HO, nuovi codici seriali sim: vantaggi e limiti su truffe, portabilità del numero - Cyber Security 360

dopo il furto dati

HO, nuovi codici seriali sim: vantaggi e limiti su truffe, portabilità del numero

Rigenerare i codici seriali delle SIM interessate dal furto dati ho. Mobile rappresenta un’innovativa soluzione tecnologica che mette gli utenti al riparo da attacchi SIM swap, ma non li protegge da phishing e frodi di vario genere a causa dalla violazione di dati. Ecco perché

19 Gen 2021
P
Pierluigi Paganini

Cyber Security Analyst, CEO CYBHORUS

Tiene ancora banco il furto dati ho. Mobile e, ora, l’innovativa soluzione tecnica adottata dall’operatore telefonico contro le truffe: ha cambiato in automatico i codici seriali delle SIM coinvolte nel data breach mediante una modifica unilaterale degli ICCID (Integrated Circuit Card-IDentity), i codici internazionali di 19 cifre che identificano in maniera univoca le SIM.

In particolare, tra gli addetti ai lavori si discute sulla bontà di questa innovativa misura di sicurezza e, in particolare, su quanto possa essere utile per difendere gli utenti da possibili attacchi di SIM swap e truffe telefoniche.

Questo mentre tutta la vicenda del data breach subito dall’operatore low cost di Vodafone finisce sul tavolo di Agcom in seguito ad un ricorso presentato da Fastweb e Iliad. Le due telco, in particolare, hanno presentato all’Autorità per le garanzie nelle comunicazioni due missive differenti ma dal contenuto sostanzialmente identico in cui contestano proprio la procedura di rigenerazione automatica dei codici seriali delle SIM ai clienti ho. Mobile in quanto, secondo loro, ostacolerebbe le normali operazioni di portabilità del numero telefonico.

Rigenerare i codici seriali delle SIM: quali vantaggi contro sim swap

Come dicevamo, la disponibilità del codice ICCID, insieme agli altri dati acceduti nel data breach di ho. Mobile, rende tecnicamente possibili attacchi di tipo SIM swapping che potrebbero consentire la clonazione della scheda telefonica con tutte le conseguenze del caso.

In caso di incidenti come questo, le possibili soluzioni sono due: sostituire fisicamente la SIM presso centri autorizzati dall’operatore telefonico oppure procedere alla generazione di nuovi codici per le SIM impattate sollevando gli utenti dal dover compiere qualunque azione.

In questo secondo scenario l’operatore, una volta generati i nuovi codici, manterrà l’associazione logica “vecchio codice-nuovo codice”: per questo motivo, l’unico modo per ottenere il nuovo codice ICCID è quello di contattare l’operatore stesso, ad esempio mediante SMS (così come ha previsto la stessa ho. Mobile).

Il vantaggio di questa soluzione è indubbio: i costi della sostituzione fisica e dei processi relativi sono azzerati.

Scenari possibili di esposizione ad attacchi cyber

A questo punto, è lecito chiedersi se in caso di data breach questa soluzione metta completamente al riparo i clienti dell’operatore da ogni possibile tipo di attacco.

Per scongiurare del tutto il rischio di un attacco SIM swap è necessario impedire che l’attaccante riesca a trovare la corrispondenza tra il vecchio ed il nuovo codice ICCID.

Tecnicamente questo è possibile, sebbene in scenari estremamente complessi e poco fattibili come quelli che sto per descrivervi.

Attacco phishing

Immaginiamo una campagna di phishing su larga scala che prenda di mira gli utenti dell’operatore telefonico vittima del data breach. I messaggi potrebbero invitare gli utenti a compilare con urgenza una form che richieda loro anche il nuovo codice ICCID che può essere ottenuto con le istruzioni fornite nel messaggio di phishing. L’attaccante potrebbe ingannare la vittima prospettando un distacco della SIM qualora non sia completata la form. Va detto che questo scenario è comunque sempre possibile in attacchi di SIM swapping contro ignari utenti.

Attacco malware

Altro scenario prevede la compromissione del telefono con un malware in grado in maniera silente di recuperare il nuovo codice ICCID inviando un SMS al numero predisposto dall’operatore telefonico e nascondendo le operazioni al proprietario del dispositivo.

Questo scenario è anch’esso poco probabile, perché una volta compromesso il telefono della vittima si possono utilizzare tutte le funzioni del malware per controllarlo, rendendo di fatto inutile il processo di swap della SIM.

Rigenerare i codici seriali delle SIM non protegge da tutte le truffe

La soluzione proposta rappresenta dunque un ottimo compromesso tra sicurezza del cliente e costo del processo di sostituzione implementato dall’operatore.

Eventuali attacchi come quelli descritti sono teorici e macchinosi per un attaccante che potrebbe ottenere i medesimi risultati con un minor sforzo.

D’altro canto, però, va detto che la soluzione adottata pone al riparo da SIM swap, me gli utenti sono e resteranno esposti ad attacchi di phishing o frodi di vario genere a causa dalla violazione di dati.

La rigenerazione automatica del codice seriale delle SIM telefoniche, dunque, non deve in ogni caso farci abbassare la guardia da tutte le possibili minacce a cui siamo esposti, indipendentemente dal fatto di essere stati coinvolti nel furto dati ho. Mobile.

Ostacoli alla portabilità del numero

Infine, come anticipato, Iliad e Fastweb ritengono che il cambio di codice ponga ostacoli aggiuntivi alla portabilità, anche se questo cambio non si applica alle portabilità che erano già in corso.

Il motivo è che prima bastava all’utente vedere il codice della sim da dare per la portabilità; adesso non è più autonomo e deve mandare un sms, aspettare la risposta. Il passaggio porrebbe una barriera quindi extra, una lungaggine prima assente e permetterebbe inoltre a Ho, in teoria, di fare retention sul cliente.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5