Perché chi usa gli SMS come metodo di autenticazione è sempre colpevole

I meccanismi che gestiscono le identità digitali degli utenti via SMS sono fallati, pericolosi ed espongono a gravi rischi. Ecco perché è necessario un deciso e repentino cambio di rotta.
Perché chi usa gli SMS come metodo di autenticazione è sempre colpevole

L’uso degli SMS come sistema di autenticazione degli utenti non solo è qualcosa di ormai anacronistico ma addirittura una pratica assolutamente sconsiderata. Inoltre, tra tutte le modalità per gestire l’autenticazione a due fattori (2FA), l’utilizzo degli SMS è quella più insicura. Lo dicevamo già nel 2019 parlando delle modalità più sicure per la verifica in più passaggi dell’identità degli utenti.

L’autenticazione a due fattori basata su SMS, tuttavia, è forse lo scenario meno grave in senso assoluto. Molto più pericolosi sono i meccanismi di reimpostazione delle password basati su SMS, della registrazione e del recupero dell’account.

Perché l’uso degli SMS come meccanismo di autenticazione è fortemente sconsigliato

L’utilizzo degli SMS per autenticare gli utenti e verificarne l’identità è estremamente rischioso. Gli attacchi SIM swap sono cresciuti anno dopo anno proprio perché gli aggressori cercano di ricevere i codici di conferma inviati via SMS dalle varie piattaforme (compresi, purtroppo, alcuni servizi di online banking) sulle numerazioni telefoniche delle vittime.

Nonostante gli sforzi di AGCOM e delle altre Autorità europee a contrasto del fenomeno, sono tanti i gruppi di malintenzionati che provano ad acquisire il controllo su una numerazione altrui, anche facendo leva sulle vulnerabilità insite nei protocolli SS7, usati nelle reti di telecomunicazioni. L’obiettivo è quello di dirottare SMS e chiamate verso SIM diverse da quelle dei legittimi proprietari. Magari con la connivenza di dipendenti infedeli che lavorano per qualche piccolo operatore di telecomunicazioni, con sede legale in uno stato sovrano libero da legami con altri Paesi.

Le nuove regole su portabilità del numero e cambio SIM mirano proprio a ridurre la possibilità che gli attacchi di SIM swap vadano effettivamente in porto. Ma non è ancora abbastanza.

Gli attacchi di tipo SIM swap continuano a trovare, purtroppo, terreno fertile perché tante aziende di primo piano non hanno ancora ricusato la folle idea di usare gli SMS per confermare l’accesso agli account o confermare la reimpostazione di una password. Ed è ancora più preoccupante che alcuni istituti di credito, si appoggino ancora a questo meccanismo.

Gli SMS sono come cartoline postali: chiunque può leggerne il contenuto

Avete presente le vecchie cartoline che una volta si inviavano per posta dal luogo di vacanza (qualcuno lo faceva addirittura al ritorno dalle ferie…)? Ecco, gli SMS si presentano allo stesso modo: sono facilmente intercettabili con un attacco SIM swap e sono vulnerabili ad aggressioni MITM (man-in-the-middle), spesso posti in essere da criminali informatici con il sostegno e su mandato di governi compiacenti.

Gli SMS sono inviati in chiaro: chiunque può accedere al loro contenuto. Non si tratta infatti di una tecnologia di messaggistica nata per garantire la sicurezza del contenuto dei testi scambiati tra un terminale e l’altro.

Cosa dovrebbero fare le aziende?

Le aziende non dovrebbero consentire ai loro clienti e utenti di accedere agli account o reimpostare le password tramite SMS. Inoltre, dovrebbero seriamente proporre alternative sicure: nel caso dell’autenticazione a due fattori, ad esempio, si dovrebbero sempre proporre opzioni più sicure come l’utilizzo di chiavette FIDO2, autenticazione biometrica, uso di app che generano password a breve scadenza o codici OTP.

L’adozione diffusa degli SMS come meccanismo di autenticazione è stata una scelta insensata da parte delle aziende, mettendo a rischio la sicurezza dei loro clienti. È ora che le società interessate prendano posizione, abbandonino questa pratica pericolosa e adottino soluzioni più sicure per proteggere l’identità digitale degli utenti.

Spencer Dailey, nel suo post dal titolo “Companies embracing SMS for account logins should be blamed for SIM-swap attacks“, cita anche i nomi altisonanti di Apple, Dropbox, PayPal, Block, Google così come quelli di altre realtà.

L’esperto guarda commenta costruttivamente anche l’inerzia di Istituzioni e operatori che almeno da 10 anni a questa parte non si sono ancora accordati sul rafforzamento di protocolli di telefonia come SHAKEN/STIR che non solo contribuirebbero a contrastare efficacemente il fenomeno del SIM swapping ma anche a bloccare le chiamate spam quando il numero del chiamante non è reale e, generalmente, è addirittura inesistente.

In Europa, grazie all’iniziativa SIM Verify, le aziende che fanno affidamento sugli SMS possono almeno verificare se una SIM sia stata trasferita di recente. È già qualcosa, che però ancora non risolve il problema alla radice.

Credit immagine in apertura: iStock.com – PeopleImages

Ti consigliamo anche

Link copiato negli appunti