Ho ricevuto numerose segnalazioni di un annuncio di Twitter, secondo il quale l’autenticazione tramite SMS verrà riservata prossimamente agli utenti paganti.

L’annuncio è autentico e dice che “Solo gli abbonati a Twitter Blue”, che è la versione a pagamento di Twitter, “possono utilizzare gli SMS come metodo di autenticazione a due fattori. La sua rimozione richiederà solo qualche minuto.” dice l’annuncio. “Puoi ancora utilizzare l’app per l’autenticazione e i token di sicurezza come metodi di autenticazione.” Questo avviso indica la data del 19 marzo prossimo come termine ultimo: “Per non perdere l’accesso a Twitter, rimuovi l’autenticazione a due fattori tramite SMS entro la seguente data: 19 mar 2023”.

Questa nuova regola è stata annunciata ufficialmente con un tweet di @TwitterSupport il 18 febbraio 2023 ed è descritta in dettaglio in una pagina del blog di Twitter, con la giustificazione che “purtroppo abbiamo visto che l’autenticazione a due fattori basata sul numero di telefono viene usata e abusata da attori ostili. Per cui a partire da oggi non permetteremo più agli account di iscriversi al metodo di autenticazione a due fattori basato su SMS a meno che siano abbonati a Twitter Blue” (“unfortunately we have seen phone-number based 2FA be used - and abused - by bad actors. So starting today, we will no longer allow accounts to enroll in the text message/SMS method of 2FA unless they are Twitter Blue subscribers”).

Suona un po’ assurdo dire che una forma di autenticazione più debole verrà riservata agli utenti paganti (che sono quelli che hanno più da perdere), ed è facile interpretare questa novità come un altro disperato tentativo di incentivare gli utenti a usare la versione a pagamento di Twitter (cosa che finora, a quanto pare, hanno fatto meno di 200.000 persone negli Stati Uniti). Tuttavia Elon Musk ha giustificato questo cambiamento dicendo che gli SMS di autenticazione a due fattori fraudolenti, generati da numerose compagnie telefoniche disoneste, stavano costando a Twitter ben 60 milioni di dollari l’anno.

Sia come sia, rimane il fatto che l’autenticazione fatta tramite SMS in generale è poco sicura, non solo su Twitter ma su qualunque servizio online, e andrebbe rimpiazzata, comunque e dovunque, dall’autenticazione tramite app apposita o tramite token, ossia un piccolo dispositivo digitale che contiene una chiave crittografica di sicurezza.

Purtroppo è molto probabile che invece la pigrizia della massa degli utenti, di fronte alla scelta fra 

a) pagare per continuare come prima 

e 

b) capire, installare, configurare e attivare l’autenticazione tramite app

sarà quasi sempre

c) levare del tutto l’autenticazione e usare solo la password, tanto cosa vuoi che mi succeda

Già adesso, secondo le ricerche dell’esperta informatica Rachel Tobac, meno del 3% degli utenti di Twitter ha una qualunque forma di autenticazione a due fattori, e di quel 3% scarso il 74% usa gli SMS. Con questa nuova regola, un’ondata di furti di account è praticamente inevitabile.

Se volete rimediare e cercate un’app di autenticazione, potete provare Authenticator di Google (per Android e iOS) oppure Authy o l’app di autenticazione di Microsoft (disponibile anche lei per Android e iOS). Per gli utenti Apple c’è anche il Keychain o Portachiavi di iOS.

Passare all’autenticazione forte in Twitter non è difficile, ma non è neanche una passeggiata: 

• Il primo passo è installare un’app di autenticazione.
• Fatto questo, si va nell’app, si tocca l’icona del profilo, si sceglie Impostazioni e assistenza, poi Impostazioni e privacy e infine Sicurezza e accesso all’account e poi Sicurezza. 
• Qui si sceglie Autenticazione a due fattori e si disattiva l’opzione SMS (per farlo bisogna digitare la propria password).
• Compare la richiesta di confermare la disattivazione e si risponde toccando Disattiva.
• Si attiva una delle opzioni di sicurezza alternative, ossia App per l’autenticazione oppure Token di sicurezza. Se si sceglie la prima (App per l’autenticazione), compare l’invito ad abbinare un’app di autenticazione all’account Twitter.
• Si clicca su Inizia.  
• Nella schermata successiva, che richiede di abbinare l’app di autenticazione all’account Twitter, si tocca Link app.
• Su iPhone (non so cosa succeda su Android) a questo punto compare la schermata Password automatica e viene elencato l’account Twitter insieme agli altri protetti da password. Si tocca questo account e compare un codice di verifica che dura 30 secondi.
• Si tiene a mente questo codice e si torna all’app Twitter, che a questo punto chiede di immettere il codice.
• Si immette il codice.
  

Anche la Polizia di Stato italiana si associa all’allarme per i furti di account WhatsApp: in un comunicato, segnala e spiega la tecnica utilizzata dai ladri.

La vittima riceve un messaggio sul proprio telefonino con una richiesta apparentemente innocente: “Scusa, ti ho inviato per sbaglio un codice, me lo puoi rimandare?” o qualcosa di analogo. La vittima ha in effetti ricevuto pochi istanti prima via SMS un codice di sei cifre e quindi pensa di fare un favore al proprio interlocutore rimandandoglielo.

Ma è una trappola: il codice, infatti, è quello che WhatsApp manda all’utente quando si vuole trasferire il proprio account a un altro telefono o a un altro numero. Chi ha quel codice può prendere il controllo dell’account.

La trappola è particolarmente credibile perché spesso la richiesta di mandare il codice sembra arrivare da una persona che si conosce e di cui quindi ci si fida: in realtà, spiega la Polizia di Stato, solitamente il conoscente è “un’altra vittima della frode che ha già subito il furto dei dati, in particolare della rubrica, nella quale c’era anche il vostro numero di telefono”.

La difesa è semplice: se ricevete una richiesta di questo genere, per prima cosa ignoratela e non mandate nessun codice a nessuno. Se conoscete il mittente, contattatelo usando un altro canale (una telefonata o un incontro di persona) e avvisatela del problema. E se potete, segnalate il caso alle autorità. Per maggiore sicurezza, attivate l’autenticazione a due fattori (o verifica in due passaggi) su WhatsApp, spiegata qui.

Se il furto di account è già avvenuto, potete consultare le apposite FAQ di WhatsApp per tentare il recupero dell’account.

Immagine esemplificativa. Credit: Fortinet.

Ultimo aggiornamento: 2020/10/06 4:10.

Ho a che fare con un caso insolito di furto di denaro tramite carta di credito. La vittima è stata attirata con l’inganno su un sito di phishing, che ha visitato con il proprio iPhone (recente e aggiornato). Ha immesso nel sito il numero e il CVV della carta. Già così è una brutta situazione, lo so.

Ma il suo conto bancario è protetto da un sistema di sicurezza che include un SMS di verifica contenente un PIN usa e getta, per cui la transazione fraudolenta non può andare in porto se non viene digitato questo PIN. 

Qui sta il mistero: l’SMS è arrivato alla vittima, che giura di non averlo digitato, ma la transazione è stata completata lo stesso come se il PIN fosse stato immesso manualmente. Alla società che gestisce la carta di credito risulta che il PIN sia stato immesso e quindi la transazione è andata in porto: i truffatori hanno rubato il denaro dalla carta della vittima e la banca si è rifiutata di risarcire perché stando ai suoi log la vittima ha usato l’SMS di validazione.

Subito dopo è arrivata una seconda transazione fraudolenta, con relativo PIN proveniente dalla società emettitrice della carta di credito, ma i truffatori non sono riusciti a prelevare altro denaro perché nel frattempo la società emettritrice aveva bloccato la carta.

L’ipotesi prevalente, per ora, è che il sito dei truffatori contenesse del software per leggere gli SMS ricevuti dalla vittima, forse usando la funzione OTP Autofill, come quando ci si iscrive ad alcuni social network e il PIN di autenticazione viene letto automaticamente dall’app del social network.

Se avete teorie migliori, segnalatele nei commenti. Grazie!

Stanno già arrivando le prime ipotesi:

Ho provato con l'iPhone a loggarmi su Amazon con 2F abilitato: cliccando sul campo di immissione del codice OTP dopo aver ricevuto l'SMS il codice compare più in basso, cliccandoci sopra il codice viene immesso nel campo senza doverlo digitare. pic.twitter.com/Mh3jf3dWF7

— PierGiggi (@pierchiodo) October 4, 2020

Questo è riferito a questa funzione:

pic.twitter.com/Df9Pk9I0Mj

— quellaltro (@ggalt5) October 5, 2020

Dai commenti cito questo articolo di Benthamsgaze che parla del Security Code AutoFill di iOS 12 e segnala la pericolosità degli SMS di autenticazione per le transazioni:

SMS based OTP, whether used for 2FA or transaction authentication, has been criticised for not being the most secure choice of technology. For example, in recent years the National Institute of Standards and Technology (NIST) initially publicly criticised SMS as a communication medium for secure authentication, labelling it as insecure and unsuitable for strong authentication. However more recently, they have softened their language and instead deprecated SMS 2FA. Yet, it’s still considered secure enough to be used for Strong Customer Authentication under the new EU Payment Service Directive 2.

[...] Examples in which Security Code AutoFill could pose a risk to online banking security include a Man-in-the-Middle attack on the user accessing online banking from Safari on their MacBook, injecting the required input field tag if necessary, or where a malicious website or app accesses the bank’s legitimate online banking service.