L’autenticazione a due fattori è considerata uno dei metodi più efficaci. Ciò allo scopo di proteggere i propri account digitali da accessi indesiderati. Eppure, non tutte le forme di autenticazione a due fattori offrono lo stesso livello di sicurezza. A tal proposito, l’uso dei codici inviati via SMS si è dimostrato, nel tempo, vulnerabile. A destare preoccupazione è il modo in cui i messaggi viaggiano attraverso la rete. Anche se l’SMS contiene spesso l’esplicito avvertimento di non condividere il codice ricevuto, il pericolo risiede non tanto nella disattenzione dell’utente. Ma nelle debolezze strutturali della tecnologia stessa. Prima di arrivare al destinatario finale, ogni SMS transita attraverso una rete di intermediari. Tale percorso, spesso poco trasparente, può offrire opportunità a malintenzionati. I quali possono così intercettare e leggere il contenuto dei messaggi, spesso senza che né il mittente né il destinatario ne siano consapevoli.
Pericolo con l’autenticazione a due fattori via SMS
Un’inchiesta di Bloomberg ha acceso i riflettori su una situazione emblematica. Quest’ultima, infatti, ha mostrato quanto il sistema può essere fragile. A giugno 2023, circa un milione di SMS contenenti codici per l’autenticazione a due fattori è stato oggetto di analisi. I messaggi provenivano da grandi aziende come Google, Meta, Amazon, alcune banche europee, nonché da app note come Tinder, Snapchat e persino servizi di messaggistica criptata quali Signal e WhatsApp. Tutti tali messaggi sono transitati attraverso Fink Telecom Services, una piccola società svizzera con un passato controverso. Quest’ultima, in passato, era già stata coinvolta in indagini su intercettazioni illecite legate ad account email e crypto wallet di utenti israeliani.
Secondo quanto riportato da Bloomberg, Fink Telecom e il suo fondatore avrebbero collaborato con agenzie governative dedite alla sorveglianza. Contribuendo a operazioni di tracciamento della posizione di telefoni cellulari e monitoraggio delle comunicazioni. Bastavano username e password per aggirare la 2FA basata su SMS e accedere ad account personali, social o bancari. L’azienda ha negato ogni recente coinvolgimento in attività illecite e ha ammesso che l’uso degli SMS per l’invio dei codici non è una pratica sicura. Attribuendo la responsabilità alle aziende che ancora si affidano a tale metodologia obsoleta.
