Vulnerabilità SIM card .

ati · 21/10/19

Dopo aver letto questo articolo mi sono un pochino allarmato .

Vulnerabilita nelle SIM, 1 miliardo di utenti tracciati | Libero Tecnologia

ati · 21/10/19

E ancora .

Attacco SIM swapping: cos’e, come funziona, come difendersi - Cyber Security 360

Mi sorge una domanda : quali operatori sul mobile permettono di impostare passw per accedere al proprio account per qualsivoglia servizio ?
Visto che questo sarebbe già una bella sicurezza contro chi ci voglia fregare nell'uso improprio della nostra Sim card .

groviglio · 21/10/19

ati ha scritto:
...

Mi sorge una domanda : quali operatori sul mobile permettono di impostare passw per accedere al proprio account per qualsivoglia servizio ?
Visto che questo sarebbe già una bella sicurezza contro chi ci voglia fregare nell'uso improprio della nostra Sim card .

in USA e UK sì (sopratutto nel caso qalcuno chiami per disattivare una sim per "furto" e quindi innescare la tecnica del sim swapping)

comunque il sim swapping è una "tecnica" che ha almeno un lustro. non è nuova e dipende prevalentemente dal lassismo nei controlli degli operatori telefonici. in italia bisognerebbe fare pressione su questi. gli utenti, i politici, tutti...ma chi lo fa,. gli utenti certamente no, di questioni di sicurezza si infischiano. a loro basta che il gingillo(prevalentemente cinese) funzioni e scatti i selfie bene

ati · 22/10/19

Si non è di primo pelo .
Ma in uno speciale TV , facendo richiesta a vari operatori di riavere la SIM molti lo hanno fatto senza tanti problemi e senza tanti controlli .
E la cosa è a dir poco PREOCCUPANTE .

FogOnLine · 22/10/19

ati ha scritto:
Si non è di primo pelo .
Ma in uno speciale TV , facendo richiesta a vari operatori di riavere la SIM molti lo hanno fatto senza tanti problemi e senza tanti controlli .
E la cosa è a dir poco PREOCCUPANTE .

Ultimamente noto una maggiore attenzione e controlli più puntuali (forse qualcuno cui è stato fatto lo swap-sim ha citato in giudizio l'operatore?), ma qualche anno fa cambiare la propria SIM con una micro o una nano SIM (dicendo di aver cambiato smartphone)si poteva fare presso i negozi affiliati ai gestori senza troppe verifiche.

Va comunque detto che lo swap-sim è un fenomeno prettamente su base 'locale' e richiede, in genere, qualche complicità nei negozi dei gestori (non è credibile che il truffatore giri N negozi fino a trovare quello che non fa controlli).

groviglio · 22/10/19

FogOnLine ha scritto:
Va comunque detto che lo swap-sim è un fenomeno prettamente su base 'locale' e richiede, in genere, qualche complicità nei negozi dei gestori (non è credibile che il truffatore giri N negozi fino a trovare quello che non fa controlli).

...che in qualche modo è sempre ascrivibile a lassismo da parte dell'operatore, che dovrebbe sapere sempre quale dipendente ha dato quale sim a quale utente, avendo richiesto il documento d'identità + firma che avrà fotocopiato e registrato agli atti. insomma, stabilendo un protocollo che deve essere seguito e che permetta di trovare le responsabilità ed eventualmente agire legalmente e penalmente...a quel punto, forse , le complicità sarebbero , se non impossibili, molto più complicate da ottenere...quindi sempre negligenza evitabile

FogOnLine · 22/10/19

groviglio ha scritto:
...che in qualche modo è sempre ascrivibile a lassismo da parte dell'operatore, che dovrebbe sapere sempre quale dipendente ha dato quale sim a quale utente, avendo richiesto il documento d'identità + firma che avrà fotocopiato e registrato agli atti. insomma, stabilendo un protocollo che deve essere seguito e che permetta di trovare le responsabilità ed eventualmente agire legalmente e penalmente...a quel punto, forse , le complicità sarebbero , se non impossibili, molto più complicate da ottenere...quindi sempre negligenza evitabile

Le procedure sono già obbligatorie (fotocopia documento, identificazione, firma, etc..)

e, se non rispettate, il gestore del negozio è comunque responsabile legalmente di ciò che fanno i dipendenti.

Il fatto che non vengano rispettate anche da dipendenti 'fedeli' è un cattivo costume che, si spera, vada a sparire e, certamente, gli operatori dovrebbero condurre opportune campagne di 'sensibilizzazione' evidenziando i rischi legali correlati.

groviglio · 22/10/19

FogOnLine ha scritto:
Le procedure sono già obbligatorie (fotocopia documento, identificazione, firma, etc..) e, se non rispettate, il gestore del negozio è comunque responsabile legalmente di ciò che fanno i dipendenti.

Il fatto che non vengano rispettate anche da dipendenti 'fedeli' è un cattivo costume che, si spera, vada a sparire e, certamente, gli operatori dovrebbero condurre opportune campagne di 'sensibilizzazione' evidenziando i rischi legali correlati.

capito

resta da capire (io non ci riesco) come possa, allegramente un dipendente infedele , infischiarsi di un protocollo preciso: forse che l'operatore telefonico non prenda doverosi provvedimenti, come il licenziamento in tronco+ denuncia penale +azione civile di risarcimento sul dipendente che non abbia seguito alla lettera il protocollo. vengono fatte queste cose? io fatico a crederci. eppure sarebbero il minimo sindacale , o no?

se l'operatore non prende questi provvedimenti, rientriamo, secondo me, di nuovo, nel lassismo-negligenza

chiedo eh

groviglio · 22/10/19

ah, naturalmente se il manigoldo è il franchisee, sarà l'operatore telefonico a estrometterlo dal franchise + denunciarlo penalmente + azione di risarcimento (enorme) per il danno di immagine...non credo ci sarebbero molti proprietari di negozietto a rischiare una roba del genere da parte di TIM o vodafone

FogOnLine · 22/10/19

groviglio ha scritto:
capito

resta da capire (io non ci riesco) come possa, allegramente un dipendente infedele , infischiarsi di un protocollo preciso: forse che l'operatore telefonico non prenda doverosi provvedimenti, come il licenziamento in tronco+ denuncia penale +azione civile di risarcimento sul dipendente che non abbia seguito alla lettera il protocollo. vengono fatte queste cose? io fatico a crederci. eppure sarebbero il minimo sindacale , o no?

se l'operatore non prende questi provvedimenti, rientriamo, secondo me, di nuovo, nel lassismo-negligenza

chiedo eh

Devi pensare che l'uso del cellulare (e non uso appositamente il termine smartphone, riferendomi appunto a dumb phone) era limitato a sms e telefonate fino a pochissimo tempo fa. Solo da qualche anno è stato 'correlato' a operazioni sensibili quali doppio fattore di autenticazione per account mail e operazioni bancarie.

In molti casi si è rimasti al negozio di prossimità in cui se arrivi dicendo: "la SIM di mia madre novantenne non funziona più, me ne dà una nuova" si fa di tutto (in buona fede) per risolvere il problema senza magari rendersi conto delle implicazioni (quando cito l'autenticazione a due fattori in molti casi ancora percepisco sguardi 'bovini' di chi non sa bene cosa sia

).

Per questo parlo di opera di sensibilizzazione al problema

groviglio · 22/10/19

yep. sono io , forse,troppo radicale in questo ambito

ati · 24/10/19

FogOnLine ha scritto:
Devi pensare che l'uso del cellulare (e non uso appositamente il termine smartphone, riferendomi appunto a dumb phone) era limitato a sms e telefonate fino a pochissimo tempo fa. Solo da qualche anno è stato 'correlato' a operazioni sensibili quali doppio fattore di autenticazione per account mail e operazioni bancarie.

In molti casi si è rimasti al negozio di prossimità in cui se arrivi dicendo: "la SIM di mia madre novantenne non funziona più, me ne dà una nuova" si fa di tutto (in buona fede) per risolvere il problema senza magari rendersi conto delle implicazioni (quando cito l'autenticazione a due fattori in molti casi ancora percepisco sguardi 'bovini' di chi non sa bene cosa sia ).

Per questo parlo di opera di sensibilizzazione al problema

Concordo .
Devo dire che proprio per cambio della SIM dei miei genitori ho avuto a che fare con un Corner della Vodafone in un centro commerciale .
Me na andai quasi seccato perchè appunto mi dissero che serviva questo e quello .
Oggi devo dire che hanno rispettato in pieno le procedure .
Bravi .

groviglio · 24/10/19

le ultime (pubblicate ieri) direttive USA per mitigare il sim swap...ovviamente la password di protezione in italia è cosa sconosciuta e chissà quando verrà in mente a qualcuno di implementarla

FTC Issues Guidance On Protecting Against SIM Swap Attacks

FogOnLine · 24/10/19

groviglio ha scritto:
le ultime (pubblicate ieri) direttive USA per mitigare il sim swap...ovviamente la password di protezione in italia è cosa sconosciuta e chissà quando verrà in mente a qualcuno di implementarla

FTC Issues Guidance On Protecting Against SIM Swap Attacks

Sono sempre qualche anno avanti

, anche per le regolazioni.

Tra l'altro, dopo che il NIST aveva raccomandato nel 2016 di non usare più gli SMS come fattori di autenticazione a causa delle vulnerabilità del protocollo SS7 e dopo la precipitosa marcia indietro di un annetto dopo (essendosi resi conto che la 2FA necessitava di questo strumento in molti casi) era inevitabile che si aggiungesse un fattore di sicurezza come la password di protezione.

Anche noi si arriverà......con molta flemma

groviglio · 24/10/19

anche le modalità operative, in USA , sono interessanti e alcune , in evoluzione (uno step successivo alla password/pin, che è la base minima sindacale)

T-Mobile Has a Secret Setting to Protect Your Account From Hackers That It Refuses to Talk About - VICE

Fol News

Vulnerabilità SIM card .

Più opzioni

ati

Si ... può ... farèè

ati

Si ... può ... farèè

groviglio

w la F(i(si))CA

ati

Si ... può ... farèè

FogOnLine

sigà sigà

groviglio

w la F(i(si))CA

FogOnLine

sigà sigà

groviglio

w la F(i(si))CA

groviglio

w la F(i(si))CA

FogOnLine

sigà sigà

groviglio

w la F(i(si))CA

ati

Si ... può ... farèè

groviglio

w la F(i(si))CA

FogOnLine

sigà sigà

groviglio

w la F(i(si))CA