Una pratica considerata comoda da milioni di utenti si sta rivelando un pericoloso tallone d'Achille: l'invio di link di autenticazione tramite SMS. Quello che dovrebbe essere un sistema rapido per accedere ai propri account si trasforma troppo spesso in un'autostrada per i criminali informatici, che sfruttano le vulnerabilità dei messaggi di testo per impossessarsi di credenziali sensibili. Il problema non riguarda solo gli utenti poco esperti, ma coinvolge anche chi ritiene di avere una buona conoscenza della tecnologia.
La questione è emersa con forza dopo che un ricercatore di sicurezza ha documentato come gli SMS contenenti link per il login siano sistematicamente intercettati e utilizzati per accessi non autorizzati. A differenza dei tradizionali codici OTP (One-Time Password) che richiedono l'inserimento manuale di una sequenza numerica, questi collegamenti permettono l'accesso immediato con un semplice clic, eliminando qualsiasi barriera protettiva. Il sistema, nato per semplificare l'esperienza utente, ha creato involontariamente un meccanismo di accesso diretto per chiunque riesca a intercettare il messaggio.
Troy Hunt, esperto di sicurezza informatica riconosciuto a livello mondiale e creatore del servizio Have I Been Pwned, ha analizzato approfonditamente il fenomeno. La sua ricerca ha rivelato che numerose piattaforme di servizi online continuano a inviare link diretti di autenticazione nonostante i rischi evidenti. "Quando ricevi un SMS con un link che ti permette di accedere istantaneamente, stai essenzialmente ricevendo le chiavi del tuo account in formato digitale", ha spiegato Hunt, sottolineando come questa pratica vanifichi qualsiasi sforzo di protezione.
Il meccanismo di attacco è più semplice di quanto si possa immaginare. I criminali utilizzano tecniche di SIM swapping, convincendo gli operatori telefonici a trasferire il numero di telefono della vittima su una scheda SIM in loro possesso. Una volta ottenuto il controllo del numero, possono richiedere il reset della password o l'invio di link di accesso, ricevendo direttamente i messaggi destinati alla vittima. In alternativa, sfruttano malware installati sui dispositivi che intercettano gli SMS in arrivo, inoltrandoli ai server controllati dagli hacker.
Le conseguenze di questa vulnerabilità sono state drammatiche per migliaia di utenti. Casi documentati mostrano accessi fraudolenti a conti bancari, account di posta elettronica e profili sui social media, tutti ottenuti semplicemente intercettando un messaggio di testo. Il danno non si limita alla perdita di accesso: spesso i criminali utilizzano gli account compromessi per truffe ulteriori, inviando richieste di denaro ai contatti della vittima o diffondendo malware.
La vulnerabilità degli SMS come canale di comunicazione sicuro non è una novità nel settore della cybersecurity. Già da anni gli esperti sconsigliano l'uso dei messaggi di testo per l'autenticazione a due fattori, raccomandando invece app di autenticazione dedicate o chiavi di sicurezza fisiche. Tuttavia, la pratica di inviare link diretti di login rappresenta un rischio ancora maggiore, poiché elimina completamente il passaggio intermedio dell'inserimento manuale.
Hunt ha identificato diverse aziende che utilizzano questo sistema, alcune delle quali operano in settori critici come quello finanziario e sanitario. La giustificazione aziendale si basa sull'esperienza utente: i link diretti riducono gli abbandoni durante il processo di login e semplificano l'accesso per utenti meno tecnologicamente abili. Ma questa convenienza ha un prezzo elevato in termini di sicurezza compromessa.
Le alternative esistono e sono tecnologicamente mature. Le applicazioni di autenticazione come Google Authenticator o Microsoft Authenticator generano codici temporanei che non possono essere intercettati tramite SMS. Le passkey, uno standard emergente supportato da Apple, Google e Microsoft, eliminano completamente la necessità di password tradizionali utilizzando la crittografia a chiave pubblica. Anche i codici QR rappresentano un'opzione più sicura, poiché richiedono l'accesso fisico al dispositivo di destinazione.
Il paradosso è che molte organizzazioni investono risorse significative in sistemi di sicurezza sofisticati, per poi vanificare tutto con pratiche di autenticazione obsolete. Gli esperti sottolineano come la catena della sicurezza sia forte solo quanto il suo anello più debole, e in questo caso l'anello debole è proprio il canale SMS. La pressione per migliorare le metriche di conversione e ridurre l'attrito nell'esperienza utente porta le aziende a privilegiare la convenienza rispetto alla protezione.
Hunt ha lanciato un appello alle organizzazioni affinché abbandonino immediatamente questa pratica, offrendo consulenza gratuita a chi desidera implementare sistemi più sicuri. La sua posizione è netta: non esiste giustificazione valida per continuare a mettere a rischio milioni di utenti quando esistono alternative comprovate. Anche per servizi che ritengono di non gestire dati particolarmente sensibili, il compromesso di un account può avere effetti a cascata, poiché gli utenti tendono a riutilizzare le stesse credenziali su più piattaforme.
Per gli utenti comuni, la protezione passa attraverso una maggiore consapevolezza e l'adozione di pratiche di sicurezza proattive. Disattivare l'opzione di login tramite SMS quando possibile, utilizzare password uniche per ogni servizio con l'ausilio di gestori di password, e attivare l'autenticazione a due fattori basata su app rappresentano passi fondamentali. Inoltre, è cruciale diffidare di qualsiasi link ricevuto via SMS, anche se apparentemente legittimo, privilegiando l'accesso diretto attraverso l'app ufficiale o il sito web digitando manualmente l'indirizzo.
Da un lato la tecnologia evolve rapidamente offrendo soluzioni sempre più robuste, dall'altro persistono metodi di autenticazione che risalgono a un'era in cui le minacce informatiche erano meno sofisticate e pervasive. La transizione verso sistemi più sicuri richiede volontà politica aziendale e investimenti, ma soprattutto una presa di coscienza che la comodità temporanea non può giustificare rischi permanenti per la sicurezza di milioni di persone.
.jpg)
.jpg)
