È dagli anni ʼ90, quando è iniziato il mio amore per i film sulle rapine in banca, che sono affascinato dal pensiero di essere in grado di fare irruzione in banca. E penso di aver finalmente scoperto un modo per farlo... beh, più o meno. La sicurezza delle tipiche applicazioni bancarie mi impressiona immensamente, e con il mio ʺsecurity hatʺ non ho ancora pensato a un modo per bypassare le solitamente robuste misure incorporate nelle applicazioni e progettate per proteggere il denaro dei clienti delle banche, il che è esattamente come dovrebbe essere. Tuttavia, se le banche sono così sicure, mi sono chiesto se ci può essere un modo per attaccare una delle terze parti più popolari che spesso hanno già accesso completo ai fondi delle persone: PayPal.
Per mettere le cose in prospettiva, negli ultimi 18 mesi ho dimostrato con successo quanto sia facile dirottare un account WhatsApp o Snapchat senza il giusto livello di sicurezza impostato sugli account. Per questo ho iniziato a chiedermi se avrei dovuto alzare la posta e tentare di ottenere il controllo di un account finanziario utilizzando tattiche simili. A quanto pare, con la semplice arte del "shoulder surfing", il tuo account PayPal potrebbe effettivamente essere compromesso e potresti perdere migliaia di dollari.
Gli attacchi di ingegneria sociale sono sempre più comuni e sempre più popolari tra le bande criminali. D'altra parte, sono difficili da sperimentare correttamente su qualcuno in condizioni di test, semplicemente perché le "vittime" sono consapevoli del vettore di attacco proposto e questo getta immediatamente la prova fuori dalla finestra senza provarne la fattibilità. Tuttavia, ho trovato un modo per prendere possesso del conto PayPal di qualcuno e dimostrarlo in un esperimento legittimo e legale. E, ancora più importante, imparerete come evitare questo attacco sul vostro conto.
Al fine di dimostrare quest'ultima teoria, non ho scelto di prendere di mira una persona qualsiasi - volevo testare pienamente la mia ipotesi su qualcuno che molto probabilmente avrebbe capito ciò che stava accadendo, soprattutto perchè erano coinvolti i soldi. Ecco perché ho scelto di prendere di mira un amico (chiamiamolo Dave) che è stato nell'industria della sicurezza per ben oltre 20 anni: Dave è un guru quando si tratta di sicurezza informatica e pochissime truffe passano i suoi occhi senza che lui si renda conto di cosa sta succedendo. Perfetto.
Iniziamo l‘esperimento
Recentemente ho organizzato un incontro con Dave e alcuni altri amici che avevo visto solo una manciata di volte negli ultimi 18 mesi. Ho chiesto a Dave se avrebbe accettato di giocare un ruolo fondamentale in un piccolo hack. In nome della consapevolezza sulla cybersecurity e sul miglioramento della prevenzione delle frodi, ha accettato di permettermi di provare qualsiasi cosa sul suo conto a patto che io offrissi il pranzo - non ha specificato quale conto bancario usare, però!
In un ristorante, Dave ha posato il suo telefono sul tavolo e stava chiacchierando con alcuni di noi intorno al tavolo. Ho portato con me il mio portatile e così, nel frattempo, ho aperto il sito di PayPal e sono andato direttamente alla sezione preferita dagli hacker: la pagina della password dimenticata
Conosco l'indirizzo email personale di Dave e immagino che lo usi anche per PayPal. In un attacco vero, l'hacker avrebbe bisogno di conoscere l'indirizzo email del bersaglio, ma, di questi tempi, gli indirizzi email di molte persone possono essere trovati con poche ricerche. Google, LinkedIn, anche Instagram possono mostrare il vostro indirizzo email, che è tutto ciò che serve per avviare questo attacco su qualsiasi utente PayPal.
PayPal richiede poi di effettuare un "rapido controllo di sicurezza" attraverso una diversi strumenti: un SMS, un'email, una telefonata, un'app authenticator, persino un WhatsApp! Alcuni hanno anche la possibilità di controllare l‘identità tramite una o più domande di sicurezza, che sono senza dubbio vecchie come l'account. E, come nel mio caso, le risposte potrebbero essere estremamente facili da scoprire. Non avevo idea di averle ancora e non sono riuscito a trovare in nessuna impostazione dove eliminare alcune forme di controllo di sicurezza. Tornando a Dave, l'unico controllo di sicurezza era l‘SMS, e concentriamoci su quello per ora.
Con Dave che stava ancora parlando con i colleghi nella sala riunioni, ho cliccato su "Avanti",e il sistema ha inviato immediatamente un codice di sei cifre al suo telefono.
Mi sono avvicinato al telefono di Dave e senza che lui se ne accorgesse, e ho toccato lo schermo per riattivarlo. Dato che Dave non aveva disabilitato le anteprime dei messaggi sulla schermata di blocco del suo telefono, ho visto facilmente il codice e l'ho digitato nel campo del codice di verifica sul sito web. Questo era tutto ciò di cui avevo bisogno, e ora ero sul suo conto! Il sito di PayPal mi ha poi chiesto di scegliere una nuova password per il suo conto e l'ho cambiata con una che il mio generatore di password aveva appena creato.
Così ero lì, a fissare la dashboard PayPal di Dave e tutte le carte associate al suo conto. Mi sembrava davvero di essere entrato in una banca! Stavo guardando tutte le opzioni e le sue carte di credito collegate. Avrei potuto facilmente collegare una banca o una carta di credito o anche guardare i suoi dati personali come il suo indirizzo di casa. Avrei potuto cambiare l'indirizzo email del suo account, il suo indirizzo o il suo nome, ma per testare veramente questo attacco ho cliccato su "invia denaro". Anche se avrei potuto inviare fino a 10.000 sterline (ero tentato e l'ho anche digitato per fare scena), ho scelto di inviare solo 10 sterline al mio conto PayPal (ricordate che lui mi aveva autorizzato a fare questo ʺscherzoʺ e avevo promesso di rimborsarlo per qualsiasi importo spostato!)
Nel momento in cui ho cliccato su "invia denaro ora", il telefono di Dave ha ricevuto un'e-mail di conferma che il denaro si era appena mosso dal suo conto ed è qui che si è bloccato, quando l'ha letto sul suo Apple Watch. Ma io l’avevo fatta franca. Avevo spostato i soldi e gli ho chiesto se potevo offrirgli il pranzo. La sua faccia indicava che non era impressionato.
Quindi, per ricapitolare, a questo punto, avrei potuto inviare 10.000 sterline a uno qualsiasi dei 300 milioni di conti PayPal del mondo semplicemente vedendo un codice sul telefono di qualcuno. Questo è assurdo, e la gente deve chiaramente essere consapevole di questo semplice attacco. L'asticella che si deve saltare per compromettere un conto in questo modo sembra essere troppo bassa, soprattutto quando si confronta il livello di sicurezza con quello di una classica banca online, eppure è stato dimostrato che funziona con un potenziale danno considerevole.
Si potrebbe essere inclini a pensare che Dave avrebbe dovuto semplicemente disattivare le anteprime di notifica sul suo telefono. Tuttavia, come ho dimostrato nel mio attacco "Snaphack", è ancora possibile leggere tali messaggi quando le vittime stanno semplicemente usando i loro telefoni, come quando mandano un messaggio. Spesso non sono consapevoli del modus operandi e semplicemente ignorano queste notifiche/avvisi. Quando ho provato l'esperimento PayPal su un telefono Android, ho anche notato che l'anteprima del messaggio di testo era abilitata come impostazione predefinita.
Il FaceID avrebbe aiutato?
Un'ulteriore scoperta nel mio hack dell'account di Dave è stata la goccia finale. In passato avevo visto Dave aprire il suo iPhone usando FaceID, anche mentre indossava una maschera. Questa era una funzione di Apple Watch introdotta nell'aprile 2021 con iOS 14.5 per bypassare FaceID e ho subito trovato un modo per aggirarla in quel momento. L'ho testato sul telefono di Dave e, come sospettato, ha funzionato con facilità usando il mio volto e oscurato da una maschera. Anche se ha ricevuto una notifica sul suo Apple Watch per dire che avevo sbloccato il suo iPhone, questo sarebbe stato tutto ciò che era necessario per sbloccare un'anteprima di testo. Questo sarebbe stato sicuramente sufficiente per leggere un codice di conferma e iniziare l'attacco.
Perdita del telefono
Questo mi ha fatto pensare al furto dei telefoni. Dal momento che i telefoni sono confezionati con una crittografia resistente, avevo precedentemente supposto che i telefoni non valessero molto sul mercato nero e che fossero relativamente inutili senza un successivo lavoro per ottenere la password di reset di Apple o Google. Tuttavia, ora sto pensando che il telefono di chiunque è a rischio se gli aggressori conoscono il tuo indirizzo e-mail una volta che lo rubano su un treno, per esempio. Un semplice shoulder surfing o una semplice ricerca su internet potrebbe ottenere queste informazioni abbastanza rapidamente e poi unito con quello che ho scoperto, c'è una seria quantità di danni che si potrebbero fare.
Domande di sicurezza
PayPal funziona ancora con le domande di sicurezza e, da quello che ho trovato, non posso rimuoverle, solo cambiare le risposte. La pagina delle impostazioni di sicurezza di PayPal dice "Per la tua protezione, scegli 2 domande di sicurezza. In questo modo, possiamo verificare che sei veramente tu se c'è un dubbio". Ma bypassare tali domande di sicurezza è spesso estremamente facile nel mondo dell'ingegneria sociale e considerando la quantità di dati disponibili su molti di noi sui social media, quindi sembra assurdo che si possano utilizzare le domande di sicurezza per entrare in un'applicazione finanziaria.
Allora perchè è così facile?
Le banche rendono sempre più difficile per gli hacker sfruttare i loro sistemi e spesso si aggiornano a nostra insaputa, mantenendo i nostri conti al sicuro. Ma se usiamo PayPal come forma di pagamento assegnato ad app come Uber o eBay, che è costantemente collegato alle nostre carte di credito e ai nostri conti bancari, non è questo l'anello più debole della catena?
Senza voler dare la colpa a PayPal, penso che ci siano molte tecniche di prevenzione che si possono applicare subito a partire da questa storia. Questo non è assolutamente colpa di PayPal, ma dimostra l'ennesimo trucchetto di cui gli hacker tenteranno di abusare, e per il quale dovremmo sempre stare all'erta.
Metodi di prevenzione
- Non fare affidamento sull'autenticazione multifattoriale basata su SMS; ove possibile, utilizza invece un'app di autenticazione o una chiave di sicurezza.
- Non ignorare mai un codice di conferma. Se ne ricevi uno quando non te lo aspettavi, probabilmente c'è qualcosa su cui bisogna indagare
- Non lasciare mai il tuo telefono incustodito
- Nascondi le anteprime di tutti gli SMS e delle altre notifiche delle app
- Se perdi il tuo telefono o te lo rubano, contatta immediatamente il tuo operatore telefonico per bloccare la SIM. Poi usa 'Trova il mio Apple di Apple, o 'Trova il mio dispositivo' di Google, per localizzare il telefono e metterlo in modalità smarrimento.
- Usa un indirizzo email separato per PayPal, uno che gli altri non saranno in grado di indovinare
- Disattiva o cambia le risposte di sicurezza di PayPal con password casuali che non siano collegate alla domanda e memorizzarle nel tuo gestore di password
- Rimuovi l'opzione che permette a FaceID di funzionare con un Apple Watch mentre si indossa una maschera
Naturalmente, ho chiesto a PayPal una risposta, quindi vi lascio con quello che il loro rappresentante aveva da dire:
"Ho esaminato il documento che hai condiviso con noi. Tuttavia, ti preghiamo di notare che abbiamo educato i nostri utenti a non condividere il codice di sicurezza che hanno ricevuto da PayPal con nessuno".