Guida alle tecnologie

Falla SS7: come gli hacker rubano account Facebook

7 min read Sicurezza informatica Aggiornato 06 Oct 2025
Falla SS7 e furto di account Facebook
Falla SS7 e furto di account Facebook

Diagramma che illustra la vulnerabilità SS7 e il rischio di furto di account Facebook

Indice

  • Come gli hacker possono rubare il tuo account Facebook con solo il numero
  • Come funziona l’attacco passo dopo passo
  • Perché la falla SS7 non è stata riparata globalmente
  • Cosa puoi fare subito: checklist per utenti
  • Contromisure per operatori e team di sicurezza
  • Quando questo attacco fallisce e limiti della tecnica
  • Procedura di risposta se il tuo account è compromesso
  • Glossario breve
  • Note sulla privacy e GDPR
  • Riepilogo

Come gli hacker possono rubare il tuo account Facebook con solo il numero

Negli ultimi anni i ricercatori hanno dimostrato che la stessa falla SS7 già sfruttata per intercettare SMS può consentire il dirottamento di account Facebook. L’attaccante non ha bisogno di password: gli basta il numero di telefono della vittima e la capacità di inviare richieste allo stack SS7 (che molti operatori ancora accettano come legittime).

SS7 è un insieme di protocolli di segnalazione usati dalle reti telefoniche pubbliche dal 1975 per stabilire chiamate, inviare SMS, gestire la portabilità dei numeri e altro. Definizione in una riga: SS7 è il canale di controllo che dice alle reti dove consegnare chiamate e messaggi.

Come funziona l’attacco passo dopo passo

Ecco il flusso tipico usato dai ricercatori per compromettere un account Facebook quando il recupero passa via SMS:

  1. L’attaccante ottiene il numero di telefono della vittima.
  2. Con accesso a connessioni militanti SS7 (vendute da alcuni provider o ottenute tramite operatori compiacenti), invia richieste di routing false alla rete della vittima. Queste richieste fanno sembrare che il numero sia raggiungibile su un terminale controllato dall’attaccante.
  3. L’attaccante visita Facebook.com e usa il link per recuperare l’account tramite numero di telefono.
  4. Facebook invia un codice di verifica via SMS o chiamata al numero associato.
  5. La rete, ingannata dalle istruzioni SS7, instrada quel codice verso il dispositivo dell’attaccante.
  6. Con il codice l’attaccante reimposta la password o completa il login e prende il controllo dell’account.

Video dimostrativo dei ricercatori: https://youtu.be/wc72mmsR6bM

Strumenti e tecniche rilevanti

  • SnoopSnitch: strumento che rileva alcuni attacchi SS7 e IMSI-catcher su telefoni Android.
  • IMSI-catcher: dispositivo che si comporta come una falsa torre cellulare per intercettare traffico mobile.
  • Richieste MAP/CAP (messaggi SS7): usate per richiedere informazioni di routing o inoltrare messaggi.

Perché la falla SS7 non è stata riparata globalmente

La correzione di SS7 richiede aggiornamenti coordinati su migliaia di reti e switch in tutto il mondo. Due fattori chiave ne rallentano la mitigazione:

  • Politica e sorveglianza: alcune autorità preferiscono mantenere accessi che facilitano la sorveglianza su attivisti, oppositori o minacce.
  • Complessità tecnica e costo: le modifiche devono essere distribuite su reti nazionali e internazionali, con interoperabilità critica.

Nel 2014 diversi resoconti mostrarono che, usando SS7, si può tracciare la posizione dei cellulari con percentuali di successo molto alte. Non esiste oggi una patch unica applicabile da remoto a tutte le reti; servono aggiornamenti e policy condivise.

Importante: non confondere SS7 con la crittografia end-to-end delle app. Anche servizi con E2E possono essere aggirati se l’elemento di recupero dell’account (SMS o chiamata) viene intercettato.

Cosa puoi fare subito: checklist per utenti

Azioni rapidi per ridurre il rischio di furto d’account:

  • Disattiva l’uso dell’SMS per il recupero account dove possibile.
  • Attiva l’autenticazione a due fattori (2FA) con app di autenticazione (Authenticator) o chiavi hardware (WebAuthn/FIDO) invece di SMS.
  • Controlla le sessioni attive e i dispositivi collegati nelle impostazioni di Facebook e disconnetti quelli sospetti.
  • Aggiungi indirizzi email di recupero alternativi e verifica che siano sicuri e non condivisi.
  • Avvisa il tuo operatore se noti SMS o chiamate di recupero non richieste.

Breve checklist rapida (stampa):

  • Passa al 2FA via app o chiave fisica
  • Rimuovi SMS come preferenza di recupero
  • Attiva avvisi di accesso e controllo login
  • Aggiorna email di recupero

Contromisure per operatori e team di sicurezza

Per gli operatori di rete:

  • Filtrare richieste SS7 non autentiche in ingresso, implementando liste di controllo e autenticazione tra partner.
  • Monitorare pattern anomali di messaggistica e richieste MAP/CAP.
  • Implementare deterrenti commerciali per l’abuso delle interfacce SS7.

Per i team di sicurezza applicativa (es. Facebook):

  • Evitare l’uso esclusivo di SMS per operazioni sensibili (recovery, cambio password) e preferire metodi out-of-band verificati.
  • Introdurre controlli di rischio contestuali durante il recupero account: IP, geolocalizzazione, storico dispositivi.
  • Offrire e promuovere chiavi hardware e app di autenticazione per utenti ad alto rischio.

Quando questo attacco fallisce e limiti della tecnica

Contromisure che riducono l’efficacia dell’attacco:

  • Se l’operatore della vittima valida le richieste SS7 solo da peer fidati, l’attaccante non può instradare i messaggi.
  • Se il servizio online richiede fattori alternativi oltre all’SMS, l’attaccante non ha abbastanza elementi.
  • Se l’utente usa chiavi hardware, SMS o chiamate sono insufficienti.

Limitazioni pratiche per l’attaccante:

  • Accesso tecnico: non tutti gli attaccanti dispongono di canali SS7.
  • Mercato e costi: l’accesso a gateway SS7 legittimi o a dispositivi IMSI-catcher ha costi e rischi legali.

Procedura di risposta se il tuo account è compromesso

  1. Usa un dispositivo sicuro per tentare il recupero via email o supporto ufficiale.
  2. Se possibile, revoca le sessioni attive nelle impostazioni di Facebook.
  3. Cambia password e attiva 2FA con app o chiave fisica.
  4. Contatta il tuo operatore e segnala attività sospette sul numero (SMS/call forwarding non autorizzati).
  5. Registra un ticket al team di sicurezza della piattaforma e conserva prove (ora, notifiche, SMS ricevuti dall’attaccante).

Критерии приёмки

  • L’account è stato recuperato e l’accesso è ristabilito su dispositivi verificati.
  • Tutte le sessioni sconosciute sono terminate.
  • 2FA non basato su SMS è attivato.

Mini-metodologia per test di sicurezza (per ricercatori)

  • Fase 1: raccolta informazioni — numero target, pattern di login, numero di telefono associato.
  • Fase 2: validazione legale — assicurarsi di avere autorizzazioni per testare il target.
  • Fase 3: test controllato su reti di laboratorio o accordate con operatori.
  • Fase 4: verifica dei log e delle risposte SS7, documentazione dell’exploit.
  • Fase 5: divulgazione responsabile ai provider e alle piattaforme coinvolte.

Glossario breve

  • SS7: protocollo di segnalazione per reti telefoniche.
  • IMSI-catcher: falso ripetitore che intercetta traffico mobile.
  • 2FA: autenticazione a due fattori.
  • Out-of-band: metodo di verifica separato dal canale principale (es. app o chiave fisica).

Note sulla privacy e GDPR

Se vivi nell’Unione Europea, la compromissione e l’uso non autorizzato dei tuoi dati personali (incluso il numero di telefono) può costituire una violazione dei diritti previsti dal GDPR. Segnala l’incidente all’autorità di protezione dei dati competente se ritieni che la tua privacy sia stata violata. Le aziende che trattano dati personali devono mantenere misure tecniche e organizzative adeguate per prevenire accessi non autorizzati.

Quando segnalare e a chi

  • Segnala immediatamente a Facebook tramite il centro assistenza se sospetti accessi non autorizzati.
  • Contatta l’operatore di telefonia per chiedere verifiche sul routing SS7 e blocchi di forwarding non autorizzati.
  • Per aziende: apri un incidente interno e informare il DPO quando dati personali potrebbero essere stati compromessi.

Riepilogo

La falla SS7 è un rischio reale per il recupero account basato su SMS. Gli utenti possono ridurre notevolmente il rischio passando a metodi di autenticazione moderni (app o chiavi hardware), aggiorando impostazioni di sicurezza e controllando sessioni e recuperi. La soluzione definitiva richiede cooperazione globale tra operatori e pressioni politiche per chiudere gli abusi delle reti di segnalazione.

Nota finale: se ricevi notifiche di login non richieste o codici SMS che non hai richiesto, trattali come segnali di allarme e agisci subito.

Condividere: X/Twitter Facebook LinkedIn Telegram
Autore
Redazione

Materiali simili

Attivare Copilot Mode in Microsoft Edge
Guide.

Attivare Copilot Mode in Microsoft Edge

Comprimere file a dimensioni molto piccole
Strumenti

Comprimere file a dimensioni molto piccole

Scrivanie virtuali Chrome OS: guida rapida
Guide.

Scrivanie virtuali Chrome OS: guida rapida

Disattivare sottotitoli su Peacock TV
Guide tecniche

Disattivare sottotitoli su Peacock TV

Falla SS7 e furto di account Facebook
Sicurezza informatica

Falla SS7 e furto di account Facebook

Strutture 3D dei siti con gli strumenti di Firefox
Sviluppo Web

Strutture 3D dei siti con gli strumenti di Firefox