Il giornalista di VICE John Cox ha raccontato di come un hacker – su sua richiesta – sia riuscito ad accedere a tutti gli SMS in entrata del suo smartphone con una spesa ridicola di appena 16$. Non c’è voluto molto prima che prendesse anche il controllo di tutti i suoi account più personali e sensibili.

La vicenda non vede per protagonista un sofisticato trojan, né tantomeno il SIM Swapping, ossia la tecnica che permette – usando l’ingegneria sociale – di clonare la Sim di una persona per aggirare l’autenticazione a due fattori.

Non pensavo che ci avrebbe messo così poco tempo. Ero ad una riunione su Google Hangouts quando l’hacker che avevo assunto ha iniziato a mandarmi screenshot del mio account Bumble (un rivale di Tinder ndr) e Postmates. Era riuscito ad entrarci. Poi mi ha mostrato alcuni messaggi che era riuscito ad intercettare. Poco dopo ha preso controllo del mio account WhatsApp ed ha iniziato a messaggiare con un mio amico spacciandosi per me

ha spiegato Cox nel suo articolo, che trovate per intero nel link in fonte.

Come detto poco sopra, l’hacker ha avuto fin troppa vita facile: per prendere interamente il controllo della vita del giornalista non ha fatto altro che richiedere i servizi di un’azienda legittima chiamata Sakari. Il tutto è costato solo 16$ ed è – grossomodo – alla portata di qualsiasi malintenzionato, anche di un completo illetterato dal punto di vista tecnologico. «Lo può usare letteralmente chiunque», ha spiegato l’hacker a VICE.

Sakari è un servizio usato dalle aziende per condurre campagne marketing usando gli SMS: dagli annunci di nuove offerte ad informazioni aziendali di altro genere. Non è un servizio illegale, ma è sicuramente poco regolamentato dato che consente di dirottare tutti i messaggi di una persona sui server di un’azienda. Basta dire di avere il consenso della persona interessata. Sakari non chiede certificazioni o prove di alcun tipo, si fida di un autocertificazione, aprendo le porte ad ogni possibile abuso.

A differenza di quanto avvenga con il SIM Swapping, il telefono della vittima non mostra nessun campanello d’allarme. Se ti clonano la SIM, molto semplicemente, il tuo telefono smette di funzionare: non riceve più telefonate e non si collega più ad internet. Con servizi come quello offerto da Sakari questo non succede e il criminale è libero di agire indisturbato senza lasciare tracce.

Questo nuovo vettore d’attacco dimostra quanto poco siano regolati gli strumenti di marketing via SMS, ma anche quanto sia profonda la voragine nelle misure di sicurezza delle nostre infrastrutture per le telecomunicazioni

ha scritto Cox.