi come le e-SIM.

Secondo questi esperti di sicurezza, però, non esiste alcun metodo per consentire agli utenti di prevenire il Simjacking: questo significa che l’utente deve fare molta attenzione ed essere prudente nell’usare il proprio numero di cellulare, come interagire tramite SMS e come mantenere tutti gli account digitali protetti e soprattutto evitare di utilizzare APP mobili obsolete e non autorizzate.

Il cavallo di Troia è in questo caso un SMS che contiene le istruzioni per la SIM card, di cui sfrutta appunto la funzione chiamata “S@t Browser”. Questo codice raccoglie informazioni sulla localizzazione del dispositivo e soprattutto sul numero “IMEI”(International mobile equipment identity), che identifica il cellulare, e le spedisce al criminale informatico.

E, purtroppo, la vulnerabilità Simjacker si trova proprio in questo software, un toolkit SIM dinamico che viene installato dagli operatori mobili per inviare messaggi appositamente predisposti che non sono messaggi regolari; sono codici binari, utilizzati per elaborare istruzioni speciali e offrire servizi di base da parte dei gestori su una varietà di schede SIM, eSIM, come parte del SIM Tool Kit.

Sfortunatamente, è integrato nella maggior parte delle schede SIM ampiamente utilizzate dagli operatori di telefonia mobile in almeno 30 paesi.

Gli hacker lo utilizzano per inviare codice simile a uno spyware tramite SMS a un telefono cellulare. Per ottenerlo, istruisce l’UICC (SIM Card) all’interno del telefono a “prendere il controllo”, al fine di eseguire comandi malevoli. Tutto questo avviene ad insaputa del proprietario dello smartphone, perché nelle caselle degli sms ricevuti o inviati non c’è traccia di queste comunicazioni. In passato con gli sms arrivava un collegamento a una pagina web da cui scaricare il virus. In questo caso, invece, non vi è necessità di cliccare su alcun link.

Una volta installato, Simjacker può ordinare alla SIM card operazioni complesse, come per esempio: recuperare le e-mail, accedere a un browser e scaricare malware, ordinare al telefono di chiamare un numero quando si inizia una conversazione e usarlo come microspia, oppure comporre numeri a pagamento per attività fraudolente. Il tutto senza che la vittima se ne accorga e senza la possibilità, quindi, di prendere delle contromisure.

È un tipo di attacco nuovo preposto a campagne di spionaggio industriale, sabotaggio, disinformazione e sorveglianza di massa.

Come difendersi da un attacco Simjacker

Difendersi è complicato se non impossibile. L’ampia varietà di modelli e di dispositivi rende complesso individuare una soluzione. E disabilitare la funzione incriminata potrebbe rivelarsi controproducente..

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati

Gli attacchi di Simjacker possono essere segnalati alla GSM Association che prenderà le eventuali misure di protezione.

Analisti e specialisti informatici di società di sicurezza informatica specializzate hanno già allertato l’associazione GSM che riunisce gli operatori, e la SIM Alliance, che associa i produttori di card, affinché monitori il traffico di eventuali SMS sospetti con comandi S@t browser, richiedendo contestualmente che aggiornino quanto prima le protezioni necessarie.

Il fenomeno del SIM Swapping

Oggi quasi tutti ormai hanno un cellulare o uno smartphone e lo hanno sempre con sé, i dispositivi mobili sono sempre più utilizzati per verificare l’identità personale, soprattutto attraverso i servizi online. A tale scopo, viene inviato una “passcode” monouso al telefono cellulare dell’utente tramite SMS o posta vocale. Questo poi deve inviare il codice per autentificarsi su un sito web o un’APP, possibilmente come parte dell’autenticazione a più fattori (MFA) o per ripristinare un account.

Questo è un metodo facile da usare e apparentemente sicuro. Ma il fatto che la maggior parte degli utenti abbia collegato i propri numeri di cellulare a conti bancari, e-mail e social media attira anche i criminali informatici. Se ottieni l’accesso al numero di cellulare di qualcun altro tramite lo scambio di SIM, puoi usarlo per una serie di scopi criminali . Un utente malintenzionato riceve tutti gli SMS e le chiamate inoltrate oppure può inviare messaggi di testo o chiamare servizi a pagamento all’estero.

È anche in grado di usurpare (quasi) l’intera presenza online hackerando account per i quali è possibile l’autenticazione basata su cellulare (ad esempio Twitter) o il recupero della password, inclusi, ad esempio, Gmail, Facebook o Instagram. Tra le vittime di spicco ci sono il co-fondatore e CEO di Twitter Jack Dorsey e l’attrice Jessica Alba: i loro account Twitter sono stati violati tramite scambio di SIM per poi inviare post offensivi sulla piattaforma.

Diventa costoso quando la vittima utilizza la procedura mTAN o smsTAN per approvare i trasferimenti online, ovvero la banca invia il numero della transazione al cliente tramite SMS. Se l’hacker dispone anche dei dati di accesso per l’online banking, può comodamente svuotare l’account della vittima comodamente da casa.

Come funziona il SIM Swapping

Il metodo preferito per dirottare un numero di cellulare è lo sostituzione di SIM, lo scambio di SIM o il dirottamento di SIM. La sostituzione della SIM viene solitamente fatta tramite il portale clienti o la hot line clienti dell’operatore di rete mobile, l’hacker finge di essere la sua vittima e chiede una nuova SIM, ad esempio perché suo cellulare è andato perso insieme alla scheda SIM o non si adatta più al nuovo smartphone a causa del formato. Oppure può risolvere il contratto e richiedere la portabilità del numero/trasferimento del numero al nuovo fornitore.

In entrambi i casi, ovviamente, non è sufficiente indicare solo il numero di cellulare; l’hacker deve fornire ulteriori informazioni personali della vittima, come data di nascita, indirizzo o password del cliente – dati che ha ottenuto dai social network (ingegneria sociale ), ricevuti tramite e-mail di phishing o acquistati sulla DarkNet. Quando si chiama il centro servizi dell’operatore di telefonia mobile, con un po’ di persuasione, i dati più facilmente accessibili possono essere sufficienti al dipendente per ottemperare alla richiesta di modifica nonostante la mancanza di legittimazione.

L’aggressore deve quindi ottenere la SIM fisica dalle schede SIM convenzionali, ad esempio intercettando la lettera del provider di telefonia cellulare o fornendo un indirizzo diverso. Questo è più facile con una eSIM , che è supportata dalle ultime due generazioni di smartphone di Apple e Google.

Il nostro numero di cellulare è stato rubato?

Se l’invio di SMS, le chiamate da cellulare e le connessioni dati mobili non sono più improvvisamente disponibili, e non ti trovi in una zona morta o che si sia verificato un malfunzionamento tecnico nella rete cellulare, ciò può essere un’indicazione che il numero di telefono potrebbe essere stato sostituito. .

Diventa più chiaro se all’improvviso non puoi più accedere a vari servizi o se registri processi insoliti sul tuo account. Poiché i criminali informatici agiscono con il “favore delle tenebre”, i problemi vengono spesso notati solo il mattino successivo, a quel punto di solito è troppo tardi.

Come proteggersi dallo scambio di SIM

Per mitigare il rischio di un attacco SIM Swapping è utile adottare alcune semplici regole di sicurezza:

  1. aggiornare, quando il sistema lo richiede, sempre il sistema operativo con gli ultimi aggiornamenti di sicurezza e installare un software antivirus e spyware a pagamento;
  2. non utilizzare una password uniforme per tutti i servizi online, ma piuttosto una password individuale sufficientemente lunga e complesso (utilizzare anche simboli @#);
  3. abilitare l’autenticazione a due fattori come componente aggiuntivo delle password sicure;
  4. di tanto in tanto controllare per vedere se c’è stata una violazione dei dati in uno dei servizi che utilizzi e se i tuoi dati sono caduti nelle mani sbagliate. L’Identity Leak Checker dell’Hasso Plattner Institute fornisce informazioni al riguardo;
  5. attenzione alle e-mail di phishing: le aziende rispettabili ed in particolare le banche, non chiedono mai ai propri clienti di rivelare dati personali tramite un collegamento in un’e-mail.

Molti operatori di rete mobile stanno prendendo precauzioni dopo i primi casi di scambio di SIM e offrono l’identificazione vocale (ID vocale) o richiedono una password cliente speciale sulla hot line del cliente.

Il nuovo rischio rappresentato dalle SIM russe

Ma le ultime informazioni dal mondo del cyber crime vengono dalla Russia: il mercato delle SIM e dei telefoni crittografati già attivo da qualche anno trova nuovi target. I criminali utilizzano i cosiddetti telefoni e SIM crittografati, dispositivi ovviamente personalizzati che in alcuni casi hanno rimosso il GPS, il Microfono e la fotocamera, falsificando così i numeri di telefono attraverso le capacità di roaming di un operatore, normalmente un operatore virtuale (MVNO) oppure attraverso l’accesso alle API di altri operatori.

Le SIM, (quasi sempre) russe, sono acquistabili a partire da 600-1000 Sterline fornendo il solo indirizzo di spedizione e senza alcun vincolo di fornire dati personali, variano per qualità, servizi e caratteristiche, ma sono sempre progettate per garantire all’utente vantaggi in termini di privacy e sicurezza. Alcune di queste SIM consentono anche di manipolare la voce in tempo reale, aggiungendo un tono acuto o baritonale alle telefonate stesse.

Dopo aver ricevuto la carta SIM e averla inserita nel telefono, l’utente deve semplicemente modificare il nome del punto di accesso (il cosiddetto APN) sul dispositivo, collegandosi prima ad un server privato, gestito da società russe che poi effettua per conto del richiedente la chiamata. Questi strumenti sono conosciuti con vari nomi nella comunità dei cyber criminali, tra cui “carte SIM russe”, “chip crittografati”, “carta SIM vuota”.

Ma tutto questo è legale? Queste schede SIM vuote non sono illegali di per sé ma il loro utilizzo è chiaramente un crimine, poiché gli operatori di queste campagne impersonano individui e organizzazioni e utilizzano le informazioni acquisite insieme ai dati trafugati in incidenti di violazione dei dati per implementare attacchi mirati.

La National Crime Agency ha recentemente segnalato la confisca di carte SIM russe come prova in un’indagine. Secondo indiscrezione dal mondo informatico, anche i fornitori di telefoni crittografati – aziende legittime o venditori del mercato nero – offrono queste SIM russe, quindi gli utenti di dispositivi crittografati hanno anche la possibilità di impersonare direttamente i numeri di telefono di qualsiasi persona o organizzazione.

Quale è il pericolo reale? Con questa tecnologia si può falsificare qualsiasi numero di telefono.

Si vuole dare l’impressione di chiamare da una banca per truffare un bersaglio? Facile.

Lo si vuole cambiare in una serie casuale di cifre in modo che il telefono del destinatario non registri il tuo numero reale? Facile, la configurazione richiede solo pochi secondi, in base ai tutorial su come utilizzare le schede disponibili online

La trappola della tecnologia, quindi? No, la colpa non è della tecnologia, la colpa è ovviamente nostra che in maniera facile (ma anche opportunistica) abbiamo prima caricato la tecnologia di responsabilità enormi e poi l’abbiamo messa alla gogna indicandola come traditrice. Oggi ci basta che tutto funzioni, che tutto sia possibilmente possibile, che tutto sia idealmente risolvibile. Forse non è così, ci sono problemi decisamente complicati da affrontare e forse non tutta la tecnologia è pronta a risolverli come se fosse un gioco multilivello.

Ma quali problemi sociali sorgeranno con un tale progresso? Diventeremo sempre più dipendenti dalla tecnologia fino al punto di una rottura sociale?

Come scrisse T. Kaczynski, “la tecnologia è una forza sociale più potente dell’aspirazione alla libertà, […] mentre il progresso tecnologico nel suo complesso restringe continuamente la nostra sfera di libertà, ogni nuovo progresso tecnico considerato da se stesso sembra essere desiderabile”.

New call-to-action
WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy
@RIPRODUZIONE RISERVATA

Articolo 1 di 3