Accesso alla posta elettronica? Basta un cellulare e un indirizzo e-mail! E la password?

Email-SMS taglio

Il 16 giugno scorso Symantec ha pubblicato sul suo blog un articolo dal titolo non certo entusiasmante: “Password recovery scam tricks users into handing over email account access”. Il contenuto dell’articolo infatti desta qualche preoccupazione: in poche parole è possibile utilizzare un espediente per guadagnare un accesso illecito alla posta elettronica di un utente conoscendo la sua e-mail e il suo numero di cellulare.

Ma cerchiamo di capirci qualcosa. I maggiori provider di servizi di posta elettronica come Google, Microsoft e Yahoo! (citati nell’articolo) hanno da tempo introdotto l’utilizzo del cellulare come ulteriore fattore di autenticazione.

Grazie a un SMS, infatti, il telefono è diventato uno strumento aggiuntivo e in alcuni casi alternativo per riconoscere un utente che accede al servizio. La verifica dell’identità avviene tramite l’inserimento di un codice ricevuto via SMS, codice che per ovvi motivi può conoscere esclusivamente chi ha a disposizione il telefono nel momento in cui il messaggio arriva.

Un malintenzionato che volesse rubare il codice di verifica avrebbe diverse alternative. Una, per esempio, è quella di impossessarsi del telefono della vittima, un’altra potrebbe essere quella di entrare nei sistemi del provider di telecomunicazioni e trovare il punto migliore per carpire il codice durante il processo di invio del messaggio SMS.

Entrambi i metodi sono sufficientemente complicati e ricordano un po’ i film di James Bond. Ma se invece si richiedesse il codice direttamente all’utente facendo finta di essere il provider di posta elettronica? Un vero e proprio barbatrucco!

In pratica i criminali richiedono un codice di accesso monouso attraverso il sito web della posta elettronica: il codice arriva via SMS al cellulare del malcapitato come se fosse una richiesta legittima.

A questo punto inizia l’attacco vero e proprio con un secondo SMS, inviato da un numero qualunque, nel quale si avvisa il destinatario di un tentativo di accesso non autorizzato alla sua e-mail. Nel testo del messaggio, i criminali dichiarano di essere il provider di posta elettronica e chiedono in risposta il codice di verifica appena inviato per inibire l’accesso non autorizzato.

Esempio fittizio di tentativo di attacco a un account Microsoft.
Esempio di tentativo di attacco a un account Microsoft.

Se la vittima invia il codice come richiesto, il gioco è fatto e l’account è compromesso.

Costo di tutta l’operazione? Un unico SMS. Competenze informatiche necessarie? Nessuna.

Nell’articolo di Symantec viene descritto lo sfruttamento di questo espediente per attaccare il processo di recupero password Google. Il motore di ricerca più famoso al mondo, infatti, usa un codice di verifica inviato tramite SMS per l’impostazione di una nuova password degli account dei suoi utenti.

Come difendersi? Intanto ricordiamo che l’accesso illecito alla posta elettronica è una violazione dell’articolo 616, commi 1 e 4 del c.p., punibile con il carcere. Tutti i provider di servizi di telefonia sono obbligati a registrare i dati anagrafici del proprietario per ciascun numero di cellulare. Questo significa che, almeno a posteriori, a fronte di una denuncia alle Autorità competenti è possibile risalire all’intestatario della SIM che invia il messaggio fasullo. Ma soprattutto, è importante ricordare che questi servizi di verifica tramite SMS non richiedono espressamente risposta o altri tipi di interazione, che non sia l’inserimento nell’apposito form di login. Si tratta di codici monouso che possono essere soltanto ricevuti e non devono essere inviati a nessuno.

La cosiddetta “ingegneria sociale” è come sempre la tecnica più semplice per violare un sistema informatico: si cerca di attaccare l’anello più debole della catena e nella sicurezza informatica, per quanto si possano rendere sicuri e complessi i sistemi di protezione, l’anello debole è l’essere umano. Per potersi difendere è quindi importante conoscere, e saper riconoscere, i pericoli di questa nuova giungla digitale.