A rischio i conti correnti degli utenti che potrebbero essere svuotati con la tecnica della SIM Swap. Tra i dati personali rubati c’è anche codice fiscale, numero di telefono e codice ICCID della SIM. Una ghiottoneria per cyber criminali e truffatori di ogni tipo.
La notizia
A dare la notizia è stato il sito di sicurezza informatica Bank Security tramite la piattaforma Twitter.
Bank Security sostiene che qualcuno sta vendendo, nel mercato nero dell’informatica, il Dark Web, un intero database di clienti di Ho Mobile, il provider italiano di servizi telefonia mobile controllato da Vodafone Italia. Bank Security, inoltre, è entrata in possesso di un campione di 10 records del database come prova dell’avvenuto furto.
Da questo campione si evince la tipologia di dati presenti del database:
- Codice fiscale
- Numero di telefono
- SIM Iccid
- Indirizzo
- Città
- Ect…..
L’elenco complete è visibile qui: https://pastebin.com/PPdr45Y1.
Lore, un altro utente di Twitter, dice nel suo post di aver contattato, intorno alle 18.00 di ieri, le 10 persone coinvolte nel dump del
database che gli hanno confermato di essere i legittimi proprietari e di aver provveduto a cambiare gestore.
Lorenzo Romani, anche lui su Twitter scrive di essere riuscito a trovare il darkweb market dove sono venduti i dati dei clienti Ho-Mobile e di aver verificato che diversi contatti pubblicati come prova della compromissione sono reali e corrispondenti alle identità riportate.
Tommaso Felici, nel suo blog, dice di aver parlato con l’autore dell’attacco e posta screenshot della chat con il ladro.
Come può essere avvenuta l’esfiltrazione dei dati.
In risposta al Tweet di Bank Security, Re-solver, un Malware Analyst e Reverse Engineer, risponde che non è sorpreso dalla notizia in quanto il sistema di accesso di HO Mobile è debole ed in un articolo sul suo blog spiega le possibili vulnerabilità del sistema.
Guglielmo Crotti, nel suo blog AppElmo, dice di aver intervistato non l’hacker ma il rivenditore dei database, ossia l’amministratore del forum all’interno del quale sono stati pubblicati i dati identificati dagli screenshot condivisi su Twitter da Bank Security.
Il fantomatico personaggio, soprannominato Federico, si è dimostrato molto accondiscendente e gentile e non ha avuto problemi ad ammettere il suo coinvolgimento nel presunto data breach di HO Mobile.
Alla domanda “Perché HO Mobile negherebbe l’evidenza se il furto è effettivamente avvenuto“, Federico risponde che è difficile che possano trovare prove del data breach perchè, dice, “Le cose le facciamo meticolosamente“.
La risposta di Ho Mobile
Nel frattempo però sul sito di Ho Mobile tutto tace. Solo ieri si sono degnati di pubblicare sul loro profilo Facebook (https://www.facebook.com/homobile/) due righe per avvisare i clienti :
Con riferimento ad alcuni indiscrezioni pubblicate da organi di stampa, ho.mobile non ha evidenze di accessi massivi ai propri sistemi informatici che abbiano messo a repentaglio i dati della customer base.
Abbiamo avviato in collaborazione con le autorità investigative le indagini per ulteriori approfondimenti.
Ho ammette il furto (aggiornamento al 04/01/2021 in fondo alla pagina)
I rischi per gli utenti Ho Mobile
Se il data breach fosse confermato, il rischio che corrono gli utenti coinvolti è di rimanere vittime di frodi informatiche di tipo SIM swapping ed essere oggetto di attività di phishing già dalle prossime ore.
Come funziona la frode SIM Swap.
Dopo l’entrata in vigore della direttiva PSD2, riguardante la sicurezza dei pagamenti online, è diventata necessaria l’autenticazione a due fattori. In pratica per poter accedere al conto corrente online occorre essere in possesso di codice utente e password (e questo è il primo fattore) e di un token, che viene inviato dalla banca tramite SMS sul proprio numero di telefono (e questo è il secondo fattore).
La frode parte, come molte altre frodi, dal furto di identità online tramite tecniche di phishing, malware, dark web o ricerche sui social media (sul vostro profilo Facebook ci sono molte informazioni rilevanti per esempio).
Vediamo come potrebbe avvenire una SIM Swap.
Ti arriva una mail in cui il truffatore si spaccia per il tuo istituto di credito. Nella mail ti scrivono che c’è un problema sul tuo conto corrente e t’invitano a cliccare sul link presente sulla stessa mail. Cliccando sul link verrai reindirizzato su un sito clone perfettamente identico a quello della tua banca (solo nella homepage). A questo punto, inconsapevole della truffa in corso, digiterai i tuoi dati personali tra cui User ID, password e numero di telefono.
Il truffatore, una volta venuto in possesso di questi dati, chiede la sostituzione della SIM recandosi presso gli esercizi commerciali dell’operatore telefonico.
A questo punto il cybercriminale avendo User ID, password e telefono può operare con la tua identità e quindi collegarsi al conto bancario e ricevere sms al tuo posto.
Come tutelarsi
- Visto il furto ed i comportamento dell’azienda è opportuno cambiare immediatamente operatore telefonico.
- Scollegare il numero di telefono da tutti gli account online (Amazon, Facebook ecc…), e dai conti correnti bancari.
- Diffidare delle e-mail. Le banche non chiedono mai la conferma di dati personali tramite e-mail ma contattano i propri clienti direttamente per tutte le operazioni riservate.
- Se ricevete una e-mail di questo tipo recatevi personalmente presso la vostra banca.
- Se credete che l´e-mail di richiesta informazione sia autentica, diffidate comunque del link presente in questa, collegatevi al sito della banca che l´ha inviata digitando l´ indirizzo internet, a voi noto, direttamente nel browser.
- Verificate sempre che nei siti web dove bisogna immettere dati (account, password, numero di carta di credito, altri dati personali), la trasmissione degli stessi avvenga con protocollo cifrato https (HyperText Transfer Protocol over Secure Socket).
- Controllate, durante la navigazione in Internet, che l´indirizzo URL sia quello del sito che si vuole visitare, e non un sito “copia”, creato per carpire dati.
- Controllate che, posizionando il puntatore del mouse sul link presente nell´ e-mail, in basso a sinistra del monitor del computer, appaia l´ indirizzo Internet del sito indicato, e non uno diverso.
- Diffidare di qualsiasi richiesta insolita, mai comunicare le proprie credenziali e non aprire i link sospetti.
Leggi anche: Come ti rubo la password e come proteggersi
Aggiornamento al 04/01/2021.
Finalmente HO ammesso di aver subito un data breach (vedi qui https://www.ho-mobile.it/comunicazione) ma non solo, i signorini si sono pure risentiti delle informazioni che abbiamo pubblicato definendole “diversi fenomeni speculativi sui social network” invitando i loro clienti ad utilizzare i canali ufficiali quando, è qui ci vuole una bella risata, sono proprio i loro canali “ufficiali” che hanno nascosto per giorni la verità ai clienti.
Insulsa comunicazione
La comunicazione con i propri utenti è stata davvero fallimentare e indegna.
Tanto per iniziare HO non ha ammesso di aver sbagliato, non ha chiesto pubblicamente scusa nè, tantomeno, ha specificato quali saranno le nuove misure che prenderà.
Al contrario ha minimizzato il furto dicendo che in fin dei conti hanno rubato solo i tuoi “dati anagrafici” e per di più ribalta la frittata asserendo che la colpa non è loro bensì del COVID19 che ha intensificato i crimini informatici.
Da nessuna parte si riscontra un’assunzione di responsabilità ma solo attività a scaricabarile.
Questo denota una totale mancanza di rispetto per il CLIENTE.
E intanto pare che il phishing continui.