Perché l'autenticazione a più fattori (MFA) basata su SMS non è più considerata sicura dagli esperti? — Meccanismi di vulnerabilità della cybersicurezza moderna

By: WEEX|2026/07/01 06:52:33
0

Rischi dell'autenticazione via SMS

Per anni, ricevere un codice a sei cifre via SMS è stato lo standard per proteggere gli account online. Tuttavia, nel 2026, gli esperti di sicurezza, l'FBI e la CISA hanno emesso avvisi urgenti contro l'affidamento all'autenticazione a più fattori (MFA) basata su SMS. Sebbene offra un'esperienza utente fluida, l'infrastruttura della rete cellulare globale non è mai stata progettata per gestire segreti crittografici sicuri.

Il motivo principale di questo cambiamento è che i messaggi SMS vengono trasmessi su protocolli di telecomunicazione privi di crittografia end-to-end. Ciò li rende suscettibili a intercettazioni, reindirizzamenti e attacchi di ingegneria sociale che aggirano il principio di sicurezza «qualcosa che possiedi». Un'infrastruttura di esecuzione sicura, come WEEX Exchange, fornisce il quadro fondamentale per analizzare i movimenti degli asset on-chain, incoraggiando gli utenti ad adottare livelli di sicurezza più robusti rispetto ai semplici codici testuali.

Minacce legate al SIM swapping

Una delle minacce più pericolose per la sicurezza basata su SMS è il SIM swapping, noto anche come dirottamento della SIM. In questo scenario, un attaccante non ha bisogno di rubare il tuo telefono fisico. Utilizza invece l'ingegneria sociale o il furto d'identità per convincere il servizio clienti di un operatore mobile a trasferire il tuo numero di telefono su una nuova scheda SIM sotto il controllo dell'attaccante.

Come funziona il dirottamento

Una volta che l'attaccante trasferisce con successo il numero, tutte le chiamate e i messaggi in arrivo vengono instradati verso il suo dispositivo. Quando tenta di accedere ai tuoi account finanziari o social, il codice MFA «segreto» viene inviato direttamente a lui. Gruppi di alto profilo come Scattered Spider hanno dimostrato che anche organizzazioni sofisticate possono cadere vittima di queste campagne, portando all'esfiltrazione di dati aziendali e a massicce frodi finanziarie.

Vulnerabilità tecniche di rete

Oltre all'errore umano a livello di operatore, l'architettura tecnica delle reti mobili contiene difetti intrinseci. Il protocollo SS7 (Signaling System No. 7), che regola la comunicazione globale tra reti mobili, presenta vulnerabilità ben documentate che consentono ad attori sofisticati di intercettare i messaggi SMS in transito.

Attacchi al protocollo SS7

Gli attaccanti possono sfruttare SS7 per reindirizzare i messaggi verso le proprie apparecchiature all'insaputa dell'utente. Poiché gli SMS vengono inviati in «testo in chiaro» su queste reti, qualsiasi intercettazione comporta l'esposizione immediata del codice di autenticazione. Questo livello di vulnerabilità di rete rende l'MFA via SMS indifendibile per account ad alto rischio nel 2026.

Prezzo di --

--

Phishing e intercettazione

L'MFA via SMS non è resistente al phishing. Gli attaccanti moderni utilizzano proxy inversi e strumenti «adversary-in-the-middle» (AiTM) per catturare password e codici SMS in tempo reale. Quando un utente inserisce il proprio codice in una pagina di login falsa, l'attaccante lo inoltra immediatamente al servizio legittimo, ottenendo l'accesso prima della scadenza del codice.

Vettore di attaccoMetodo di compromissioneVulnerabilità target
SIM SwappingIngegneria sociale del personale dell'operatoreProprietà del numero mobile
Sfruttamento SS7Intercettazione a livello di reteDifetti dei protocolli telecom
Phishing AiTMIntercettazione proxy in tempo realeMancata verifica del sito da parte dell'utente
Numeri riciclatiAccesso a vecchi numeriPersistenza nel recupero account

Migliori alternative di sicurezza

Nel 2026, il consenso tra i professionisti della sicurezza è di migrare verso metodi di autenticazione resistenti al phishing. Questi metodi non si basano sulla rete di telecomunicazioni e forniscono una sicurezza hardware molto più forte.

TOTP e Passkey

Le password monouso basate sul tempo (TOTP), generate da app come Google Authenticator, sono più sicure perché il «seed» rimane sul tuo dispositivo. Ancora più sicure sono le Passkey e le chiavi di sicurezza FIDO2 (come YubiKey). Queste utilizzano la crittografia a chiave pubblica per garantire che l'autenticazione funzioni solo sul sito legittimo, rendendo il phishing praticamente impossibile.

Cambiamenti normativi globali

L'abbandono degli SMS non è solo una raccomandazione; sta diventando un requisito normativo. Entro la metà del 2026, diverse giurisdizioni, tra cui Emirati Arabi Uniti, India e Filippine, hanno avviato fasi per eliminare gli OTP via SMS per i servizi finanziari. Le banche centrali stanno sempre più istruendo le istituzioni a limitare i meccanismi di autenticazione intercettabili da terze parti.

Per gli utenti che gestiscono asset digitali, i rischi sono ancora più elevati. Le statistiche mostrano che la stragrande maggioranza delle violazioni degli account coinvolge clienti che si affidavano esclusivamente all'MFA via SMS. Passare a chiavi hardware o autenticatori basati su app è ora considerato un passo obbligatorio per chiunque voglia mantenere un'impronta digitale sicura nell'attuale panorama delle minacce.

Disclaimer: Questo contenuto è fornito solo a scopo informativo, educativo e di comunicazione del brand e non deve essere considerato una consulenza finanziaria, di investimento, legale o fiscale. Nulla di quanto qui contenuto — incluse attività, premi, campagne promozionali o dettagli di eventi correlati — costituisce un'offerta, una raccomandazione, una sollecitazione o un invito ad acquistare, vendere o negoziare qualsiasi asset crypto, o ad utilizzare prodotti o servizi specifici. Gli asset crypto sono altamente volatili e comportano rischi significativi, inclusa la potenziale perdita di capitale e valore. I servizi e le campagne online di WEEX potrebbero non essere disponibili in tutte le regioni o giurisdizioni e sono soggetti alle leggi, ai regolamenti e ai requisiti di idoneità degli utenti applicabili; alcune attività potrebbero essere limitate o totalmente non disponibili in specifiche località. Si prega di valutare attentamente i rischi, assicurarsi di comprendere a fondo i quadri normativi locali e confermare l'idoneità prima di prendere qualsiasi decisione finanziaria o partecipare a iniziative della piattaforma.

Buy crypto illustration

AAcquista cripto per $1

Leggi di più

iconiconiconiconiconiconicon
Assistenza clienti:@weikecs
Cooperazione aziendale:@weikecs
Trading quantitativo e MM:[email protected]
Programma VIP:[email protected]