Numeri di telefono riutilizzati? Un test mostra vulnerabilità privacy

numeri-telefono-riutilizzati
Condividi:

Un nuovo studio accademico ha evidenziato una serie di insidie in materia di privacy e sicurezza in relazione al riutilizzo dei numeri di cellulare, che potrebbero essere sfruttati in modo improprio per mettere in scena una serie di attività illecite, tra cui il furto di account, attacchi di phishing, spam e persino impedire alle vittime di iscriversi ai servizi online.

2 numeri cessati su 3 a rischio

Il “riciclo” dei numeri di telefono si riferisce alla pratica standard di riassegnare i numeri di telefono scollegati ad altri nuovi abbonati. Un fenomeno non secondario, dal momento che, ad esempio, secondo la Federal Communications Commission (FCC), si stima che 35 milioni di numeri di telefono vengano scollegati ogni anno negli Stati Uniti.

Poco meno del 66% dei numeri riciclati che sono stati campionati è risultato essere legato agli account online dei precedenti proprietari su siti web popolari, consentendo potenzialmente il dirottamento degli stessi semplicemente recuperando gli account legati a quei numeri.

Cosa agisce un hacker grazie ai numeri “usati”

Ricercatori statunitensi hanno mostrato che, per i provider di telefonia che danno la possibilità di scegliere un numero di telefono tra diversi disponibili, si crea un problema di sicurezza e privacy: “Un utente malintenzionato può scorrere i numeri disponibili mostrati sulle interfacce di modifica del numero online e verificare se qualcuno di essi è associato agli account online dei precedenti proprietari. In tal caso, l’attaccante può ottenere questi numeri e reimpostare la password sugli account, ricevere e inserire correttamente l’OTP (One Time Password) inviata tramite SMS al momento del login“.

Un test americano su 259 numeri di telefono

I risultati fanno parte di un’analisi di un campione di 259 numeri di telefono disponibili per i nuovi abbonati. Lo studio è stato intrapreso da Kevin Lee della Princeton University e da Arvind Narayanan, uno dei membri del comitato esecutivo presso il Center for Information Technology Policy.

Al centro dell’attacco, la strategia è la mancanza di limiti di query per i numeri disponibili imposti dei provider telefonici per modificare i numeri.

Telefoni associati a violazioni di dati precedenti

In un secondo test è risultato che ben 100 dei numeri di telefono campionati su 259 sono stati identificati come associati a indirizzi e-mail che erano stati coinvolti in una violazione dei dati in passato, consentendo così il dirottamento dell’account che aggira l’autenticazione a più fattori basata su SMS.

In una terza simulazione, 171 dei 259 numeri disponibili sono stati elencati su servizi di ricerca di precedenti di persone e, nel processo, sono trapelate informazioni personali sensibili dei vecchi proprietari.

Una volta ottenuto il numero del proprietario precedente, possono eseguire attacchi di impersonificazione per commettere frodi o accumulare ancora più informazioni personali sui proprietari precedenti“, hanno spiegato i ricercatori.

Altre vulnerabilità

Oltre ai suddetti tre attacchi, cinque ulteriori minacce rese possibili dal riciclo dei numeri di telefono prendono di mira sia i proprietari precedenti che quelli futuri, consentendo a un malintenzionato di impersonare i proprietari del passato, dirottando l’account telefonico online delle vittime e altri account online collegati e, peggio ancora, eseguire attacchi denial-of-service.

L’attaccante ottiene un numero, si iscrive a un servizio online che richiede un numero di telefono e rilascia il numero“, hanno detto i ricercatori. “Quando una vittima ottiene il numero e tenta di registrarsi per lo stesso servizio, verrà negato a causa di un account esistente. L’aggressore può contattare la vittima tramite SMS e richiedere il pagamento per liberare il numero sulla piattaforma“.

Cosa ci dice questo test sui numeri di telefoni riciclati?

Lo studio è un’altra prova del motivo per cui l’autenticazione basata su SMS è un metodo rischioso, poiché gli attacchi descritti sopra potrebbero consentire a un avversario di effettuare un attacco senza dover conoscere la password.

Ti è piaciuto questo articolo? Se vuoi saperne di più su questo tema o se sei interessato a una consulenza in materia di cyber security, contattaci:

    Il tuo nome*

    La tua email*

    Il tuo telefono*

    La tua città

    Il tuo messaggio

    * campo obbligatorio

    Condividi:

    Lascia un commento

    Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

    Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.