Negli ultimi giorni abbiamo assistito ad un vero e proprio caso che riguarda il presunto furto di dati degli utenti ho. Mobile, un avvenimento piuttosto grave i cui effetti si faranno sentire per lungo tempo, per i consumatori e per lo stesso operatore.

Dopo alcuni giorni di silenzio l‘azienda ha confermato che la falla c’è stata, pur senza specificarne con precisione l’entità (dal comunicato “dati anagrafici e dati tecnici della SIM ma non password e dati delle carte di credito”) e sta ora inviando sms informativi agli utenti interessati, suggerendo di sostituire gratuitamente la propria SIM card.

A partire da ciò che è emerso nei giorni scorsi, appare sempre più chiaro il quadro d’insieme e se avete dunque ricevuto il famigerato sms significa che i vostri dati anagrafici (nome, cognome, residenza, codice fiscale), il codice univoco della SIM e l’email con cui siete registrati ad ho. Mobile sono -molto probabilmente- stati sottratti e venduti nel mercato nero del web.

La sostituzione della SIM basterà a placare le preoccupazioni degli utenti? vediamo punto per punto cosa è successo e cosa fare una volta preso atto della situazione, senza farsi prendere dal panico.

E’ la sera del 28 dicembre scorso, Bank Security, un gruppo che si occupa di cyber security, segnala con un post su Twitter che su un noto forum del DarkWeb è stato messo in vendita un corposo database contenente alcuni dati di clienti ho. Mobile.

Nei giorni successivi la discussione su Twitter si è arricchita di interessanti particolari che hanno permesso di dimostrare la veridicità del database messo in vendita. Si è capito innanzi tutto che i dati trafugati sono reali, senza però chiarire quale sia il numero esatto di profili hackerati, sebbene il report di Bank Security parli di 2,5 milioni di utenze.

QUALI DATI E COME SONO STATI SOTTRATTI

E’ bene precisare che stiamo entrando nel campo delle ipotesi, ad oggi infatti ho. Mobile ha chiarito solo in parte fin dove si è spinto il furto di dati, quello che sappiamo di certo è contenuto nell’sms che stanno ricevendo i clienti:

Come si può evincere dalla comunicazione viene fatto riferimento a dati anagrafici e dati tecnici della SIM di una parte di utenti. Stando però a quanto trapelato dal venditore del database rubato, i dati esposti sarebbero però ben più estesi e coinvolgerebbero l’anagrafica completa dell’utente, email dell’account registrato e tutti i dati tecnici della SIM compreso il codice ICCID che identifica in modo univoco la scheda.

Inoltre le numerosissime segnalazioni che abbiamo ricevuto dai nostri lettori suggeriscono che quella “parte di utenti” possa essere significativamente grande e verosimilmente vicina ai 2,5 milioni dichiarati dagli hacker, vale a dire quasi la totalità delle utenze ho. Mobile.

Il modo in cui sono stati trafugati i dati è ancora un mistero ma sembra che i presupposti derivino da grandi porte aperte lasciate nel codice che regola le comunicazioni tra client e server. A quanto pare con semplici richieste web tramite API rest era (perché ora è stato corretto) possibile ottenere alcuni dati degli utenti come i codici cliente e lo stato attivo/disattivo.

Probabilmente si è trattato banalmente di trovare l’istruzione giusta per ottenere il dump del database in questione.

API #homobile #Vodafone #Leak
Ho-mobile[.]it/leanfe/restAPI/EndUserDataService/getEndUserData

Lesson learned.

— Robin Root (@R0b1nR00t) December 29, 2020

LA POSIZIONE DI HO. MOBILE

ho. Mobile inizialmente è stata piuttosto vaga nelle dichiarazioni:

ho. mobile: nessuna evidenza di accessi massivi ai propri sistemi informatici.

Con riferimento ad alcuni indiscrezioni pubblicate da organi di stampa, ho. mobile non ha evidenze di accessi massivi ai propri sistemi informatici che abbiano messo a repentaglio i dati della customer base.

Abbiamo avviato in collaborazione con le autorità investigative le indagini per ulteriori approfondimenti.

solo dopo alcuni giorni e con gli utenti che cominciavano preventivamente a richiedere la sostituzione della SIM (a pagamento), è stato ufficialmente dichiarato quanto segue:

ho. Mobile, come dichiarato ufficialmente lo scorso 28 dicembre, ha avviato indagini in collaborazione con le Autorità investigative su presunte sottrazioni di dati dei suoi clienti di telefonia mobile.

Dalle ulteriori verifiche effettuate, che sono tuttora in corso, emerge che sono stati sottratti illegalmente alcuni dati di parte della base clienti con riferimento solo ai dati anagrafici e tecnici della SIM. L’azienda comunica che non sono stati in alcun modo sottratti dati relativi al traffico (sms, telefonate, attività web, etc.), né dati bancari o relativi a qualsiasi sistema di pagamento dei propri clienti.

ho. Mobile denuncia tale attività illecita a danno dei propri clienti e comunica di aver già sporto denuncia alla Autorità inquirente e informato il Garante della Privacy, con i quali sta lavorando in stretto contatto.

Purtroppo anche ho. Mobile, come numerose altre aziende, è rimasta vittima di attacchi informatici che si sono intensificati e accelerati durante la pandemia.

In queste ore stiamo procedendo ad informare solo i clienti ho. Mobile coinvolti, e abbiamo già attivato ulteriori e nuovi livelli di sicurezza per mettere la clientela al riparo da potenziali minacce. Ulteriori azioni a protezione dei dati sottratti sono in corso di implementazione e verranno comunicate ai clienti.

Qualora i clienti vogliano comunque procedere alla sostituzione della propria SIM, potranno richiederne la sostituzione gratuita presso i punti vendita autorizzati.

Stiamo assistendo a diversi fenomeni speculativi sui social network e pertanto invitiamo i clienti a verificare direttamente con i canali ufficiali di ho. Mobile (sito, app , call center) ogni informazione ed eventuale esigenza di supporto.

Il comunicato non aggiunge informazioni a quanto già noto e ribadisce l’entità dei dati trafugati specificando cosa non è stato toccato, senza però precisare fin dove si spingano i dati utente trafugati, così come per i dati tecnici.

La dichiarazione appare a tratti orientata al minimizzare la situazione. L’espressione “dati anagrafici” risuona in modo diverso rispetto a “Nome, cognome, età, residenza, sesso e codice fiscale”, inoltre i “dati tecnici” menzionati includerebbero il codice univoco ICCID, che unito a mail e dati personali potrebbe bastare per mettere in atto il cosiddetto swap, un dettaglio non di poco conto.

L’operatore virtuale ha poi diramato una serie di F.A.Q. chiarendo finalmente un po’ meglio la situazione, continuando però con la poca trasparenza nell’esposizione dei i rischi a cui si troverebbe esposto il cliente a cui sono stati trafugati i dati.

• Quali dati sono stati sottratti?

  Dalle ulteriori verifiche effettuate, che sono tuttora in corso, emerge che sono stati sottratti illegalmente alcuni dati di parte della base clienti con riferimento ai soli dati anagrafici (nome, cognome, numero di telefono, codice fiscale, email, data e luogo di nascita, nazionalità e indirizzo) e tecnici della SIM. NON sono stati in alcun modo sottratti dati relativi al traffico (telefonate, SMS, attività web, etc.) né dati bancari o relativi a qualsiasi sistema di pagamento dei propri clienti.

• Come faccio a sapere se i miei dati sono stati sottratti?

  Riceverai una comunicazione dedicata in caso tu sia stato coinvolto.

• Ho attivato la ricarica automatica. I miei dati bancari sono stati sottratti?

  No, non sono stati in alcun modo sottratti dati relativi al traffico (telefonate, SMS, attività web, etc.) né dati bancari o relativi a qualsiasi sistema di pagamento dei clienti.

• Voglio sostituire la mia SIM, come faccio?

  Puoi recarti presso uno dei nostri rivenditori autorizzati e richiedere il cambio della SIM gratuitamente portando con te la SIM attuale e un documento di identità valido. Trova il negozio più vicino a te su https://www.ho-mobile.it/trova-negozio.html

• Non voglio/posso andare in negozio. Potete spedirmi la SIM?

  Il processo di sostituzione SIM richiede riconoscimento fisico del cliente, pertanto non possiamo in questo momento spedirti la SIM. Puoi recarti presso uno dei nostri rivenditori autorizzati e richiedere il cambio della SIM gratuitamente portando con te la SIM attuale e un documento di identità valido.

Negli ultimi giorni, come vi abbiamo raccontato, un contatto vicino ad Iliad ci ha confermato un aumento considerevole delle richieste di portabilità, segno evidente che gli utenti stanno optando per la contromisura più drastica: cambiare operatore. Al contempo alcuni lettori segnalano difficoltà nel sostituire la SIM card in negozio, lunghe attese tra scorte che scarseggiano e le limitazioni agli spostamenti imposte dal lockdown.

ho. Mobile sta suggerendo in modo piuttosto blando di sostituire la SIM. In realtà questo passaggio potrebbe porre parziale rimedio solo ad alcuni dei rischi a cui sono sono esposti gli utenti a cui sono stati trafugati i dati. Vediamoli più nel dettaglio.

I dati finiti in rete costituiscono un gruzzolo interessante per diverse attività illecite che si configurano in due macro categorie:

• SWAP SIM
• PHISHING

SWAP SIM

Non è di per sé un’attività illecita, consiste infatti nel sostituire una SIM con una nuova SIM effettuando la portabilità del numero. Per eseguirla è necessario conoscere i dati dell’intestatario e il codice univoco ICCID della SIM ed entrambe le informazioni sarebbero in possesso degli hacker.

Un’operazione del genere potrebbe essere sfruttata per ottenere il controllo dell’accesso ad alcuni account con autenticazione a due fattori, inclusi i profili bancari e di gestione di carte prepagate e conti virtuali. L’hacker richiede una nuova SIM grazie alle informazioni in suo possesso, una volta ottenuta può ricevere gli SMS con i pin di conferma che permettono di accedere ai servizi o peggio ancora cambiare password.

Nel caso specifico che stiamo trattando la situazione appare più grave perché insieme ai dati dell’utente è stato trafugato anche l’indirizzo mail. Immaginando uno scenario plausibile in cui un’utente ho. Mobile si è registrato sulla piattaforma dell’operatore con la stessa mail con cui è registrato sul profilo Amazon, i malintenzionati avrebbero già in mano il “nome utente”. Di conseguenza, una volta riusciti nello swap SIM, potrebbero con pochi click richiedere una nuova password per l’accesso all’account Amazon (nel quale sono salvate le carte di credito).

Il discorso vale anche per l’account di Google, dei social network e persino di qualche banca virtuale, fermo restando comunque che eseguire tutti questi passaggi senza intoppi e senza verifiche ulteriori da parte dei servizi web sia molto complicato anche per un hacker.

COSA FARE

Fortunatamente per quanto grave sia la minaccia è piuttosto semplice attuare le contromisure. Innanzi tutto è complicato per gli hacker riuscire ad eseguire uno swap SIM, specialmente ora che è venuta a galla l’attività illecita sui numeri di telefono ho. Mobile, in Italia è necessario sempre un riconoscimento di persona o virtuale ma con videochiamata per verificare che il richiedente dello swap sia effettivamente l’intestatario della SIM.

Uno swap SIM in questo momento potrebbe essere eseguito solo con la compiacenza di addetti in malafede.

In ogni caso c’è un modo per eliminare del tutto il rischio: sostituire la SIM. In questo modo il numero telefonico rimarrà lo stesso ma verrà modificato il codice univoco della SIM ICCID, gli hacker rimarranno con in mano un vecchio ed inutilizzabile codice.

Nel caso in cui non venga sostituita la SIM o sia necessario aspettare alcune settimane prima di sostituirla, potrebbe configurarsi la condizione in cui vengano avviate illegalmente le procedure per uno swap da parte dei malintenzionati.

Niente panico: prima che lo swap diventi effettivo si riceve sul telefono un SMS che vi avverte della procedura, in un secondo momento la SIM smetterebbe di funzionare. Con un po’ di attenzione ci si può accorgere dell’attività in atto e bloccarla contattando l’operatore telefonico e sporgendo denuncia alle autorità.

Infine un’ulteriore semplice contromisura da attuare in ogni caso è la seguente: scollegare dai vari account la registrazione con il numero telefonico ho. Mobile o per lo meno verificare di non aver eseguito la registrazione con la stessa mail utilizzata per l’account dell’operatore telefonico, in quel caso basterà cambiare la mail con cui si è registrati sui vari profili (Amazon, Social, banca virtuale ecc).

E’ una scocciatura che richiederà tempo ma è necessaria.

PHISHING

E’ una cosiddetta pratica illecita di ingegneria sociale: i malintenzionati costruiscono ad arte una finta comunicazione che invita il malcapitato a fornire dati personali e dati sensibili per accedere ad account, profili bancari, carte di credito ecc. Si tratta di un metodo subdolo che sfrutta la poca attenzione e preparazione delle persone in ambito di sicurezza informatica.

Siamo tutti costantemente esposti a minacce di tipo phishing, basta aprire la cartella SPAM del proprio client mail per rendersi conto della quantità insospettabile di email fraudolente che costantemente riceviamo.

Cosa hanno dunque a che fare i dati trafugati dai server di ho. Mobile? Tutta la grande quantità di informazioni personali serviranno con buone probabilità per costruire tentativi di phishing estremamente convincenti e realistici. Non solo via mail ma anche via telefono o chat sui social network.

Immaginate di ricevere una mail scritta correttamente con un form precompilato in cui compaiono precisamente i vostri dati anagrafici completi e il numero di telefono. Magari avrà anche l’aspetto grafico coerente con quello delle comunicazioni ufficiali finto mittente, ci sarà solo un campo libero ovvero quello della password e l’invito a compilarlo. Eccone un esempio che abbiamo costruito in pochi minuti:

Purtroppo in molti potrebbero cascarci, specialmente se consideriamo che parte dell’utenza ho. Mobile è costituita da ragazzi molto giovani o anziani che hanno sfruttato le interessanti offerte dell’operatore virtuale negli ultimi anni.

COSA FARE

Non esiste una ricetta esatta per difendersi dalle frodi di questo tipo, bisogna fare semplicemente molta attenzione, diffidare dalle mail convincenti di servizi non richiesti, fare sempre caso al mittente degli indirizzi mail e chiedere di indentificarsi agli interlocutori al telefono.

Ecco qualche esempio di mittente email evidentemente malevolo

Non è sempre così semplice rendersi conto della fregatura, bisogna quindi conservare un ragionevole sospetto e assicurarsi sempre di ciò che si sta facendo. Le persone più esposte sono certamente gli anziani e tutti coloro che non possiedono un minimo di conoscenza delle possibili truffe online, evidentemente un numero di potenziali vittime piuttosto ampio, altrimenti questo genere di attività illecite non esisterebbe più.

Il furto dei dati ormai è cosa fatta, meglio prenderne atto e gestire il problema con buon senso. Ecco dunque qualche situazione tipica che dovrebbe far risuonare un piccolo campanello d’allarme.

• Richieste cambio password non previste
• Richieste di accesso a siti dove inserire le proprie credenziali
• SMS con link interni da aprire
• SMS con richieste di portabilità non prevista
• SMS con richieste di cambio/sostituzione SIM non previsti
• SMS di accesso a servizi a cui non avete effettuato accessi recentemente
• Messaggi di controllo o notifica di attività (esempio Google)
• Disconnessione completa del telefono dalla rete dati e telefonica (SWAP in corso non richiesto)
• Richieste di conferma via sms per pagamenti o transazioni bancarie
• Telefonate insolite per presunti controlli delle forze dell’ordine

[embedded content]