ATTENZIONE: I cookies del tuo browser risultano disattivati o stai navigando in modalità anonima. Ciò potrebbe limitare alcune funzionalità del sito.
International Traders - L'altro volto dell'e-commerce
Martedì 21 Novembre 2017
Focus

Mobile banking, un SMS per rubare l'identità

Giovedì 11 Giugno 2009
autore: Redazione InterTraders
Chi usa il cellulare per navigare in Rete probabilmente avrà avuto la necessità almeno una volta di configurarne le impostazioni di connessione a Internet. Un'operazione che un tempo richiedeva non pochi fastidi e andava fatta manualmente, ma che adesso viene gestita in automatico dai vari operatori di telefonia mobile tramite l'invio di un SMS autoconfigurante.

In passato abbiamo discusso più volte del problema delle vulnerabilità che un cellulare può nascondere a chi fruisce di servizi di mobile banking, e l'attenzione si è incentrata prevalentemente sui rischi connessi all'utilizzo del Bluetooth o alla ricezione di SMS o MMS malevoli da parte di sconosciuti. Che anche gli SMS inviati dal nostro operatore di telefonia mobile potessero rappresentare un pericolo per la sicurezza dei nostri dati, era tuttavia uno scenario ancora difficile da immaginare, ma che da qualche tempo è diventato tutt'altro che irrealizzabile.

Lo scorso aprile nel corso dell'ultima Black Hat Security Conference (uno tra i più importanti eventi mondiali dedicati alla sicurezza informatica), tre esperti italiani: Cristofaro Mune, Roberto Gassirà e Roberto Piccirillo hanno dimostrato come l'invio di un SMS autoconfigurante da parte di un operatore di telefonia mobile possa in realtà essere sfruttato da un malintenzionato per intercettare i nostri dati di navigazione.

In sostanza la tecnica “malevola” consisterebbe nell'invio alla vittima di un SMS modificato ad arte, proveniente in apparenza dal proprio operatore di telefonia mobile ma spedito in realtà da un malintenzionato.
A messaggio ricevuto e a salvataggio delle impostazioni avvenuto (inserendo un codice PIN di conferma), il cellulare della vittima memorizzerebbe la configurazione “malevola” nella quale all'indirizzo IP originario del DNS fornito dall'operatore si sostituirebbe quello voluto dall'hacker di turno che farebbe da “ponte” con il primo.

Ciò, senza volutamente entrare nel tecnicismo, permetterebbe un “dirottamento” del traffico indirizzato al DNS dell'operatore verso il “ponte” realizzato dal malintenzionato, con la conseguenza che tutti i dati inviati dalla vittima e scambiati in rete verrebbero intercettati e monitorati dal terzo. Quest'ultima attività sarebbe stata dimostrata proprio dai tre esperti italiani con l'ausilio di un applicativo da loro realizzato, che permetterebbe la visualizzazione in tempo reale su un pc a parte dei siti visitati dal proprietario del telefonino tramite il dispositivo.

Si tratta indubbiamente di una tecnica particolarmente “letale” per la sicurezza della vittima e di cui -a oltre un mese- dalla rivelazione si continua a parlare in Rete.
Sebbene la sua efficacia abbia delle limitazioni, l'attenzione da parte dei maggiori esperti mondiali di sicurezza informatica è rivolta alla facilità con cui chi usa il telefonino per il mobile banking o per fare acquisti on line potrebbe subire un furto d'identità, e vedere le proprie credenziali di autenticazione o altri dati personali acquisiti illecitamente da terzi.
L'uso malevolo di SMS autoconfiguranti, infatti, non solo sarebbe alla portata degli hackers più inesperti, ma potrebbe rendere vano anche l'utilizzo sul telefonino di un eventuale software (antivirus o firewall che sia) finalizzato a garantire la sicurezza del dispositivo.

Nel filmato a seguire è possibile visionare la dimostrazione pratica della tecnica in esame con un SMS autoconfigurante di Vodafone Italia:



maggiori informazioni tecniche invece sono disponibili ai seguenti link:

Link 01

Link 02

Redazione InterTraders


Hai bisogno di assistenza legale specifica su questa tematica o su argomenti simili legati a Internet?

Se sì, ti invitiamo a consultare le seguenti sezioni direttamente sul sito dello Studio Legale Massa:

In alternativa, puoi contattare direttamente lo Studio ai recapiti indicati nell'apposita sezione "CONTATTACI" (l'assistenza prestata non è gratuita).


Segnala
Stampa
Scroll Up
Home
Inserisci un commento...
Commento:
Scegli il tuo avatar:


Nome:
Indirizzo e-mail: (non obbligatorio)
(Digita il tuo indirizzo e-mail solo se desideri ricevere notifiche sugli altri commenti a questa notizia. E' sufficiente digitare l'indirizzo una sola volta. Con il suo inserimento dichiari di aver letto l'informativa a seguire e di aver espresso il tuo consenso.)
DAMMI UNA NUOVA IDENTITA'
Codice di verifica antispam:
acb*e

Riscrivi nel box sovrastante la parola in rosso che vedi alla sua sinistra, sostituendo l'asterisco * con la lettera d - (Per es. se la parola è ab*dh digita abddh)

InterTraders CommentSys v.2.0
| Ultimi commenti |
sara in Escrow truffaldini, come riconoscerli ed evitarli....
"manuela1966garcia@gmail.com questa è la nuova email di questo fantomatico chirurgo ma sta volta è una donna e si chiama manuela Garcia per un appartamento..."

Ciro in Il corriere non consegna la merce: chi ci deve risarcire?...
"salve, ho utilizzato piu volte il servizio di spedizioni "spedirecomodo.it" mi sono sempre trovato bene, fino a quando mi e successa una cosa inusuale, eff..."

Marta in La truffa dei cuccioli sbarca nel Bel Paese, le puppy scams anche in I...
"NON ABBIATE A CHE FARE CON martinakurts33@gmail.com E l agenzia con il quale vi mette in contatto. Purtroppo ha molti annunci online e non saprei come den..."

roberto in Il corriere non consegna la merce: chi ci deve risarcire?...
"ESPOSIZIONE DEI FATTI CORRIERE SDA / NEXIVE. Dopo avere stipulato abbonamento con Mediaset Premium e richiesto dispositivo a comodato d'uso gratuito chiama..."
Le più lette
InterTraders è un sito curato dallo Studio Legale Massa © 2007-2017 All Rights Reserved
InterTraders Core v6.0 - Link Informativa estesa sui cookies