MSISDN vs IMSI: qual è la differenza e perché è importante per l'identità mobile?
Perché non capire la differenza tra numero di telefono cellulare (MSISDN) e numero di carta SIM (IMSI) - o affidarsi semplicemente a un numero di cellulare per verificare l'identità - può aprire la porta a frodi di scambio di SIM e a una serie di altri problemi per gli utenti di telefonia mobile...
Il commercio si è spostato online e online significa sempre più mobile. La pandemia di Covid-19 ha portato un numero maggiore di persone a lavorare, fare acquisti e fare affari da remoto come mai prima d'ora. In tutto il mondo, oltre 50% di questo traffico avviene già su dispositivi mobili; in tutta l'Asia questa cifra si avvicina di più a 60%mentre in India è superiore a 75%.
Con la continua crescita del dominio della telefonia mobile nell'e-commerce, molte app hanno iniziato a utilizzare il numero di cellulare come principale forma di identità dell'utente. Anche il metodo di autenticazione a due fattori più comune - un codice PIN inviato via SMS - utilizza il numero di cellulare.
Ma c'è un grosso problema: sebbene un numero di cellulare sia unico, in realtà non è di proprietà o controllato dall'utente. Questo lo rende vulnerabile ai truffatori che possono intercettare i codici PIN degli SMS e altre informazioni sensibili con sempre maggiore facilità. Inoltre, crea problemi quando i numeri vengono riciclati dagli operatori di telefonia mobile e riemessi a utenti diversi.
Quindi, se la vostra attività si basa solo su un numero di telefono, potreste trovarvi in grossi guai.
In questo articolo spiegheremo la differenza fondamentale tra un numero di telefono (MSISDN) e un identificativo della carta SIM (IMSI). Analizzeremo come operano i truffatori di SIM swap, esamineremo il problema dei numeri di telefono riciclati e spiegheremo come un numero di cellulare da solo non sia sufficiente per verificare gli utenti in modo sicuro. Infine, esamineremo un'alternativa sicura e sorprendentemente semplice per verificare gli utenti e prevenire le frodi, di cui forse non siete a conoscenza.
MSISDN vs IMSI: qual è la differenza?
Tutti conoscono il proprio numero di telefono cellulare: è abbastanza semplice da memorizzare. Il nome tecnico di questo numero è Mobile Station International Subscriber Directory Number: MSISDN. Ma questo numero è in realtà solo un'etichetta, qualcosa che l'utente può ricordare e condividere con gli altri.
In realtà, è l'identificativo della carta SIM - chiamato International Mobile Subscriber Identity o IMSI - che è l'identificativo univoco dell'utente nelle reti mobili. Quindi, se per qualsiasi motivo si ha bisogno di una nuova carta SIM, questa avrà un nuovo IMSI. Ma si può mantenere lo stesso numero di cellulare e questo crea una vulnerabilità.
Quando si invia un messaggio di testo o si effettua una chiamata, lo si invia a un numero di telefono (MSISDN): in questo modo i vostri contatti potranno continuare a raggiungervi quando avrete una nuova SIM. L'operatore di telefonia mobile instrada il messaggio verso un dispositivo mobile, in base all'ultima mappatura dell'MSISDN con l'IMSI del dispositivo. Se non ci sono state modifiche, non c'è alcun problema. Tuttavia, se l'MSISDN è ora mappato sulla carta SIM di un'altra persona, il messaggio di testo o la chiamata saranno inviati a quest'ultima.
Si potrebbe pensare che questo non sia un grosso problema, a meno che non abbiate recentemente perso il vostro telefono o cambiato rete. Ma i malintenzionati sfruttano questa scappatoia deliberatamente e con ottimi risultati.
Come fanno i malintenzionati a realizzare le frodi di SIM swap?
Le frodi di scambio di SIM sono in aumento e i casi di alto profilo fanno sempre più spesso notizia, come quello di Jack Dorsey, CEO di Twitter, che ha visto il suo conto hackeratoe un adolescente canadese accusato di rubare $50m.
Ecco come funziona:
- Un malintenzionato scopre il vostro numero di cellulare e alcune informazioni personali, in genere attraverso una truffa di phishing, l'ingegneria sociale o l'acquisto di informazioni da altri criminali.
- Utilizzano queste informazioni per spacciarsi per voi presso il vostro operatore di rete mobile (MNO), dicendo che hanno bisogno di una nuova carta SIM, magari fingendo di aver perso il telefono.
- L'agente dell'assistenza clienti dell'MNO rilascia la nuova carta SIM al cattivo attore, con il vostro numero di cellulare.
- Non appena la carta SIM viene attivata sul cellulare del malintenzionato, la vostra SIM originale smette di funzionare.
- Prima che ve ne accorgiate o che facciate qualcosa, il malintenzionato accede rapidamente al vostro online banking, ai social media, alle e-mail e ad altro ancora, e cambia la password intercettando il codice PIN inviato via SMS. In questo modo può facilmente rubare la vostra identità e/o il vostro denaro.
La frode dello scambio di SIM è un metodo semplice e di successo con una fiorente comunità di criminali alle spalle, e continua ad aumentare. Nel 2020, Action Fraud ha registrato quasi due volte nel Regno Unito il numero di casi dell'anno precedente. Ma anche se non siete mai stati vittima di uno scambio di SIM, il vostro numero di cellulare potrebbe comunque consegnare a malintenzionati la chiave della vostra identità o far trapelare le vostre informazioni personali a uno sconosciuto...
In che modo i numeri riciclati causano problemi?
Un'altra conseguenza della separazione tra MSISDN e IMSI è ciò che accade quando un numero di cellulare viene riciclato. In ogni Paese è disponibile un numero finito di numeri di telefono cellulare, quindi c'è sempre una pressione per liberarne altri, soprattutto perché gli MNO li esauriscono più velocemente di quanto si possa pensare.
Ad esempio, una tattica di marketing comunemente utilizzata dagli MNO è quella di inviare una serie di carte SIM prepagate per attirare i clienti sulla propria rete. A ciascuna di queste SIM viene assegnato un numero di telefono; anche se non viene attivata, per un certo periodo di tempo nessun altro può utilizzare quel numero. Ma alla fine, se non è stato utilizzato, gli operatori di telefonia mobile riciclano l'MSISDN e lo rimettono nel pool di numeri disponibili.
Nel Regno Unito, la durata di questo periodo varia a seconda della rete, e in genere richiede da 90 giorni a un anno prima che un numero inutilizzato diventi nuovamente disponibile. In altri Paesi, invece, possono bastare poche settimane o addirittura pochi giorni.
I problemi sorgono quando un'applicazione mobile utilizza il solo numero di telefono cellulare (MSISDN) come identificatore primario. Quando questo numero viene riciclato a un nuovo utente, quest'ultimo può inavvertitamente accedere alle informazioni di accesso dell'utente precedente quando cerca di registrarsi per un account, o addirittura ricevere messaggi, chiamate e codici di autenticazione a due fattori destinati all'utente precedente.
Nel migliore dei casi, questo potrebbe semplicemente portare un estraneo confuso a visualizzare accidentalmente il vostro profilo sui social media. Nel peggiore dei casi, potrebbe trattarsi di un individuo malintenzionato che accede deliberatamente ai vostri account online, si appropria del vostro denaro e vi ruba l'identità.
L'MSISDN da solo non è mai la soluzione giusta?
La risposta breve è no, ma il giusto livello di autenticazione dipende dal livello di rischio e dall'equilibrio che la vostra applicazione deve raggiungere tra attrito e sicurezza. La versione più sicura di ogni app renderebbe obbligatoria la 2FA a ogni accesso, ma quando si tratta di onboarding e retention degli utenti, questo non è realistico.
Ad esempio, in un flusso di onboarding mobile per un'app di viaggi, un utente può essere in grado di registrarsi con il solo MSISDN per sfogliare semplicemente gli annunci e inviare messaggi ai venditori. Quando l'utente deve compiere un'azione più rischiosa, come effettuare una prenotazione, l'app può richiedere un secondo fattore, come la scansione dell'impronta digitale o del volto. Sebbene questo aggiunga attrito, l'utente è già investito a questo punto, quindi il compromesso UX è considerato valido per la prevenzione delle frodi.
In che modo l'utilizzo della scheda SIM consente di ovviare a tutti questi problemi?
Non c'è bisogno di compromessi. La chiave per autenticare un utente mobile in modo rapido, sicuro e affidabile è utilizzare il suo numero di cellulare, ma eseguire la verifica utilizzando la carta SIM del telefono cellulare. Una verifica del numero di cellulare collegata a una carta SIM fisica è la soluzione più solida e a basso attrito per l'identità dell'utente su un dispositivo mobile, in grado di risolvere tutti i problemi sollevati in precedenza.
Sicurezza impareggiabile: I numeri di telefono cellulare sono legati in modo univoco a una singola carta SIM. In qualsiasi momento, l'accoppiata numero di cellulare + carta SIM è assolutamente unica, non duplicabile e crittograficamente sicura.
Impedisce lo scambio di SIM: La verifica con il numero di cellulare + la carta SIM è efficace contro le frodi di scambio di SIM, in quanto garantisce che il numero non sia stato riassegnato da un malintenzionato.
Risolve numeri riciclati: L'identificazione degli utenti in base alla combinazione di numero di cellulare e carta SIM elimina il rischio di compromettere i dettagli dell'account quando i numeri vengono riciclati, garantendo la sicurezza degli utenti e proteggendo la reputazione del vostro marchio.
UX senza soluzione di continuità: Per un utente, questo approccio è estremamente semplice: basta digitare il proprio numero e questo verrà verificato istantaneamente, in tempo reale, senza bisogno di ulteriori azioni: nessun SMS da attendere, nessun codice PIN da digitare nuovamente.
IDlayr: l'autenticazione mobile reimmaginata
IDlayr può aiutarvi a implementare questo approccio del XXI secolo all'identità degli utenti. Basta con la raccolta di dati inaffidabili e invasivi: la nostra gamma di prodotti basati su API vi consente di implementare in modo rapido e semplice un'autenticazione degli utenti mobile deterministica, sicura e priva di attriti, riducendo le frodi e aiutandovi ad aumentare i ricavi della telefonia mobile.