Se ancora oggi usi gli SMS per ricevere i codici di autenticazione a due fattori (2FA), questa notizia potrebbe farti cambiare idea definitivamente. Un’inchiesta pubblicata da Bloomberg, supportata da un whistleblower e da Lighthouse Reports, ha rivelato che oltre un milione di messaggi SMS contenenti codici 2FA sono stati intercettati nel giugno 2023.
Chi è finito nel mirino? Google, Meta, Amazon, Tinder, Snapchat, Signal, WhatsApp, Binance e numerose banche europee. Chi li ha intercettati? Una società svizzera semi-sconosciuta: Fink Telecom Services, legata (direttamente o indirettamente) a agenzie governative e contractor della sorveglianza internazionale.
Il problema è che gli SMS, a differenza di un’app di autenticazione, viaggiano senza alcuna crittografia. Questo significa che, lungo il percorso tra il server dell’azienda e il tuo smartphone, chiunque abbia accesso alla rete telefonica può leggerli.
In questo caso, Fink Telecom avrebbe fornito “servizi di routing” per questi messaggi, ma secondo gli investigatori avrebbe anche facilitato l’accesso fraudolento a numerosi account.
La 2FA nasce per proteggerti se la tua password viene rubata. Ma se anche il secondo fattore (cioè il codice) viene intercettato, il sistema diventa inutile.
Un hacker o un’agenzia con il tuo username e password, intercettando il codice SMS, può accedere completamente al tuo account, bypassando ogni barriera.
Come difendersi? Evita gli SMS come metodo di ricezione dei codici 2FA
Usa un’app di autenticazione affidabile, come Google Authenticator, Microsoft Authenticator, 1Password o Authy. Oppure, passa ai passkey, se disponibili: sono il metodo più sicuro, usano il tuo volto (Face ID) o impronta (Touch ID) per autenticarti localmente e non trasmettono password né codici all’esterno.
News