In un articolo su Medium Sean Coons ci racconta come ha perso centomila Dollari con un attacco basato sul furto del proprio numero di telefono. Ho raccontato un po’ la storia e ho aggiunto alcune mie considerazioni importanti sulla sicurezza degli account.
Sotto alle note c’è tutto lo script della puntata.
Pillole di Bit (https://www.pilloledib.it/) è un podcast indipendente realizzato da Francesco Tucci, se vuoi metterti con contatto con me puoi scegliere tra diverse piattaforme:
– Telegram (o anche solo il canale dedicato solo ai commenti delle puntate)
– TikTok (per ora è un esperimento)
– Twitter
– BlueSky
– Il mio blog personale ilTucci.com
– Il mio canale telegram personale Le Cose
– Mastodon personale
– Mastodon del podcast
– la mail (se mi vuoi scrivere in modo diretto e vuoi avere più spazio per il tuo messaggio)
Rispondo sempre
Se questo podcast ti piace, puoi contribuire alla sue realizzazione!
Con una donazione diretta:
– Singola con Satispay
– Singola o ricorrente con Paypal
Usando i link sponsorizzati
– Con un acquisto su Amazon (accedi a questo link e metti le cose che vuoi nel carrello)
– Attivando uno dei servizi di Ehiweb
– Iscrivendoti a FiscoZen, se hai la Partita IVA (prima consulenza gratuita e 50€ di sconto sul primo anno)
Se hai donato più di 5€ ricordati di compilare il form per ricevere i gadget!
Il sito è gentilmente hostato da ThirdEye (scrivete a domini AT thirdeye.it), un ottimo servizio che vi consiglio caldamente e il podcast è montato con gioia con PODucer, un software per Mac di Alex Raccuglia
Nella puntata di oggi voglio raccontarvi una storiella, che proprio storiella non è perché coinvolge una persona vera che ha perso circa centomila dollari in criptovaluta.
Ve la racconto perché Sean l’ha resa pubblica e l’ha raccontata con dovizia di particolari su Medium.
Trovate tutto l’articolo al link che vi lascerò nelle note dell’episodio.
Vi ricordo, inoltre, che sul sito del podcast www.pilloledib.it trovate tutto lo script della puntata che state ascoltando.
Ma iniziamo a raccontare cosa è successo.
L’attacco si basa sulla conoscenza di alcune informazioni della persona che si vuole attaccare. Nello specifico la sua mail principale e il suo numero di cellulare, che viene solitamente usato dai servizi di posta elettronica per fare il reset della password.
– Hei, ho scordato la password!
– Ti invio un codice sul cellulare, lo inserisci in questa casella e ti faccio fare il reset
Alcune attività che vi racconterò in Italia non sono possibili, normalmente. Per avere una nuova SIM di solito serve andare di persona e con un documento.
Ma non vi anticipo nulla.
Giorno 1 alle ore 22
Mentre guarda il calendario per i giorni seguenti Sean si accorge che il telefono non ha più campo e pensa che sia un problema di copertura
Il cattivo invece ha fatto un lavoro interessante. E’ andato in un negozio del gestore telefonico ed è riuscito a ottenere una nuova SIM collegata al numero di telefono di Sean, magari con la scusa “l’ho persa e devo farne un’altra”.
La SIM di Sean risulta quindi disattivata
In Italia questa cosa solitamente è fattibile solo con la presentazione di un documento, la denuncia e il blocco della SIM richiesto all’operatore, ma da racconti che ho sentito da contatti vari, farsela cambiare pare essere molto più facile.
Andiamo avanti
Giorno 1 alle 22:05
Sean riceve una notifica che qualcuno ha fatto accesso alla sua casella di posta, non ci dà peso perché pensa che il problema sia collegato al problema della copertura del cellulare.
Questa è una disattenzione molto grave.
Cerca allora di accedere alla sua casella di posta e Google lo informa che la password è stata cambiata da poco.
Segue la seconda disattenzione molto grave.
Sean non ci dà peso e va a dormire
Cosa ha fatto il cattivo?
Una volta entrato in possesso del numero di telefono di Sean ha chiesto a Google il reset password, gli ha fornito il numero esatto e google gli ha dato l’autorizzazione a cambiare password, l’ha cambiata ed è entrato nella casella di posta, o meglio, forse peggio, nell’account Gmail di Sean.
Piccola pausa e una riflessione.
In molti hanno una casella di posta Google e dentro ci si può trovare un sacco di roba e informazioni interessanti:
Mail e relazioni con persone e aziende
File personali di vario genere, dal fiscale, al professionale al sanitario
Fotografie, magari imbarazzanti, se viste da terzi
Cronologia delle ricerche e navigazione su Internet
Cronologia delle posizioni degli ultimi mesi
Accesso alla possibilità di fare reset di tutti i servizi che sono stati registrati con quella mail o ad accedervi, se si è fatto accesso con “accedi con google” su altri siti.
Bene, continuiamo
Sean dorme.
L’attaccante inizia le procedure per cambiare la password all’account di Coinbase, dove Sean tiene i suoi soldi.
Il reset password è inviato via mail con un link che diventerà attivo 24h più tardi
L’attaccante si salva tutte le informazioni e cancella le mail della procedura di reset password di Coinbase, poi va a dormire pure lui.
Giorno 2 al mattino
Sean si reca presso un negozio del suo operatore, chiede come mai non c’è campo e l’addetto gli dice che c’è qualcosa che non va nella SIM, quindi gliela cambia e gli riassegna il numero.
Qui la cosa è strana, è possibile che l’operatore non si sia accorto che il numero di telefono fosse associato a un CCID (il seriale della SIM) diverso da quello della SIM che gli ha portato Sean?
Intanto Sean è contento, ha di nuovo il suo telefono e può fare il reset della password della mail di Google, usando il suo telefono.
Non vede le mail che il cattivo ha generato la notte prima perché sono state cancellate.
Se avesse fatto accesso al pannello di controllo dell’account Google si sarebbe accorto che c’è stato un cambio password, con molti dettagli interessanti.
Negli eventi relativi alla sicurezza del proprio account Google ci sono le informazioni di cosa è stato fatto, quando, da dove e da che indirizzo IP.
Passa la giornata in modo tranquillo.
Giorno 2 ore 22
Succede la stessa cosa della sera prima, il telefono non ha più campo della rete cellulare e ha la notifica del cambio password dell’account di Google.
Sean è stanco e crede, con disappunto, che la SIM che gli hanno dato è difettosa.
Infastidito si addormenta.
Il Cattivo invece ha preso nuovamente il controllo della SIM e del suo account Gmail esattamente come la sera prima.
Il link di reset password di Coinbase adesso è valido, quindi può fare il reset password, accedere al conto e fare tutto quello che gli pare.
Gli ha portato via centomila dollari.
Non due spicci: centomila dollari
Giorno 3 al mattino
Sean va di nuovo al centro del suo operatore per sistemare la questione della SIM.
L’operatore fa difficoltà ad accedere al suo utente del gestore mobile e chiede a Sean se fosse stato in Nevada la notte prima.
Ecco.
Adesso scatta l’allarme e il panico. Il suo numero è stato usato in uno stato diverso da quello dove risiede.
Sean cerca di accedere al suo wallet su coinbase e la sessione non risulta più valida. Spera che davvero non sia successo nulla.
Contatta il supporto di Coinbase e scopre che purtroppo qualcuno ha fatto il reset della password, ha fatto accesso, ha spostato tutto su vari wallet al di fuori del server di Coinbase, quindi ormai sono soldi irrintracciabili.
Tanta stima per Sean, io non so se avrei avuto il coraggio di esporre la mia storia in questo modo su Medium, però lo ha fatto a fin di bene, per noi.
Questa triste cosa porta a pensare come mettere in sicurezza la propria vita online, cercando di saper capire alcuni segnali come un allarme pericoloso, che non può essere affrontato il giorno dopo.
La prima lezione è che, genericamente, l’autenticazione a due fattori fatta sul numero di cellulare non è sicura. Come già detto nella puntata 59, l’autenticazione a 2 fattori è scomoda, ma è necessaria. Perdere la segretezza della propria password è troppo facile, doverla verificare con un dispositivo che si ha in tasca è molto più sicuro. Quindi non con un SMS, ma con un’app tipo Google Authenticator.
In America è possibile avere un numero di cellulare virtuale, in grado di ricevere SMS, ma non vincolato ad una SIM, impedisce che sia passato da una SIM all’altra.
Al momento, che io sappia, non è possibile farlo con un numero italiano.
Ovviamente la sicurezza garantita dall’app perde ogni valore se non bloccate il telefono con un PIN di almeno 6 cifre.
Ricordatevi sempre di stamparvi il foglietto con le password di recupero o, in alternativa, di stamparvi il QR code che vi è servito per attivare l’app.
Questa cosa del QRcode l’ho imparata da Fabrizio Carimati su Twitter, non la sapevo.
La seconda cosa importante è che se avete una notifica di un cambio password o accesso alla vostra mail che non state facendo voi in quel momento, è il caso di interrompere OGNI attività (nello script OGNI è maiuscolo, va enfatizzato) per capire cosa è successo.
Anche se è la sera tardi. Una notifica di questo tipo è importantissima e va sempre considerata con attenzione.
Un buon consiglio è quello di avere una mail che usate per le attività e le relazioni normali e un’altra, sconosciuta a chiunque, magari difficile da ricordare, che usate per registrarvi ai vari servizi su Internet.
In questo modo per potervi rubare l’accesso, l’attaccante deve conoscere entrambi gli account.
Io non faccio così, ma è una buona idea!
Qui non sono esperto, ma credo che avere centomila dollari di criptovalute, che oggi ne valgono centomila, domani ventimila e dopodomani centocinquantamila, su un servizio online è è una scelta alquanto avventata.
Si possono tenere dei wallet offline in tutta sicurezza, a meno che non si perda il foglietto o qualcuno ce lo rubi dalla cassaforte.
Sono andato a vedere sulla pagina di Coinbase relativa al reset password e pare che le politiche adesso siano cambiate.
Per fare il reset è necessario fare la richiesta da un dispositivo sul quale l’account sia già utilizzato o da un IP dal quale ci si sia già collegati a Coinbase.
Nel caso che vi ho raccontato, se queste cose fossero state attive, tutta la procedura non sarebbe stata possibile.
Un attacco simile, quindi, in teoria, adesso non sarebbe più possibile. Ma ricordate sempre che il Cattivo è sempre all’erta ed è sempre pronto a cercare di infilarvi le mani nel portafogli o di crearvi qualche danno, del quale si compiacerà con gli altri suoi amici cattivi.
I contatti
Vi ricordo, come sempre, che trovate tutte le informazioni e i contatti relativi a questo podcast sul sito pillole di bit con il punto prima dell’IT, trovate le note dell’episodio e i link per le donazioni, che sono sempre bene accette e mi danno un grande aiuto a tirare avanti con il podcast.
Da un po’ di puntate a questa parte c’è anche l’intero script della puntata, se ve lo volete rileggere per riferimento.
Il metodo più facile per comunicare con me è entrare nel gruppo telegram del podcast, una piccola community di un centinaio di persone, si accede da www punto pilloledibit con il punto prima dell’it barra telegram.
C’è una novità, ho anche attivato un server Discord, con un sacco di stanze tematiche dove si può discutere degli argomenti del podcast, proporre cose nuove e chiedere informazioni. C’è anche un canale dedicato a chi ha contribuito economicamente al podcast, se avete fatto una donazione, iscrivetevi e ditemi chi siete, così vi aggiungo. Come si arriva? www punto pilloledibit col punto prima dell’it barra discord
Se volete gli adesivi c’è un form da compilare con i vostri dati e a fronte di una donazione, ve li spedisco a casa. Per chi li sta aspettando, non disperate, spedisco tutto entro la settimana, scusate per il ritardo.
Ho altri due podcast, uno molto più nerd: geekcookies, lo trovate sul www. geekcooki. es
L’altro non è tecnologico, parla di Torino, la città dove vivo da sempre.
Lo trovate sul sito www punto iltucci punto com barra a torino tutto attaccato.
Il tip
Abbiamo parlato di servizi Google, forse non tutti sanno che è possibile fare un sacco di cose sulle caratteristiche del proprio account Google, semplicemente accedendo a myaccount.google.com
Da qui si possono fare le cose di base come cambiare la password o attivare l’autenticazione a due fattori, ma è anche possibile fare molte altre attività interessanti. Qui una lista sicuramente non esaustiva
Vedere e modificare le cronologia e di ricerca, posizione, youtube
Chiedere gli archivi per scaricare tutti i contenuti all’interno dell’account. per backup o perché si vuole chiudere
Vedere quante applicazioni siti hanno accesso al login con Google
Localizzare, resettare e bloccare i propri dispositivi
Vedere tutte le attività relative alla sicurezza
E ancora molto altro. Vi consiglio vivamente di accedere e di farci un giro per capire tutto quello che potete personalizzare.