Ho Mobile, tutti i rischi per gli utenti dopo il furto dati | Agenda Digitale

l'analisi

Ho Mobile, tutti i rischi per gli utenti dopo il furto dati

Non solo sim swap e danni economici. Ma anche email swap, furto di account, sostituzione di persona e truffe a terze parti

04 Gen 2021
Paolo Dal Checco

Consulente Informatico Forense

Alessandro Longo

Direttore agendadigitale.eu

Sono tanti e diversi i rischi che gli utenti ho mobile, nel furto confermato di dati, ora corrono. E non c’è solo il sim swap. Bene quindi fare chiarezza.

Cosa sappiamo del furto dati ho mobile

In breve ricordiamo che dal 22 dicembre è in vendita su dark web un pacchetto di dati di utenti ho mobile, operatore mobile di Vodafone, e frutto di un attacco hacker.

WHITEPAPER
Omnicanalità e mobile experience non sono la stessa cosa. Scopri le strategie di mobile marketing
Marketing
Mobility

Ho Mobile riferisce che solo parte degli utenti è coinvolto e li sta coinvolgendo. Non si sa quanti. A tutti offre comunque il cambio gratuito della sim ho mobile.

I dati rubati

Sappiamo che i dati rubati sono

  • nome, cognome,
  • numero di telefono,
  • codice fiscale,
  • email,
  • data e luogo di nascita,
  • nazionalità
  • indirizzo di domicilio
  • ICCID (Integrated Circuit Card-Identity) della SIM card.

Ma non sono stati rubati traffico telefonico, dati di pagamento.

Rischio sim swap

Per quanto riguarda i rischi che possono correre gli utenti i cui dati sono stati oggetto di leak, vi sono sicuramente diversi scenari.

Avere in mano sia i dati anagrafici (nome, cognome, numero di telefono, codice fiscale, email, data e luogo di nascita, nazionalità e indirizzo) sia quelli tecnici della SIM fornisce ai criminali un’arma di rilievo in particolare per l’aggregazione dei dati stessi.

Del sim swap molti hanno parlato. Sappiamo che con questi dati un criminale può tentare di ottenere una nuova sim, tramite un negozio di rivendita, e quindi ottenere il controllo di quel numero di telefono, intestato a quell’utente vittima del furto.

E così ottenere ad esempio le password “one time” che permettono di accedere a conto corrente, autorizzazione di pagamenti carta di credito, account digitali con autenticazione a due fattori. 

Ovviamente dovrà sfruttare credenziali “statiche” ottenute con precedenti hack (molto comune avere quelli delle carte di credito).

Sicuramente con i dati tecnici della SIM il rischio esiste, benché l’operatore tra le prime contromisure ha già detto di aver rafforzato la sicurezza del processo di rigenerazione/migrazione SIM.

Ho Mobile, cambio sim gratuito e altri consigli agli utenti dopo il furto dati

Rischio email swap

Così come per il SIM Swap, è ipotizzabile anche attacchi di Email Swap, giocando ad esempio sui DNS, tramite social engineering nei confronti dei provider o utilizzando password note dai precedenti data leak o simili, spostando quindi l’attenzione dall’utenza telefonica a quella di posta elettronica e poi da lì spostandosi in modo orizzontale in altri contesti come account di social network, PEC eccetera con il sistema recupero password via mail

Furto account e phishing anche a terze parti

Abbiamo poi tutti i rischi legati all’accesso ad account configurati tramite i dati (es. casella di posta, account Whatsapp o Telegram, social network, etc…) per i quali spesso è possibile ottenere recupero password fornendo informazioni legate all’utente (es. codice fiscale, email, cellulare, etc…).

Uno dei rischi sicuramente più concreti poi è il phishing: con una tale mole di dati aggregati in modo coerente, è facile ipotizzare truffe di ogni tipo, sia nei confronti dei clienti i cui dati sono stati oggetto di breach, sia nei confronti di terzi che possono venir truffati tramite quei dati, ad esempio con sostituzione di persona.

Le vittime, nel caso di phishing, sono chiaramente più spesso quelle meno attente alla propria sicurezza, i meno abituati al mondo digitale, che magari negli ultimi mesi a causa del covid si sono ritrovati a dover gestire conti bancari online, contratti, gestione patrimoniale o comunque ambienti che prima venivano gestiti fisicamente.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
@RIPRODUZIONE RISERVATA

Articolo 1 di 4