Cosa c'entra un vecchio bug della rete di telefonia cellulare con le truffe informatiche sui servizi di home banking? Come hanno imparato a loro spese numerosi cittadini tedeschi, il legame c'è eccome. Protagonista della vicenda è un gruppo di pirati informatici, che ha portato un attacco in due fasi che gli ha permesso di ripulire un numero imprecisato di conti correnti.
I cyber-criminali, dopo aver infettato i computer delle vittime con un trojan in grado di rubare le credenziali di accesso ai servizi bancari online, hanno sfruttato una vulnerabilità conosciuta dei protocolli SS7 (Signaling System 7) usati dagli operatori di telefonia per aggirare i sistemi di autenticazione a due fattori usati dalle banche per certificare la correttezza delle attività dei loro clienti. Una falla nota da anni e già denunciata pubblicamente nel 2014.
Esattamente come in Italia, anche in Germania molti sistemi di home banking sfruttano infatti gli smartphone dei clienti come strumento di verifica dell'identità, inviando un codice via SMS che deve essere inserito per autorizzare le operazioni che prevedono trasferimenti di denaro.Il sistema in teoria è sicuro, a meno che qualcuno (come è accaduto in questo caso) riesca a dirottare il messaggio e ottenere così il codice che gli permette di trasferire denaro dal conto in questione.
A dare una mano ai pirati, però, ci hanno pensato le compagnie telefoniche. Il trucco usato dai cyber-criminali per intercettare i codici di cui avevano bisogno, infatti, è stato possibile grazie a una vulnerabilità del protocollo usato dagli operatori di telefonia per comunicare tra loro. Si tratta appunto del famigerato Signaling System 7, uno standard vecchio di 50 anni e che ha un "piccolo" difetto: non integra nessun sistema di verifica sull'origine delle comunicazioni.
Chiunque riesca ad accedere a uno dei server o gateway SS7, quindi, può dirottare un messaggio con estrema facilità. Tutto quello che gli serve è conoscere il numero di cellulare a cui è indirizzato. Un'informazione che i pirati informatici hanno potuto ottenere facilmente, probabilmente consultando i dati personali delle loro vittime all'interno delle impostazioni del servizio di home banking che hanno hackerato.
Per saperne di più, leggi l'articolo completo su Security Info, il sito di Tom's Hardware dedicato alla sicurezza informatica.