Mobile banking, un SMS per rubare l'identità
autore: Redazione InterTraders
11/06/2009
Chi usa il cellulare per navigare in Rete probabilmente avrà avuto la necessità
almeno una volta di configurarne le impostazioni di connessione a Internet.
Un'operazione che un tempo richiedeva non pochi fastidi e andava fatta
manualmente, ma che adesso viene gestita in automatico dai vari operatori di
telefonia mobile tramite l'invio di un SMS autoconfigurante.
In passato abbiamo discusso più volte del problema delle vulnerabilità che un cellulare può nascondere a chi fruisce di servizi di mobile banking, e l'attenzione si è incentrata prevalentemente sui rischi connessi all'utilizzo del Bluetooth o alla ricezione di SMS o MMS malevoli da parte di sconosciuti. Che anche gli SMS inviati dal nostro operatore di telefonia mobile potessero rappresentare un pericolo per la sicurezza dei nostri dati, era tuttavia uno scenario ancora difficile da immaginare, ma che da qualche tempo è diventato tutt'altro che irrealizzabile.
Lo scorso aprile nel corso dell'ultima Black Hat Security Conference (uno tra i più importanti eventi mondiali dedicati alla sicurezza informatica), tre esperti italiani: Cristofaro Mune, Roberto Gassirà e Roberto Piccirillo hanno dimostrato come l'invio di un SMS autoconfigurante da parte di un operatore di telefonia mobile possa in realtà essere sfruttato da un malintenzionato per intercettare i nostri dati di navigazione.
In sostanza la tecnica “malevola” consisterebbe nell'invio alla vittima di un SMS modificato ad arte, proveniente in apparenza dal proprio operatore di telefonia mobile ma spedito in realtà da un malintenzionato.
A messaggio ricevuto e a salvataggio delle impostazioni avvenuto (inserendo un codice PIN di conferma), il cellulare della vittima memorizzerebbe la configurazione “malevola” nella quale all'indirizzo IP originario del DNS fornito dall'operatore si sostituirebbe quello voluto dall'hacker di turno che farebbe da “ponte” con il primo.
Ciò, senza volutamente entrare nel tecnicismo, permetterebbe un “dirottamento” del traffico indirizzato al DNS dell'operatore verso il “ponte” realizzato dal malintenzionato, con la conseguenza che tutti i dati inviati dalla vittima e scambiati in rete verrebbero intercettati e monitorati dal terzo. Quest'ultima attività sarebbe stata dimostrata proprio dai tre esperti italiani con l'ausilio di un applicativo da loro realizzato, che permetterebbe la visualizzazione in tempo reale su un pc a parte dei siti visitati dal proprietario del telefonino tramite il dispositivo.
Si tratta indubbiamente di una tecnica particolarmente “letale” per la sicurezza della vittima e di cui -a oltre un mese- dalla rivelazione si continua a parlare in Rete.
Sebbene la sua efficacia abbia delle limitazioni, l'attenzione da parte dei maggiori esperti mondiali di sicurezza informatica è rivolta alla facilità con cui chi usa il telefonino per il mobile banking o per fare acquisti on line potrebbe subire un furto d'identità, e vedere le proprie credenziali di autenticazione o altri dati personali acquisiti illecitamente da terzi.
L'uso malevolo di SMS autoconfiguranti, infatti, non solo sarebbe alla portata degli hackers più inesperti, ma potrebbe rendere vano anche l'utilizzo sul telefonino di un eventuale software (antivirus o firewall che sia) finalizzato a garantire la sicurezza del dispositivo.
Nel filmato a seguire è possibile visionare la dimostrazione pratica della tecnica in esame con un SMS autoconfigurante di Vodafone Italia:
maggiori informazioni tecniche invece sono disponibili ai seguenti link:
Link 01
Link 02
Redazione InterTraders
In passato abbiamo discusso più volte del problema delle vulnerabilità che un cellulare può nascondere a chi fruisce di servizi di mobile banking, e l'attenzione si è incentrata prevalentemente sui rischi connessi all'utilizzo del Bluetooth o alla ricezione di SMS o MMS malevoli da parte di sconosciuti. Che anche gli SMS inviati dal nostro operatore di telefonia mobile potessero rappresentare un pericolo per la sicurezza dei nostri dati, era tuttavia uno scenario ancora difficile da immaginare, ma che da qualche tempo è diventato tutt'altro che irrealizzabile.
Lo scorso aprile nel corso dell'ultima Black Hat Security Conference (uno tra i più importanti eventi mondiali dedicati alla sicurezza informatica), tre esperti italiani: Cristofaro Mune, Roberto Gassirà e Roberto Piccirillo hanno dimostrato come l'invio di un SMS autoconfigurante da parte di un operatore di telefonia mobile possa in realtà essere sfruttato da un malintenzionato per intercettare i nostri dati di navigazione.
In sostanza la tecnica “malevola” consisterebbe nell'invio alla vittima di un SMS modificato ad arte, proveniente in apparenza dal proprio operatore di telefonia mobile ma spedito in realtà da un malintenzionato.
A messaggio ricevuto e a salvataggio delle impostazioni avvenuto (inserendo un codice PIN di conferma), il cellulare della vittima memorizzerebbe la configurazione “malevola” nella quale all'indirizzo IP originario del DNS fornito dall'operatore si sostituirebbe quello voluto dall'hacker di turno che farebbe da “ponte” con il primo.
Ciò, senza volutamente entrare nel tecnicismo, permetterebbe un “dirottamento” del traffico indirizzato al DNS dell'operatore verso il “ponte” realizzato dal malintenzionato, con la conseguenza che tutti i dati inviati dalla vittima e scambiati in rete verrebbero intercettati e monitorati dal terzo. Quest'ultima attività sarebbe stata dimostrata proprio dai tre esperti italiani con l'ausilio di un applicativo da loro realizzato, che permetterebbe la visualizzazione in tempo reale su un pc a parte dei siti visitati dal proprietario del telefonino tramite il dispositivo.
Si tratta indubbiamente di una tecnica particolarmente “letale” per la sicurezza della vittima e di cui -a oltre un mese- dalla rivelazione si continua a parlare in Rete.
Sebbene la sua efficacia abbia delle limitazioni, l'attenzione da parte dei maggiori esperti mondiali di sicurezza informatica è rivolta alla facilità con cui chi usa il telefonino per il mobile banking o per fare acquisti on line potrebbe subire un furto d'identità, e vedere le proprie credenziali di autenticazione o altri dati personali acquisiti illecitamente da terzi.
L'uso malevolo di SMS autoconfiguranti, infatti, non solo sarebbe alla portata degli hackers più inesperti, ma potrebbe rendere vano anche l'utilizzo sul telefonino di un eventuale software (antivirus o firewall che sia) finalizzato a garantire la sicurezza del dispositivo.
Nel filmato a seguire è possibile visionare la dimostrazione pratica della tecnica in esame con un SMS autoconfigurante di Vodafone Italia:
maggiori informazioni tecniche invece sono disponibili ai seguenti link:
Link 01
Link 02
Redazione InterTraders
Fonte: www.intertraders.eu
Stampato da International Traders - www.intertraders.eu © 2007-2012 - Leggere attentamente le Note Legali