Hackerare un account è più semplice di quanto si pensi

Ciò è reso possibile sfruttandola segreteria telefonica della vittima.

Innanzi tutto tengo ad informare tutti voi utenti che questo articolo è scritto a titolo puramente informativo e divulgativo ed assolutamente NON volto ad istigare alcun tipo crimine ovvero di reato che possa ledere la privacy di terzi.

Lo stesso articolo è scritto con l’intenzione di dare suggerimenti volti a riconoscere alcuni tipi di possibili attacchi informatici e pericoli derivanti dall’utilizzo del WEB ed al tempo stesso per dare consigli per sapersi proteggere.

Precisato quanto sopra, procedo.

Quando acquistiamo ed attiviamo una nuova scheda SIM, l’operatore col quale decidiamo di sottoscrivere il contratto di fornitura dei servizi, mette a disposizione ed attiva una serie di servizi voce, dati, possibilità di utilizzare il servizio roaming dati e così via.

Tra i servizi inclusi, diciamo di default, vi è pur il servizio di segreteria telefonica.

Bene… È vero che quasi nessuno ormai si serve della segreteria telefonica, tuttavia è vero anche che in molti sono iscritti a questo servizio, che è ancora attivo anche se un po’ “passato di moda”

Anche se la segreteria, spesso non viene più utilizzata, ciò non significa che a nessuno interessi.

Come ad esempio, può essere hackerato un account

Un ricercatore per la sicurezza informatica, Martin Vigo, nel suo report “Compromising online accounts by cracking voicemail systems”, presentato
alla ventiseiesima edizione del DEF CON, ha spiegato come gli accounts online degli utenti, proprio attraverso il servizio di segreteria telefonica possano venire hackerati da soggetti malintenzionati o semplicemente, da curiosi dei fatti altrui.

Infatti, la maggior parte degli operatori consentono l’accesso alla segreteria telefonica sia dal proprio telefono, sia utilizzando un numero esterno.

In questo caso, l’accesso è protetto da un codice PIN.

E’ utile sapere però che questi PIN sono tutt’altro che inaccessibili a terzi.

Molti utenti abbonati al servizio, mantengono il codice preimpostato dall’operatore, che solitamente coincide con le ultime quattro cifre del numero di telefono o più frequentemente è composto da sequenze numeriche semplici come 0000, 1111 o 1234.

Anche se il PIN viene modificato dall’utente, molte ricerche hanno ulteriormente dimostrato quanto il PIN, in tal caso è ancor più semplice da indovinare.

Solitamente i codici PIN sono di quattro cifre anche se possono essere più lunghi.

Inoltre luogo, molto utenti optano per quattro cifre tutte uguali o combinazioni molto semplici come 1234, 9876, 2580 oppure sequenze di numeri in verticale od orizzontale sulla tastiera del telefono.

Anche i PIN che iniziano per 19XX sono molto comuni.

Conoscendo certe piccole regole, forzare una segreteria telefonica può essere davvero molto semplice.

Come possono essere hackerati, ad esempio, WhatsApp o Paypal attraverso la segreteria telefonica

Quando si reimposta una password, la maggior parte dei servizi online più utilizzati offrono, tra le varie opzioni, la possibilità di ricevere una chiamata al numero di telefono specificato sul profilo in cui viene fornito il codice di verifica.

L’eventuale malintenzionato non deve fare altro che scoprire il PIN della segreteria telefonica associata ed aspettare che il telefono della vittima sia spento, non raggiungibile oppure che venga rifiutata la chiamata.

A questo punto attiva la procedura di reimpostazione della password del servizio online sta provando ad accedere e seleziona l’opzione di verifica via chiamata che verrà registrata in segreteria.

Martin Vigo ha dimostrato che, mediante questa tecnica, è possibile hackerare un account, per esempio, registrato su WhatsApp.

PayPal invece impiega una procedura di verifica leggermente diversa.

Il servizio richiama il numero di telefono associato all’account e l’utente, come verifica, deve digitare il numero visualizzato, sulla pagina di reimpostazione della password.

Questo sistema può essere bypassato attraverso un sottile, quanto efficace, trucchetto: basta impostare il messaggio di benvenuto della segreteria con la registrazione dei toni della tastiera che corrispondono alle cifre del codice di reimpostazione.

PayPal è uno dei servizi che impiega questo sistema di verifica e, anche in questo caso, Martin Vigo è riuscito ad hackerare l’account.

Come proteggersi da questo genere di attacchi

  • Disattivare la segreteria che per la maggiore, non svolge più un ruolo di così fondamentale importanza;
  • Se necessitate del servizio di segreteria, scegliete un codice PIN sicuro. Innanzitutto, che sia composto da più di quattro cifre (più ce ne sono, meglio è) e che sia possibilmente casuale;
  • Evitate il più possibile di associare un numero telefonico a un servizio online, sempre che per qualche particolare motivo, non sia per voi di rilevante importanza;
  • Avvaletevi dell’autenticazione a due fattori, l’ideale è mediante app come Google Authenticator o dispositivi hardware come YubiKey.
Images by Pixabay

Aggiungi ai preferiti : Permalink.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.