Come hanno esfiltrato i dati a Vodafone/ho.Mobile?



Ecco un altro attacco hacker messo a segno con modalità “stealth”, ovvero senza che la vittima si rendesse minimamente conto dell’attacco fino a quando i dati esfiltrati sono comparsi in vendita su DarkWeb. Purtroppo questo è uno degli attacchi più importanti realizzati in Italia, sai per il numero di utenti di Vodafone/HoMobile, sia per i futuri rischi che tali utenti hanno di rimanere truffatti per l’utilizzo dei loro dati per phising, social engineering, SIM swapping.



Ancora una volta viene confermato che i comuni strumenti di difesa informatica sono facilmente aggirati dai malware evoluti che entrano nei sistemi senza “svegliare nessun cane da guardia”, che spesso rimangono silenti e nascosti per diversi mesi, che esfiltrano elevate quantità di dati senza che nessun allarme si attivi. Quindi questi sistemi di sicurezza, ormai obsoleti e privi di ogni utilità, vengono beffati ben 3 volte:


1. Quando non si accorgono che il malware entra nella infrastruttura informatica


2. Quando il malware rimane nascosto per mesi in un qualche end-point o server


3. Quando il malware si attiva e: a) scala i privilegi, b) esfiltra imponenti quantità di dati con



Oggi Vodafone/ho. Mobile è in grado di sapere con precisione quali clienti sono stati colpiti (2,5 milioni di utenti) e quali dati personale sono stati esfiltrati (nome, cognome, numero di telefono, codice fiscale, e-mail, data e luogo di nascita, nazionalità e indirizzo, oltre all’ICCID della SIM card). Questo grazie probabilmente ad una analisi forense post incident dei sistemi aziendali (file di log, tracce di accesso a file, database).



Oggi i clienti di ho. Mobile coinvolti nel furto di dati rimane ancora il rischio di rimanere vittima di un attacco di tipo SIM Swap che consente di clonare la SIM e accedere poi a servizi online.



Ancora una volta siamo costretti a sottolineare che i sistemi di sicurezza comuni ,ed ormai facilmente bypassati dai moderni attacchi cyber, non sono in grado di individuare le tecniche che sempre più spesso sono utilizzate:


· Defense evasion


· Privilege escalation


· Modalità invisibile stealth



Questo perchè tali sistemi sono di tipo “signature” e quindi non intercettano tutto ciò che è nuovo, evoluto, ignoto. Ma anche perché sono sistemi noti, di cui tutti nel settore sanno come tecnicamente si muovono e cosa osservano nell’infrastruttura informatica, quindi sono facilmente eludibili.


L’approccio ZERO TRUST, con i relativi strumenti innovativi sviluppati intorno ad esso, permetto proprio di intercettare sia attacchi noti che ignoti, anche quelli evoluti e mai individuati prima. Riteniamo quindi che un’azienda lungimirante debba valutare l’adozione di strumenti moderni di cybersecurity, quindi ZERO TRUST, soprattutto per la difesa dei propri end-point e la gestione dei privilegi agli utenti.