Dopo aver evitato la mania di TikTok negli ultimi cinque anni, alla fine ho ceduto due mesi fa e ho creato un account per motivi di lavoro da seguire Il profilo recentemente lanciato da Euronews.
Ho usato il mio numero di telefono per registrarmi perché era nuovo e usato a malapena per qualsiasi altra cosa, ed erano praticamente le informazioni personali di cui mi importava di meno.
La piattaforma mi ha inviato un codice di accesso via SMS, ho dato un seguito a Euronews, ho fatto scorrere un paio di video sulla pagina “per te” e poi ho dimenticato il mio account per circa un mese.
Il processo di registrazione e accesso è stato molto semplice. Forse un po’ troppo facile.
Un paio di settimane dopo, quando ho effettuato l’accesso al mio account, il nome del mio profilo era diverso, avevo pubblicato cinque video di gatti ed ero amico di qualcuno chiamato “Cookies Galaxy”.
Come è stato possibile? Sembrava che avessi effettuato l’accesso all’account di qualcun altro.
Come è successo?
Secondo TJ Sayers, Cyber Threat Intelligence Manager presso il CIS Center for Internet Security, questo è un problema abbastanza comune.
“È una specie di cosa circostanziale in cui qualcuno ottiene un nuovo numero e passa da un vecchio numero di telefono, e il provider di telefonia mobile trasferisce quel numero a qualcuno”, ha detto a Euronews Next.
Ho avuto accesso alle informazioni personali del titolare dell’account (che sembrava essere inattivo dal 2020), incluso un elenco di commenti che aveva fatto, ognuno dei suoi Mi piace, i suoi messaggi diretti e il suo indirizzo e-mail.
“Sembra che quello che ti è successo è che forse l’account della persona in cui sei entrato non aveva nessun altro passaggio aggiuntivo per l’autenticazione (oltre al numero di telefono) quando ha creato il proprio account”, ha spiegato ulteriormente, “quindi sei stato in grado di utilizzare il numero e accedere all’account”.
Mentre il mio passaggio è avvenuto involontariamente, i tentativi dannosi di appropriarsi dei numeri di telefono sono esplosi con l’aumento della popolarità delle criptovalute nel 2019, secondo l’esperto informatico. Gli hacker hanno sempre più cercato di ottenere l’accesso e bloccare gli utenti dai loro telefoni per assumere il controllo di importanti conti bancari, inclusi i portafogli digitali.
“Alcune persone stanno cercando attivamente di compromettere numeri di telefono e indirizzi e-mail per ottenere l’accesso agli account per altri scopi nefasti”, ha affermato Sayers.
Esistono due modi per rilevare il numero di qualcun altro o “scambio SIM”. L’hard swapping comporta l’assunzione del controllo della carta SIM fisica di una persona, mentre la versione soft implica chiamare il provider telefonico e impersonare il proprietario del numero utilizzando informazioni, come la data di nascita o l’indirizzo della persona, apertamente disponibili su Internet.
“Le persone non pensano nemmeno che quando pubblicano materiale sui social media, potrebbe essere utilizzato da un utente malintenzionato”, ha detto Sayers, aggiungendo, “cosa [scammers] quello che devi fare è ingegnerizzare socialmente quell’agente del servizio clienti affinché trasferisca il tuo numero sul suo dispositivo”.
Cosa posso fare per proteggere il mio account?
Mentre un codice pin è sufficiente per evitare l’hard swap della SIM, impedire lo scambio soft richiede uno sforzo maggiore.
Chiedere al tuo provider di impostare un codice in due passaggi con una passphrase o un numero specifico è un modo per farlo. Per evitare che i tuoi social media vengano rilevati, puoi anche utilizzare il “blocco della registrazione” di un’app, che può collegare il tuo account a identificatori non basati su numeri di telefono.
Per TikTok, la soluzione più semplice è evitare di registrarsi con il proprio numero di telefono. Inoltre, puoi anche impostare l’autenticazione a due fattori (2FA), un pin extra generato sul posto, oltre alla tua normale password. TikTok lo sta ancora sperimentando, ma 2FA è già in uso presso altre società di social media, come Instagram.
Tuttavia, gli esperti raccomandano di astenersi dall’utilizzare 2FA con i messaggi di testo, poiché possono ancora verificarsi scambi involontari. “Una volta che ciò accade, (i truffatori) possono reimpostare tutti i tuoi account, perché otterranno tutti i tuoi codici di autenticazione a due fattori”, ha affermato Sayers.
“Ai tempi in cui 2FA o multifactor sono arrivati, il luogo predominante era ottenere il codice tramite messaggio di testo o tramite e-mail. Sfortunatamente, il panorama delle minacce si è evoluto in modo abbastanza sostanziale e i messaggi di testo non sono più la migliore pratica per ricevere codici di autenticazione”, ha aggiunto.
“L’e-mail è una buona opzione, ma ancora meglio è avere una qualche forma di app sul tuo telefono. Ad esempio Google Authenticator, Microsoft Authenticator o Authy”.
Mentre gli autenticatori sono facilmente disponibili e aziende come Twitter si stanno allontanando dai testi, secondo Sayers, il buy-in del settore è ancora indietro.
“Non è davvero un prossimo passo tecnologico di cui abbiamo bisogno. È più un passo successivo di adozione. Siamo ancora piuttosto indietro nel tentativo di allontanare le persone dai messaggi di testo”, ha detto.
La minaccia dello “spear phishing”
Nel frattempo, le chiavi di sicurezza fisica come Yubikey, che devono essere collegate a un computer per l’autenticazione e sono considerate la tecnologia di autenticazione più sicura in questo momento, stanno diventando sempre più diffuse.
“Certo, vedremo gli attori delle minacce evolversi e inizieranno a provare ad attaccare quegli altri nuovi metodi e poi usciranno nuove tecnologie”, ha avvertito Sayers, aggiungendo che il danno che una persona può subire dipenderà dall’uso fanno degli account sui social media.
Il danno reputazionale potrebbe essere enorme, secondo l’esperto, ma è probabile anche lo “spear phishing” – ottenere l’accesso a dati sensibili impersonando la persona per motivi nefandi.
“Viviamo in un mondo virtuale e molte volte, soprattutto dopo il COVID, molte persone lavorano da remoto. Quindi, se riesci a rilevare un account di social media, le persone potrebbero anche non supporre che le stai contattando tramite quell’account perché sembra che tu sia loro. Quindi possono usarlo per cercare di ottenere l’accesso a informazioni più sensibili “, ha spiegato.
In conclusione, l’esperto è abbastanza chiaro. “In generale, per la sicurezza dei social media, non puoi sbagliare con una password univoca lunga, e sottolineo davvero unica e lunga”, ha affermato.
Image:Getty Images
