Phishing di ultima generazione – Per contrastarlo non basta la tecnologia one time password (OTP)

Phishing di ultima generazione - Per contrastarlo non basta la tecnologia one time password (OTP)

Per quanto attiene i pagamenti disposti mediante sistemi di internet banking (o home banking), il sistema tecnologicamente più avanzato di sicurezza per evitare frodi, è costituito dalla messa a disposizione per il correntista di token o OTP (one time password); vale a dire dispositivi in grado di generare password monouso che, aggiungendosi alla password fissa nota solo all'utente, concorrono a formare un sistema di autenticazione a "due fattori": sistema come tale di difficilissima, (quasi) impossibile forzatura e dunque ritenuto coerente alle indicazioni della Banca d'Italia, finalizzate a fare in modo che le banche si attrezzino adeguatamente per identificare, valutare, misurare, monitorare e mitigare le minacce di natura tecnologica, individuando un insieme di misure di sicurezza e di controlli appropriati, in grado di assicurare gli obiettivi di confidenzialità, integrità, disponibilità dei sistemi informativi e dei dati ad essi associati.

Le banche, una volta che il sistema OTP sia stato chiaramente offerto al cliente e questi se ne sia avvalso, ritengono che l'eventuale intrusione fraudolenta di un terzo soggetto debba ricadere nella pur ristretta area di rischio che la legge pone a carico dell'utente. In altre parole, la pressoché totale invulnerabilità del sistema a "due fattori", garantita dai sistemi OTP, induce le banche a presumere una colpa grave in capo al cliente, precisamente consistente nel non aver custodito con la dovuta diligenza il dispositivo in questione.

Può tuttavia capitare che il correntista, fruitore dei servizi di internet banking, una volta acceduto al sito della banca, cada, inconsapevolmente, in una infida, impercettibile e sofisticata trappola.

Sia chiaro, non stiamo qui affrontando le fattispecie più comuni, dove l'aggiramento dei presidi di sicurezza e la circonvenzione del cliente ha luogo attraverso metodi ormai noti (email civetta, false comunicazioni di scadenza, invito all'aggiornamento di database e così via) che il cliente, con un minimo di diligenza, è oggettivamente in grado di evitare, anche grazie alle campagne di informazione che i media, e le stesse banche, hanno da tempo ormai attuato.

Ci occupiamo, in questo articolo, della possibilità che l'intercettazione delle credenziali dispositive, anche della tipologia "one time password" possa avvenire attraverso un meccanismo decisamente assai più subdolo e capace di sorprendere la buona fede anche di un attento, esperto ed avveduto fruitore dei servizi di internet banking.

Quando la tecnologia di phishing è sofisticata la responsabilità della sottrazione delle credenziali dispositive non può essere attribuita al cliente

La vittima di questa tipologia di phishing "di ultima generazione", si collega al sito della banca, accede ai servizi, tenta di effettuare un'operazione di bonifico, trasmette i propri dati e il codice monouso generato dall'OTP, e, dopo una manciata di secondi, si vede comunicare dalla stessa schermata, l'impossibilità di procedere e l'invito a provare in un momento successivo.

Qualche giorno dopo, consultando l'estratto conto on line, il malcapitato si accorgerà che un trasferimento di denaro è stato effettuato a beneficio di un soggetto residente all'estero e che l'importo è anche più consistente di quello da lui disposto nel corso dell'operazione non andata, apparentemente, a buon fine.

Ed ormai sono passate le ventiquattro ore utili per poter revocare la disposizione. Cosa è accaduto?

La ricostruzione tecnica che si può fare dell'episodio di phishing, cui è rimasto vittima l'ignaro, seppur esperto, fruitore dei servizi di internet banking, è quella dell'intrusione di un malware (software malevolo) nel personal computer (ma anche nel tablet o nello smart phone) da cui egli ha operato la disposizione di accredito poi, apparentemente, non andata a buon fine.

Il principio operativo di tale meccanismo di intrusione viene definito in gergo "man in the browser", a significare l'interposizione che questo genere di malware è in grado di operare fra il sistema centrale della banca e il software di navigazione del singolo utente (browser).

Nella sua massima espressione di efficienza aggressiva, il programma malevolo, una volta annidatosi in un certo numero di computer, genera quella che in gergo suole definirsi una botnet, ossia per l'appunto una rete di macchine egualmente infettate dallo stesso virus.

Il malware - riconducibile alla più ampia categoria dei cosiddetti trojan ("cavalli di Troia") e dotato di sofisticate capacità di elusione dei migliori antivirus - si annida in modo silenzioso nel computer della vittima senza creare alcun malfunzionamento o alterazione del sistema tali da attrarre l'attenzione dell'utente.

Il malware resta completamente "in sonno" attivandosi solo nel momento in cui l'utente si colleghi ad un sito compreso fra quelli che il programma abbia posto nel mirino (targeted banks). In quel preciso istante il malware "si risveglia" ed entra in azione captando il collegamento dell'utente e propinandogli una pagina video esattamente identica a quella che l'utente è abituato a riconoscere in sede di accesso regolare al sito della propria banca. L'unica differenza, obiettivamente impercettibile ad un pur scrupoloso utente, è la stringa di descrizione della pagina che, a differenza di quella originale, reca un prefisso di accesso (c.d. protocollo di trasferimento ipertestuale, Hyper Text Transfer Protocol) "http" e non già "https" (dove la "s" finale sta per secured, protetto).

Ignaro dell'intervenuta sostituzione della pagina, l'utente è indotto a ritenere di trovarsi nel normale ambiente sicuro in cui normalmente egli opera. E, quindi, compilerà i campi per la disposizione di bonifico. Al più noterà, se il destinatario del trasferimento fondi è abituale, la scomparsa del suo nominativo dalla rubrica: pazienza, capita, e, magari imprecando ai disservizi insiti nelle nuove tecnologie digitali, indicherà nuovamente anche il suo IBAN.

Alla fine, inserirà il codice generato dal dispositivo OTP. Il malware intruso, interpostosi nell'operazione, avrà così modo di captare tutti i fattori di autenticazione e di utilizzarli in tempo reale, mentre l'utente viene ulteriormente ingannato da un messaggio di attesa che, qualche decina di secondi dopo, segnalerà l'impossibilità di procedere all'operazione e inviterà la vittima a ritentare in un altro momento.

Il danno è irreversibile se il fruitore dei servizi di internet banking non si accorge del problema in tempo utile a revocare la disposizione di bonifico, se dalla banca non è stato attivato il servizio di alerting SMS, oppure se il servizio di alerting sms pur reso disponibile dalla banca non è stato attivato dal cliente. E, dunque, non resta, per la vittima di phishing, che dire addio ai soldi oppure avviare un contenzioso con la banca dagli esiti incerti e dai costi, in termini di tempo e danaro, (questi, sì) più che sicuri.

19 Settembre 2014 · Simonetta Folliero


Commenti e domande

Per porre una domanda sul tema trattato nell'articolo (o commentarlo) utilizza il form che trovi più in basso.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *


Se il post è stato interessante, condividilo con il tuo account Facebook

condividi su FB

    

Seguici su Facebook

seguici accedendo alla pagina Facebook di indebitati.it

Seguici iscrivendoti alla newsletter

iscriviti alla newsletter del sito indebitati.it




Fai in modo che lo staff possa continuare ad offrire consulenze gratuite. Dona!