Hackerare gli account online mediante la segreteria telefonica

Chi usa il servizio di segreteria telefonica al giorno d’oggi? Nessuno: è forse questa la prima risposta che ci verrebbe in mente. Una risposta che, però, è al contempo esatta ed erronea. È vero che quasi nessuno ormai si serve della segreteria telefonica, tuttavia è vero anche che in molti sono iscritti a questo servizio, che è ancora attivo anche se un po’ passato di moda.

Anche se non usiamo la segreteria, non è comunque detto che a nessuno interessi. Nel suo report “Compromising online accounts by cracking voicemail systems” presentato alla ventiseiesima edizione del DEF CON, il ricercatore per la sicurezza Martin Vigo ha dimostrato che il servizio di segreteria telefonica può essere usato da malintenzionati per hackerare gli account online degli utenti.

La maggior parte degli operatori, infatti, consentono l’accesso alla segreteria sia dal proprio telefono, sia utilizzando un numero esterno e, in questo caso, l’accesso è protetto da un codice PIN. Tuttavia, questi PIN non sono affatto robusti perché molti abbonati al servizio utilizzano il codice preimpostato dall’operatore, che di solito corrisponde alle ultime quattro cifre del numero di telefono e è composto da sequenze estremamente semplici come 1111 o 1234.

Inoltre, anche se l’utente si prende il disturbo di cambiare il PIN, le probabilità di indovinarlo restano comunque elevate: come dimostrato dalla ricerca, quando si tratta di impostare un codice PIN, gli utenti tendono a essere ancor meno originali rispetto al momento in cui devono scegliere una password più lunga.

Innanzitutto, di solito i codici PIN sono di quattro cifre anche se, dal punto di visto tecnico, possono anche essere più lunghi. In secondo luogo, molto utenti optano per quattro cifre tutte uguali o combinazioni molto semplici come 1234, 9876, 2580 (sequenza di numeri in verticale sulla tastiera del telefono); anche i PIN che iniziano per 19XX sono molto comuni. Sapendo questi piccoli accorgimenti, craccare una segreteria telefonica può essere più semplice e veloce di quanto si pensi.

Tra l’altro, non c’è bisogno di digitare manualmente tutte le combinazioni, questo lavoro viene fatto da uno script che chiama il numero della segreteria e digita le diverse combinazioni in modalità tono. Ciò vuol dire che gli attacchi di forza bruta a una segreteria telefonica non solo sono possibili, ma non richiedono neanche chissà quale dispendio di risorse. “E allora?” potreste domandarvi, “cosa può contenere di così prezioso una segreteria telefonica?”.

Eccome come hackerare WhatsApp o Paypal grazie alla segreteria telefonica

Quando si reimposta una password, la maggior parte dei servizi online più importanti offrono, tra le varie opzioni, la possibilità di ricevere una chiamata al numero di telefono specificato sul profilo in cui viene fornito il codice di verifica.

Il cybercriminale non deve fare altro che scoprire il PIN della segreteria telefonica e aspettare che il telefono della vittima sia spento o non raggiungibile (ad esempio, quando è in modalità aereo). A questo punto attiva la procedura di reimpostazione della password del servizio online di interesse, e seleziona l’opzione di verifica via chiamata che finirà direttamente in segreteria telefonica.

Martin Vigo ha dimostrato che, mediante questa tecnica, è possibile hackerare un account WhatsApp.

Alcune risorse online impiegano una procedura di verifica leggermente diversa. Il servizio richiama il numero di telefono associato all’account e l’utente, come verifica, deve digitare il numero visualizzato sulla pagina di reimpostazione della password. Questo sistema può essere bypassato con l’aiuto di un semplice trucco: basta imposta il messaggio di benvenuto della segreteria con la registrazione dei toni della tastiera che corrispondono alle cifre del codice di reimpostazione.

PayPal è uno dei servizi che impiega questo sistema di verifica e, anche in questo caso, Martin Vigo è riuscito ad hackerare l’account:

https://www.youtube.com/watch?v=itEVmcirta0

Abbiamo menzionato solo un paio di esempi; in realtà sono tanti i servizi che utilizzano le chiamate a un numero di telefono associato per reimpostare una password o per inviare un codice per l’autenticazione a due fattori.

Come proteggersi da questo genere di attacchi 

• Considerate l’idea di disattivare la segreteria, in fondo non ha più un uso pratico così importante;
• Se comunque avete bisogno del servizio di segreteria, scegliete un codice PIN sicuro. Innanzitutto, che sia composto da più di quattro cifre (più ce ne sono, meglio è) e che sia una combinazione difficile da indovinare, preferibilmente casuale;
• Non rivelate alla leggera il numero di telefono a cui associate i vostri account online. L’ideale è rendere difficile associare la vostra identità online a un numero di telefono specifico;
• A meno che non sia assolutamente necessario per l’autenticazione a due fattori, evitate il più possibile di associare un numero telefonico a un servizio online;
• Avvaletevi dell’autenticazione a due fattori, l’ideale è mediante app come Google Authenticator o dispositivi hardware come YubiKey.