Con regolarità accade che sulla stampa generalista vengono pubblicati articoli che mettono in guardia da truffe a cui apparentemente neppure la tecnologia può mettere un argine.
Quasi sempre ci troviamo di fronte ad uno scenario in cui una tecnologia in uso da tempo viene abbandonata o messa "fuorilegge" in favore di una nuova, che sulla carta garantisce maggiore protezione, prestazioni o altro. Quasi sempre, in breve tempo, questa nuova tecnologia verrà accusata di essere meno sicura, più macchinosa, più pericolosa e spunteranno decine di articoli critici che dichiareranno in modo più o meno esplicito, che si "stava meglio quando si stava peggio".
Nei commenti a questi articoli, poi, sarà tutto un fiorire di aneddoti tesi a dimostrare l'indimostrabile (dalla superiorità del contante sulle carte di pagamento, a quella del token fisico sull'app di home banking, ecc.).
Al netto della retorica di cui sono impregnati articoli e commenti, quasi mai si parla di quello che è, in effetti, l'UNICO problema nei confronti del quale qualsiasi tipo di tecnologia si trova in difficoltà: la stupidità dell'utente. Si scopre, infatti, che alla base del 100% delle truffe che impropriamente vengono definite "informatiche" c'è invariabilmente un furto di dati (identità, documenti, credenziali di accesso a servizi vari, ecc.) dovuto alla superficialità con cui gli utenti gestiscono le loro informazioni sensibili (salvo poi straparlare di privacy in contesti in cui la "privacy" dovrebbe essere l'ultimo dei pensieri) e le lasciano in balia del primo venuto. Mi viene da ridere quando l'email scritta in italiano improbabile, che promette vincite mirabolanti in cambio del click su un link, vengono descritte come "hacking" o con termini ancora più altisonanti.
La verità è che chi viene "truffato" nel modo descritto dall'articolo ha ignorato, se non sabotato, qualsiasi norma e principio di cautela.
Qui viene spiegato in modo apparentemente più approfondito il funzionamento della "truffa". Ci sono solo alcuni dettagli che non tornano: chiunque, corrompendo un "addetto" di un operatore telefonico, può cercare e riuscire ad ottenere una sim con il numero di telefono di qualcun altro. Ma questo è solo il primo passo, perché a meno di immaginare che anche l'operatore della banca sia corrompibile e/o corrotto, con il solo numero di telefono si riesce a fare ben poco. La mia banca, per accedere all'app di home banking, vuole che io inserisca il codice cliente, poi un pin. Il codice cliente è scritto sul contratto, insieme al numero di telefono su cui viene inviato un codice di sicurezza che serve per il primo accesso. Quindi non è sufficiente il numero di telefono, ma occorrono anche altri dati, che normalmente non sono così facili da reperire (dubito che la gente pubblichi questo genere di informazioni su Facebook, ad esempio...).
Quello che solo altri articoli spiegano è che la vulnerabilità non è del sistema di autenticazione a due fattori, ma del sistema di autenticazione a due fattori basato sulla ricezione di un SMS. Il codice di accesso temporaneo inviato via SMS, infatti, verrebbe recapitato a chi ha effettuato il "sim swap", e non al legittimo proprietario dei dati. In ogni caso rimane il limite legato alla conoscenza delle altre informazioni necessarie per accedere ad un conto corrente, come ad esempio il codice cliente stampato sul contratto.
Per queste considerazioni l'uso di OTP basati su SMS è in via di eliminazione, sostituito dal più sicuro OATH TOTP. In ogni caso mi sembra del tutto evidente che nei casi descritti dagli articoli la tecnologia è stata aggirata a causa di comportamenti a dir poco superficiali degli utenti, per cui mi sembra del tutto arbitrario attribuirle colpe specifiche.
Nessun commento:
Posta un commento