{"id":16131,"date":"2018-08-17T14:37:56","date_gmt":"2018-08-17T12:37:56","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=16131"},"modified":"2019-11-22T11:01:10","modified_gmt":"2019-11-22T09:01:10","slug":"hacking-online-accounts-via-voice-mail","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/hacking-online-accounts-via-voice-mail\/16131\/","title":{"rendered":"Hackerare gli account online mediante la segreteria telefonica"},"content":{"rendered":"<p>Chi usa il servizio di segreteria telefonica al giorno d\u2019oggi? Nessuno: \u00e8 forse questa la prima risposta che ci verrebbe in mente. Una risposta che, per\u00f2, \u00e8 al contempo esatta ed erronea. \u00c8 vero che quasi nessuno ormai si serve della segreteria telefonica, tuttavia \u00e8 vero anche che in molti sono iscritti a questo servizio, che \u00e8 ancora attivo anche se un po\u2019 passato di moda.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kis-difenditi-attacchi-informatici\">\n<p>\u00a0<\/p>\n<p>Anche se non usiamo la segreteria, non \u00e8 comunque detto che a nessuno interessi. Nel suo report \u201c<a href=\"https:\/\/www.martinvigo.com\/voicemailcracker\/#more-718\" target=\"_blank\" rel=\"noopener nofollow\">Compromising online accounts by cracking voicemail systems<\/a>\u201d presentato alla ventiseiesima edizione del DEF CON, il ricercatore per la sicurezza Martin Vigo ha dimostrato che il servizio di segreteria telefonica pu\u00f2 essere usato da malintenzionati per hackerare gli account online degli utenti.<\/p>\n<p>La maggior parte degli operatori, infatti, consentono l\u2019accesso alla segreteria sia dal proprio telefono, sia utilizzando un numero esterno e, in questo caso, l\u2019accesso \u00e8 protetto da un codice PIN. Tuttavia, questi PIN non sono affatto robusti perch\u00e9 molti abbonati al servizio utilizzano il codice preimpostato dall\u2019operatore, che di solito corrisponde alle ultime quattro cifre del numero di telefono e \u00e8 composto da sequenze estremamente semplici come 1111 o 1234.<\/p>\n<p>Inoltre, anche se l\u2019utente si prende il disturbo di cambiare il PIN, le probabilit\u00e0 di indovinarlo restano comunque elevate: <a href=\"http:\/\/www.datagenetics.com\/blog\/september32012\/\" target=\"_blank\" rel=\"noopener nofollow\">come dimostrato dalla ricerca<\/a>, quando si tratta di impostare un codice PIN, gli utenti tendono a essere ancor meno originali rispetto al momento in cui devono scegliere una password pi\u00f9 lunga.<\/p>\n<p>Innanzitutto, di solito i codici PIN sono di quattro cifre anche se, dal punto di visto tecnico, possono anche essere pi\u00f9 lunghi. In secondo luogo, molto utenti optano per quattro cifre tutte uguali o combinazioni molto semplici come 1234, 9876, 2580 (sequenza di numeri in verticale sulla tastiera del telefono); anche i PIN che iniziano per 19XX sono molto comuni. Sapendo questi piccoli accorgimenti, craccare una segreteria telefonica pu\u00f2 essere pi\u00f9 semplice e veloce di quanto si pensi.<\/p>\n<p><span class=\"embed-youtube\" style=\"text-align:center; display: block;\"><iframe class=\"youtube-player\" type=\"text\/html\" width=\"640\" height=\"390\" src=\"https:\/\/www.youtube.com\/embed\/Z9kO4VmN1FM?version=3&amp;rel=1&amp;fs=1&amp;showsearch=0&amp;showinfo=1&amp;iv_load_policy=1&amp;wmode=transparent\" frameborder=\"0\" allowfullscreen=\"true\"><\/iframe><\/span><\/p>\n<p>Tra l\u2019altro, non c\u2019\u00e8 bisogno di digitare manualmente tutte le combinazioni, questo lavoro viene fatto da uno script che chiama il numero della segreteria e digita le diverse combinazioni in modalit\u00e0 tono. Ci\u00f2 vuol dire che gli attacchi di forza bruta a una segreteria telefonica non solo sono possibili, ma non richiedono neanche chiss\u00e0 quale dispendio di risorse. \u201cE allora?\u201d potreste domandarvi, \u201ccosa pu\u00f2 contenere di cos\u00ec prezioso una segreteria telefonica?\u201d.<\/p>\n<h3>Eccome come hackerare WhatsApp o Paypal grazie alla segreteria telefonica<\/h3>\n<p>Quando si reimposta una password, la maggior parte dei servizi online pi\u00f9 importanti offrono, tra le varie opzioni, la possibilit\u00e0 di ricevere una chiamata al numero di telefono specificato sul profilo in cui viene fornito il codice di verifica.<\/p>\n<p>Il cybercriminale non deve fare altro che scoprire il PIN della segreteria telefonica e aspettare che il telefono della vittima sia spento o non raggiungibile (ad esempio, quando \u00e8 in modalit\u00e0 aereo). A questo punto attiva la procedura di reimpostazione della password del servizio online di interesse, e seleziona l\u2019opzione di verifica via chiamata che finir\u00e0 direttamente in segreteria telefonica.<\/p>\n<p>Martin Vigo ha dimostrato che, mediante questa tecnica, \u00e8 possibile hackerare un account WhatsApp.<\/p>\n<p><span class=\"embed-youtube\" style=\"text-align:center; display: block;\"><iframe class=\"youtube-player\" type=\"text\/html\" width=\"640\" height=\"390\" src=\"https:\/\/www.youtube.com\/embed\/-n2NCc5TnCE?version=3&amp;rel=1&amp;fs=1&amp;showsearch=0&amp;showinfo=1&amp;iv_load_policy=1&amp;wmode=transparent\" frameborder=\"0\" allowfullscreen=\"true\"><\/iframe><\/span><\/p>\n<p>Alcune risorse online impiegano una procedura di verifica leggermente diversa. Il servizio richiama il numero di telefono associato all\u2019account e l\u2019utente, come verifica, deve digitare il numero visualizzato sulla pagina di reimpostazione della password. Questo sistema pu\u00f2 essere bypassato con l\u2019aiuto di un semplice trucco: basta imposta il messaggio di benvenuto della segreteria con la registrazione dei toni della tastiera che corrispondono alle cifre del codice di reimpostazione.<\/p>\n<p>PayPal \u00e8 uno dei servizi che impiega questo sistema di verifica e, anche in questo caso, Martin Vigo \u00e8 riuscito ad hackerare l\u2019account:<\/p>\n<p><strong>https:\/\/www.youtube.com\/watch?v=itEVmcirta0<\/strong><\/p>\n<p>Abbiamo menzionato solo un paio di esempi; in realt\u00e0 sono tanti i servizi che utilizzano le chiamate a un numero di telefono associato per reimpostare una password o per inviare un codice per l\u2019autenticazione a due fattori.<\/p>\n<h3>Come proteggersi da questo genere di attacchi<strong>\u00a0<\/strong><\/h3>\n<ul>\n<li>Considerate l\u2019idea di disattivare la segreteria, in fondo non ha pi\u00f9 un uso pratico cos\u00ec importante;<\/li>\n<li>Se comunque avete bisogno del servizio di segreteria, scegliete un codice PIN sicuro. Innanzitutto, che sia composto da pi\u00f9 di quattro cifre (pi\u00f9 ce ne sono, meglio \u00e8) e che sia una <a href=\"http:\/\/www.datagenetics.com\/blog\/september32012\/\" target=\"_blank\" rel=\"noopener nofollow\">combinazione difficile da indovinare<\/a>, preferibilmente casuale;<\/li>\n<li>Non rivelate alla leggera il numero di telefono a cui associate i vostri account online. L\u2019ideale \u00e8 rendere difficile associare la vostra identit\u00e0 online a un numero di telefono specifico;<\/li>\n<li>A meno che non sia assolutamente necessario per l\u2019autenticazione a due fattori, evitate il pi\u00f9 possibile di associare un numero telefonico a un servizio online;<\/li>\n<li>Avvaletevi dell\u2019autenticazione a due fattori, l\u2019ideale \u00e8 mediante app come Google Authenticator o dispositivi hardware come <a href=\"https:\/\/www.kaspersky.it\/blog\/multi-factor-authentication\/6586\/\" target=\"_blank\" rel=\"noopener\">YubiKey<\/a>.<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Quando parliamo di account online, una falla nella sicurezza pu\u00f2 essere la segreteria telefonica. Vi spieghiamo come. <\/p>\n","protected":false},"author":421,"featured_media":16132,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2641,12],"tags":[1899,1900,1168,1565,1169,2918,2699,1173,2919,2251,934],"class_list":{"0":"post-16131","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"tag-2fa","10":"tag-autenticazione-a-due-fattori","11":"tag-black-hat","12":"tag-blackhat","13":"tag-def-con","14":"tag-def-con-26","15":"tag-hackerare","16":"tag-paypal","17":"tag-segreteria-telefonica","18":"tag-servizi-online","19":"tag-whatsapp"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/hacking-online-accounts-via-voice-mail\/16131\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/hacking-online-accounts-via-voice-mail\/13944\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/hacking-online-accounts-via-voice-mail\/11643\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/hacking-online-accounts-via-voice-mail\/15943\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/hacking-online-accounts-via-voice-mail\/14230\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/hacking-online-accounts-via-voice-mail\/13303\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/hacking-online-accounts-via-voice-mail\/16722\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/hacking-online-accounts-via-voice-mail\/21092\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/hacking-online-accounts-via-voice-mail\/23499\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/hacking-online-accounts-via-voice-mail\/10840\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/hacking-online-accounts-via-voice-mail\/10761\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/hacking-online-accounts-via-voice-mail\/9612\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/hacking-online-accounts-via-voice-mail\/17485\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/hacking-online-accounts-via-voice-mail\/21300\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/hacking-online-accounts-via-voice-mail\/17135\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/hacking-online-accounts-via-voice-mail\/20814\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/hacking-online-accounts-via-voice-mail\/20815\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/def-con\/","name":"def con"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/16131","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/421"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=16131"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/16131\/revisions"}],"predecessor-version":[{"id":18586,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/16131\/revisions\/18586"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/16132"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=16131"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=16131"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=16131"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}