Come potrei svuotare un conto in banca

Questo articolo tratta di una serie di debolezze, da un istituto bancario ad un operatore telefonico, passando per un essere umano..

Parla anche di come è possibile sfruttare queste debolezze per compiere un furto.

Per fortuna, la persona che sta scrivendo non si definisce un truffatore perciò il furto non è mai avvenuto.

Come nasce questa storia?

Per chi non lo sapesse ho da poco cambiato azienda, come tutte le aziende che si rispettino mi hanno fornito un numero aziendale e uno smartphone.

Poco dopo aver attivato il mio numero, di una nota compagnia telefonica Italiana, ho iniziato a ricevere chiamate da scocciatori per le richieste più disparate: c’è chi mi chiedeva di pagare la bolletta della luce, chi del gas o di Internet, ma la più curiosa e anche la più utile riguardava un tecnico e la sua richiesta d’informazioni su quando poteva venire a pulirmi la caldaia, come gli avevo chiesto.

Io, giustamente insospettito da tutte queste chiamate decido di chiamare il mio operatore con una semplice domanda: questo numero era di qualcun altro e lo avete riassegnato a me?

La signora dall’altra parte del cavo gentilmente mi ha dato conferma! Si questo numero fino a poco tempo prima era di un’altra persona.

Troppo curioso per non indagare ho iniziato a fare il mio mestiere: OSINT

Cosi, ho verificato il mio nuovo numero telefonico su una ventina di APP caller-ID scaricate dal PlayStore in un emulatore di Android per PC.

Se vi chiedete come diamine fanno a funzionare queste APP vi svelo l’oscuro arcano. Quando le installi ti chiedono l’accesso alla tua rubrica che quindi viene esfiltrata ad insaputa della maggior parte degli utenti (tanto chi le legge quelle pagine che accettiamo tutti senza problemi).

Bene questi numeri popoleranno il database di queste APP, più utenti le scaricano, più numeri vengono ottenuti, più l’APP funziona bene e riceve recensioni positive, più viene nuovamente scaricata, in un circolo vizioso senza fine.

Tralasciando che tre di queste 20 Apps erano esattamente la stessa APP con un altro nome, cosa che fa alzare la bandierina a chiunque si occupi di security, torniamo a noi.

In una di queste APP trovo il nome di questa persona seguita da “alpino” un chiaro segno di quale mestiere svolga.

In due o tre altre APP trovo invece un’altra nomenclatura, simbolo che la persona che ha “donato” questo numero a queste APPs probabilmente ne ha scaricata più di una.

Oltre alla parola “Nonno”, che ci fa supporre che il nostro malcapitato non sia esattamente giovane, la seconda parola nascosta per privacy è il cognome.

Per privacy della nostra vittima non vi mostrerò come sia semplice trovare i profili social di questa persona sapendo: il suo nome completo, il suo lavoro e, questo grazie all’aiuto del povero tecnico di caldaie, un luogo specifico.

Andate sulla fiducia miei signori…

Se vi sto annoiando sul fatto che finora non ho violato niente eccovi accontentati, ovviamente scherzo nessun account è stato maltrattato, lo scopo di questo articolo è aumentare la consapevolezza non fare il blackhat.

Facebook offre un bellissimo form di recupero password, basta inserire il numero di telefono (ora in mio possesso) per recuperare l’account attraverso un SMS.

Ho quindi ipoteticamente vinto un account, ricordatevi di Facebook ci tornerà utile dopo.

Ammetto che non avevo idea di quale e-mail usasse, un po’ per culo un po’ per intuito mi sono buttato su Gmail.

In questo caso dopo aver inserito il numero telefonico, Google fa una domanda davvero inutile, chiede il nome! Ovviamente il nome lo sappiamo già e possiamo procedere, abbiamo ottenuto anche l’e-mail.

Ipoteticamente avendo l’e-mail potremmo resettare tutti gli account e arrivare ad un’intera compromissione della sfera privata di questo povero uomo. Non avendo veramente l’e-mail in mano, sono passato oltre.

Non mi sono concentrato particolarmente su Amazon, però hey possiede anche un account Amazon, ci tenevo a farvelo sapere

Arriviamo alla banca, sfortunatamente per noi l’unico modo per accedere al conto è sapere il codice cliente e un pin, che non abbiamo e nessuna delle due può esser chiesta tramite SMS.

Tuttavia, in aziende molto grandi spesso chi ha strutturato il login in maniera furba non è lo stesso che ha deciso che il sito deve essere usabile, perciò questo esperto in UX ha deciso che era “out” non far accedere i clienti al proprio conto tramite Facebook…

Quindi tutta la sicurezza del login è andata a farsi benedire, l’accesso all’account Facebook lo abbiamo già ed è bastato il numero telefonico.

Ed ecco ragazzi! Siamo diventati ricchi!

Qual è la morale in tutto questo?

· Se cedi il tuo numero di telefono ricordati di rimuoverlo come 2FA da tutti i siti

· Ricevere token via SMS è una cosa stupida

· Riassegnare un numero di telefono è stupido più del 2FA via SMS

· Si lo è anche abbassare i criteri di login per rendere il sito più accessibile agli utonti….