Vai al contenuto

Furto dati ho. Mobile: cosa fare

homobile furto dati
Tempo di lettura - 6 minuti

Terminali intasati e sostituzione della SIM praticamente impossibile. Questa l’impasse che si trovano a vivere in questi giorni i clienti dell’operatore telefonico ho. Mobile (spin-off di Vodafone). Lasciati soli dopo essere stati avvisati del furto di dati subito dall’azienda (Data Breach).

Facciamo un passo indietro. Tutto ha avuto inizio lo scorso 28 dicembre quando è stato pubblicato un tweet in cui si indicava che i dati di 2,5 milioni di utenti italiani erano stati rubati all’operatore telefonico e si trovavano disponibili nel Dark Web.

Per dare evidenza di quanto dichiarato, ad accompagnare il tweet uno screenshot (istantanea della schermata) di un annuncio presente su un forum del Dark Web (datato 22 dicembre) in cui vengono messi in vendita nomi, numeri di telefono, indirizzi email e codici dei clienti.

Tutte informazioni che, come anche indicato nell’annuncio, potrebbero essere utilizzate per clonare le schede SIM dell’operatore telefonico.

Segue subito una smentita dell’azienda, a mezzo comunicato stampa, e hanno inizio le indagini:

«Con riferimento ad alcune indiscrezioni pubblicate da organi di stampa, ho.mobile non ha evidenze di accessi massivi ai propri sistemi informatici che abbiano messo a repentaglio i dati della customer base. Abbiamo avviato in collaborazione con le autorità investigative le indagini per ulteriori approfondimenti»

Passa un’altra settimana e finalmente arriva la conferma ufficiale.

L’azienda, come previsto dal Regolamento Generale sulla protezione dei dati (GDPR), provvede ad informare il Garante per la Privacy e tutti i cittadini coinvolti.

L’SMS che hanno ricevuto i clienti

Era lo scorso 4 gennaio quando un numero imprecisato di clienti di ho. Mobile riceve un SMS in cui l’azienda conferma che i dati gli sono stati sottratti illegalmente.

E quell’SMS, con l’analoga comunicazione sul sito ufficiale, sono sole notizie disponibili.

L’azienda dedica le prime righe alle giustificazioni. Dai più ritenute inaccettabili e rappresentative di un inspiegato immobilismo:

«Purtroppo anche ho. Mobile, come numerose altre aziende, è rimasta vittima di attacchi informatici che si sono intensificati e accelerati durante la pandemia» 

Seguono alcune precisazioni in merito ai dati sottratti:

«è stata sottratta illegalmente una parte dei tuoi dati con riferimento SOLO ai dati anagrafici e ai dati tecnici della SIM. Non c’è stata alcuna sottrazione di dati di traffico (telefonate, SMS, attività web, etc.) né di dati bancari o relativi ai tuoi sistemi di pagamento»

Infine viene lasciata la possibilità di sostituire gratuitamente la SIM nei punti vendita autorizzati.

homobile sms furto dati

I punti vendita autorizzati sono presi subito d’assalto e in alcune situazioni sono dovute intervenire le forza dell’ordine.

Le SIM non sono disponibili, i terminali sono intasati e l’assistenza non risponde.

Troppi gli interrogativi che da subito, e ancora oggi, non hanno risposta e che non si limitano alle poche FAQ, costantemente aggiornate, disponibili nella comunicazione presente sul sito ufficiale.

La situazione, al passare dei giorni, non migliora. Nullo il supporto ai clienti che, continuando a rivolgendosi ai rivenditori autorizzati, non hanno ancora trovato una soluzione al problema in cui si sono trovati involontariamente coinvolti.

Tutti motivi, più che leciti, che stanno portando molti clienti a cambiare operatore telefonico.

Volendo sorvolare sull’importanza di un piano di comunicazione di crisi (aihmè questo sconosciuto) e di gestione dell’emergenza cerchiamo di capire quali sono i possibili rischi e cosa poter fare nel frattempo.

I possibili rischi del furto dati alla ho. Mobile

I “dati tecnici della SIM” menzionati nella comunicazione è il ICCID, il codice internazionale di 19 cifre che identifica in maniera univoca la SIM.

Quello che, insieme a un documento di identità e la SIM da sostituire (o una denuncia in caso di furto o smarrimento), deve essere fornito ad esempio quando si vuole cambiare operatore o chiedere la sostituzione della SIM.

La paventata truffa di SIM Swapping è quando qualcuno prende possesso, in modo fraudolento, del numero di telefono del legittimo proprietario.

Una truffa che esiste da anni e che ha registrato un’impennata con i servizi di home banking.

Se a questa truffa si abbinano tecniche di social engineering, che fanno leva sulle debolezze umane, un malintenzionato potrebbe indurre:

  • la vittima a fornire informazioni come user e password di un proprio account (ad esempio facendolo cadere nella trappola del phishing con quei link tanto accattivanti veicolati tramite mail, chat o sms su cui, nella fretta, clickiamo per fornire le user e password richieste);
  • un operatore di telefonia mobile a emettere una nuova SIM card in sostituzione di un’altra pur non avendo tutte le informazioni e i documenti previsti dalla procedura oppure distraendolo affinché non si renda conto che i documenti presentati (documento di identità, SIM o denuncia) sono falsi.

Mentre nel primo caso è indispensabile la nostra attenzione ed educazione digitale, nel secondo caso gli operatori telefonici e i rivenditori dovranno sicuramente rafforzare la procedura di riconoscimento di una persona e dei documenti presentati.

Tornando alla truffa, se il frodatore riuscisse in tutto questo, la vittima, da un momento all’altro, si troverà senza segnale sul suo smartphone.

Con il numero comunque attivo e in possesso del frodatore.

Quello stesso numero dove la vittima ha richiesto l’invio degli SMS con il codice temporaneo (One-time password, OTP) necessario per l’autenticazione a un servizio online.

Che ora il frodatore potrà utilizzare in fase di login insieme alla user e password.

Credenziali, quest’ultime, carpite alla vittima tramite la tecnica di phishing, sopra menzionata, o acquistate nel Dark Web a seguito di un furto di dati (non cambiate nel frattempo dalla vittima).

Con questo furto di dati aumenta purtroppo anche il rischio di sostituzione di persona, furto d’identità e truffe a danni di terzi .

Dati che in realtà lasciamo online, spesso inconsapevolmente, e non sono in possesso solo di ho. Mobile.

Qualche consiglio

Se non si è già passati a un altro operatore, in attesa di poter sostituire la propria SIM ecco qualche consiglio:

  • non fornire mai informazioni come user e password se non dalla pagina web o app ufficiale del servizio a cui si vuole accedere;
  • se possibile, non usare il numero di telefono per processi di autenticazione a due fattori (A2F) o cambiare il numero di telefono da utilizzare. Se possibile modificare la configurazione di questa funzionalità impostando l’utilizzo delle app, con l’autorizzazione fornita direttamente da una della applicazioni installate in memoria (la stessa app della banca, Google Authenticator o Authy) oppure dei dati biometrici;
  • abilitare, se non già fatto, la protezione con il secondo fattore di autenticazione agli strumenti d’instant messaging (come WhatsApp, Telegram, Messenger);
  • cambiare l’indirizzo e-mail presente sul proprio account ho. Mobile creando differenze tra i dati rubati e quelli nella realtà;
  • verificare che l’utilizzo del numero di telefono non sia l’unico sistema di recupero credenziali di servizi quali ad esempio PayPal, Amazon, app bancaria;
  • accertarsi di avere accesso immediato alla procedura da seguire per bloccare l’accesso ai propri account (compreso home banking, servizi di pagamento online e carte di credito).

Cosa abbiamo imparato dal furto dati alla ho. Mobile

Il furto di dati in un’azienda non è più un’ipotesi e infatti la domanda che le aziende dovrebbe porsi non è tanto “se” bensì “quando”. 

Come anche dimostra questo ennesimo caso, purtroppo, gli investimenti in Sicurezza Informatica vengono fatti solo quando se ne resta vittime.

Vedremo dunque quali azioni intraprenderà il Garante per la Privacy e l’azienda nei confronti delle vittime. 

homobile pubblicita

Da subito, e giustamente, la preoccupazione è nei confronti dei dati bancari forniti per poter fare pagamenti online tramite smartphone (come ad esempio le autoricariche con l’operatore telefonico) o di veder facilitato un eventuale accesso fraudolento al proprio servizio di home banking.

Se da una parte il Governo incentiva i pagamenti digitali con il progetto Cashback dall’altra casi come questi ci fanno rendere conto che la sicurezza online è ancora delegata a sistemi di autenticazione fragili.

Lo scorso 31 dicembre 2020, con un ritardo di oltre un anno, è entrata in vigore la Strong customer authentication (SCA) per gli e-commerce, uno dei pilastri della seconda direttiva europea sui servizi di pagamento (PSD2), che ha come obiettivo quello di accertare l’identità del consumatore, riducendo così le frodi e rendendo più sicuri i pagamenti online.

Tra le soluzioni previste quella che rappresenta la best practice per l’autenticazione è sicuramente l’utilizzo dell’app (nel caso di pagamenti la app della banca) in combinazione con sistemi di autenticazione biometrici.

Ma la realtà ci mostra che siamo ancora lontani.

Purtroppo non tutti dispongono ancora di uno smartphone di ultima generazione con sistemi biometrici nativamente integrati oppure ancora pochi utilizzano la app come secondo fattore di autenticazione.

Ecco perché sentiremo ancora parlare della fragilità nell’utilizzare password, PIN e OTP ricevuti via SMS.

[AGGIORNAMENTO del 9 Gennaio 2021: Gli utenti coinvolti nel furto di dati di ho. Mobile stanno ricevendo un SMS informativo dall’azienda che indica che è stato rigenerato il codice seriale della SIM (ICCID) e lo si potrà conoscere inviando un SMS dal numero di telefono coinvolto al +39 3424072211.

Tale codice sostituisce quello stampato sulla SIM, oggetto dell’attività illecita, che dunque non avrà più alcun valore. Non più necessaria la sostituzione della SIM (che potrà comunque essere richiesta presso i rivenditori autorizzati se lo si desidera).

Per quanto riguarda i dati anagrafici rubati c’è ben poco da fare. ho. Mobile ha comunque ribadito la sua collaborazione con le Autorità giudiziarie e con il Garante della Privacy.

Il consiglio è di richiedere e memorizzare il nuovo seriale per eventuali necessità future]

homobile sms codice seriale

Immagini collegate:

Antonella Bruzzone

Antonella Bruzzone

Founder del blog ConsapevolMente Connessi, Ingegnere Informatico appassionata di CyberSecurity approdata da qualche anno al Coaching. Un mix di competenze che sa farmi apprezzare le opportunità offerte dalla trasformazione digitale in cui viviamo, ben consapevole dei rischi insiti in essa. Perché la onlife è come un salto con lo skateboard: potresti cadere, lo sai, ma è altrettanto vero che, con la giusta guida, potresti imparare a chiudere i trick più difficili.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

error: Il contenuto è protetto