Un settore non regolamentato, fatto di catene di intermediari non verificati

Gli SMS di autenticazione segreti non sono affatto segreti: meglio abbandonarli.



[ZEUS News - www.zeusnews.it - 29-07-2025]

Questo è un articolo su più pagine: ti invitiamo a leggere la pagina iniziale
Gli SMS di autenticazione segreti non sono affatto segreti: meglio abbandonarli

Il problema è che questo settore è scarsamente regolamentato, ed è facilissimo diventare intermediari di miliardi di messaggi privati. In particolare, la Fink Telecom Services è nota agli esperti del settore per aver collaborato con agenzie di sorveglianza governative e con società specializzate nella sorveglianza digitale. Sempre Bloomberg sottolinea che "sia i ricercatori di sicurezza informatica, sia i giornalisti investigativi hanno pubblicato rapporti che accusano la Fink di essere coinvolta in vari casi di infiltrazione in account online privati." Il CEO dell'azienda, Andreas Fink, respinge le accuse.

Le aziende che usano gli SMS per autenticare i propri servizi sono così ansiose di contenere i costi che si appoggiano a lunghe e intricate catene di intermediari non verificati, anche se sanno che questo è un comportamento pericoloso. Una delle principali organizzazioni di settore, il GSMA, ha pubblicato nel 2023 un codice di condotta che sconsiglia questa prassi proprio perché permetterebbe ai criminali di intercettare gli SMS contenenti i codici di sicurezza. Ma si tratta di un codice di condotta volontario, e sembra proprio che manchi la volontà diffusa di applicarlo.

Il rischio che deriva da questa carenza di volontà è tutt'altro che teorico. Nel 2020, per esempio, è emerso che una serie di attacchi informatici ai danni di investitori in criptovalute aveva usato proprio questa tecnica: un criminale informatico aveva ottenuto in questo modo i codici di autenticazione necessari per accedere agli account di mail e a quelli di gestione delle criptovalute di una ventina di persone in Israele. E ci sono altri casi documentati di intercettazioni e sorveglianze governative basate su questo approccio.

Proposte di lettura:
Addio, vecchia carta d'identità: è obbligatorio passare alla CIE e...
16 miliardi di nomi utente e password finiscono online: coinvolti anche Facebook...
Violazione record: 184 milioni di credenziali pubblicate nel web
Siti per adulti, la verifica dell'età non avverrà tramite SPID

Purtroppo l'industria della trasmissione degli SMS, che si stima abbia un valore di oltre 30 miliardi di dollari, non ha strumenti legali che le consentano di scremare eventuali intermediari disonesti. I grandi utenti, ossia le aziende, appaltano gli invii dei loro codici di autenticazione a uno di questi intermediari e non hanno modo di sapere se questi invii vengono subappaltati e se quel subappaltatore a sua volta cede il contratto a terzi, e così via, in un complicato gioco internazionale di scatole cinesi e di società che spesso non hanno nemmeno bisogno di una licenza per operare.

E i nostri codici di sicurezza viaggiano così in questo mare burrascoso come messaggi in bottiglia che tutti possono leggere, mentre noi crediamo di aver protetto i nostri account attivando gli SMS di autenticazione.

Per fortuna ci sono delle soluzioni.

Proposte di lettura:
Microsoft inaugura l'era degli account senza password
Siti per adulti, Agcom impone la verifica dell’età con il doppio anon...
Microsoft pensiona Desktop Remoto: al suo posto c'è la Windows App
Passkey in pratica: proteggere un account Google

Ti invitiamo a leggere la pagina successiva di questo articolo:
App di autenticazione e chiavi hardware, anche di scorta

Leggi anche:
Addio password, benvenuta passkey?
WhatsApp ora supporta Passkey
Storia di un hacker
SPID a rischio, due mesi per deciderne il futuro

Leggi anche:
Twitter, l'autenticazione a due fattori ora si paga
Chrome 108 supporta passkey, per dire addio alle password
Italiani e identità digitale, già attivi 30 milioni di SPID
Google, autenticazione a due fattori obbligatoria per milioni di utenti

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
 

Paolo Attivissimo

Paolo Attivissimo

(C) by Paolo Attivissimo - www.attivissimo.net.
Distribuzione libera, purché sia inclusa la presente dicitura.

Approfondimenti
Twitter, l'autenticazione a due fattori ora si paga
Chrome 108 supporta passkey, per dire addio alle password
Italiani e identità digitale, già attivi 30 milioni di SPID
Google, autenticazione a due fattori obbligatoria per milioni di utenti
La seduttrice informatica assetata di bitcoin
Spid creepshow, la sospensione

Commenti all'articolo (ultimi 5 di 12)


Gladiator
In realtà di casi ce ne sono stati parecchi, alcuni basati su SIM swapping / SIM hijacking che è il più comune: l’aggressore convince l’operatore telefonico a trasferire il numero del soggetto bersaglio su una SIM a suo nome, a quel punto riceve lui gli SMS 2FA. Esempi: - Twitter/Jack Dorsey (ex CEO) → SIM swap nel 2019 - Molti... Leggi tutto
29-11-2025 15:32
{Real}
Secondo me quando si parla di "colabrodo" si fa eccessivo allarmismo, dato che tecnicamente il numero telefonico e la relativa password temporanea sono dati offline assolutamente separati da tutti gli altri dati personali che invece viaggiano online. Come puoi accedere ai dati offline e anche a quelli online contemporaneamente?... Leggi tutto
5-11-2025 13:27
zero
Ci sarebbe da precisare che e' possibile sostituire gli SMS con metodi piu' sicuri (Authenticator, dispositivo hardware, passkey) solamente se il fornitore del servizio li supporta. Altrimenti passa il messaggio che il "colpevole" sia l'utente. .
5-11-2025 11:13

zeross
comunque gli SMS sono nati in una era in cui nel mondo c'era il monopolio delle compagnie telefoniche nazionali e certi problemi non venivano evidenziati perché mancava la base da cui sarebbero potuti nascer questi inconvenienti. Ora è un po tardi per porre rimedio l prodotto SMS, ma i sono strategie che se usate con buon senso aiutano a... Leggi tutto
29-7-2025 23:09
Leggi gli altri 7 commenti nel forum Sicurezza
Inserisci un commento - anche se NON sei registrato

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Quale tra queste tecniche diffusamente utilizzate dagli hacker ti sembra la più pericolosa?
1. Violazione di password deboli: l'80% dei cyberattacchi si basa sulla scelta, da parte dei bersagli, di password deboli, non conformi alle indicazioni per scegliere una password robusta.
2. Attacchi di malware: un link accattivante, una chiave USB infetta, un'applicazione (anche per smartphone) che non è ciò che sembra: sono tutti sistemi che possono installare malware nei PC.
3. Email di phishing: sembrano messaggi provenienti da fonti ufficiali o personali ma i link contenuti portano a siti infetti.
4. Il social engineering è causa del 29% delle violazioni di sicurezza, con perdite per ogni attacco che vanno dai 25.000 ai 100.000 dollari e la sottrazione di dati.
5. Ransomware: quei programmi che "tengono in ostaggio" i dati dell'utente o un sito web finché questi non paga una somma per sbloccarli.

Mostra i risultati (2647 voti)
Dicembre 2025
n. 4039 del 17-12-2025
Televisori LG, dopo l'aggiornamento compare l'app di Copilot. E non si può più togliere
n. 4038 del 16-12-2025
Google lancia la traduzione simultanea universale: bastano qualsiasi telefono Android e auricolari
n. 4037 del 15-12-2025
Tassa da 2 euro sui pacchi fino a 150 euro: la Manovra 2026 coinvolge milioni di spedizioni
n. 4036 del 12-12-2025
Lo script open source che fa sparire Copilot, Recall e gli altri componenti IA da Windows 11
n. 4035 del 09-12-2025
Google Antigravity cancella un intero drive: la IA si scusa, ma i dati sono persi
n. 4034 del 05-12-2025
Migliaia di aerei A320 a terra. Perché è una buona notizia
n. 4033 del 04-12-2025
Arduino passa a Qualcomm: la comunità hacker esplode di malcontento
n. 4032 del 03-12-2025
Piracy Shield, i provider italiani presentano il conto: 10 milioni di euro l'anno
n. 4031 del 01-12-2025
Il Digital Omnibus è una resa dell'Unione Europea?
Novembre 2025
n. 4030 del 27-11-2025
MediaWorld vende iPad a 15 euro per errore, adesso li vuole tutti indietro
n. 4029 del 26-11-2025
Riscaldano casa con un datacenter in giardino: giù i costi delle bollette
n. 4028 del 24-11-2025
I Baschi Grigi della Cybersicurezza
n. 4027 del 20-11-2025
Telemarketing aggressivo, operativo il filtro che impedisce lo spoofing dei numeri mobili
n. 4026 del 19-11-2025
Cloudflare in tilt. Migliaia di siti irraggiungibili, servizi bloccati in tutto il mondo
n. 4025 del 18-11-2025
E se Internet sparisse?
Tutti gli Arretrati
Vecchi articoli
Accadde oggi - 17 dicembre
2024
Da Apple un iPad gigante e pieghevole
2021
Uber Eats si prepara alle consegne coi veicoli autonomi
2020
Pirati che usano satelliti militari per comunicare e come ascoltarli
2019
Riconoscimento facciale, per aggirarlo basta una foto
2018
Così potrebbe essere Windows 11
2017
Mozilla e l'estensione di Mr. Robot installata a tradimento
2016
Come faccio a sapere se un allegato ricevuto è infetto?
2015
Banking online e sicurezza, gli errori da evitare
2014
Due monitor con un occhio alla salute... degli occhi
2013
Twitter e le auto in sosta vietata
2012
Toilet Bike Neo, metà WC e metà moto
2011
SOPA: tutti contrari, non solo gli hacker
2010
Gruppo di hacker si offre di rieducare i ragazzini dei DDoS
2009
Due Nas per la casa e i piccoli uffici
2008
Il meglio del forum "Dal processore al case"
2006
Per non restare senza carica
2004
La pubblicità vista dall'Olimpo
2003
Il diritto alla "bacheca elettronica" per il telelavoro
2002
Processo Elcomsoft, lo show è solo agli inizi
Olimpo Informatico


 
web metrics