Phishing di ultima generazione - Per contrastarlo non basta la tecnologia one time password (OTP)

Per quanto attiene i pagamenti disposti mediante sistemi di internet banking (o home banking), il sistema tecnologicamente più avanzato di sicurezza per evitare frodi, è costituito dalla messa a disposizione per il correntista di token o OTP (one time password); vale a dire dispositivi in grado di generare password monouso che, aggiungendosi alla password fissa nota solo all'utente, concorrono a formare un sistema di autenticazione a "due fattori": sistema come tale di difficilissima, (quasi) impossibile forzatura e dunque ritenuto coerente alle indicazioni della Banca d'Italia, finalizzate a fare in modo che le banche si attrezzino adeguatamente per identificare, valutare, misurare, monitorare e mitigare le minacce di natura tecnologica, individuando un insieme di misure di sicurezza e di controlli appropriati, in grado di assicurare gli obiettivi di confidenzialità, integrità, disponibilità dei sistemi informativi e dei dati ad essi associati.

Le banche, una volta che il sistema OTP sia stato chiaramente offerto al cliente e questi se ne sia avvalso, ritengono che l'eventuale intrusione fraudolenta di un terzo soggetto debba ricadere nella pur ristretta area di rischio che la legge pone a carico dell'utente. In altre parole, la pressoché totale invulnerabilità del sistema a "due fattori", garantita dai sistemi OTP, induce le banche a presumere una colpa grave in capo al cliente, precisamente consistente nel non aver custodito con la dovuta diligenza il dispositivo in questione.

Può tuttavia capitare che il correntista, fruitore dei servizi di internet banking, una volta acceduto al sito della banca, cada, inconsapevolmente, in una infida, impercettibile e sofisticata trappola.

Sia chiaro, non stiamo qui affrontando le fattispecie più comuni, dove l'aggiramento dei presidi di sicurezza e la circonvenzione del cliente ha luogo attraverso metodi ormai noti (email civetta, false comunicazioni di scadenza, invito all'aggiornamento di database e così via) che il cliente, con un minimo di diligenza, è oggettivamente in grado di evitare, anche grazie alle campagne di informazione che i media, e le stesse banche, hanno da tempo ormai attuato.

Ci occupiamo, in questo articolo, della possibilità che l'intercettazione delle credenziali dispositive, anche della tipologia "one time password" possa avvenire attraverso un meccanismo decisamente assai più subdolo e capace di sorprendere la buona fede anche di un attento, esperto ed avveduto fruitore dei servizi di internet banking.

Richiedi assistenza gratuita sugli argomenti trattati nell'articolo

Richiedi assistenza gratuita o ulteriori informazioni su phishing di ultima generazione - per contrastarlo non basta la tecnologia one time password (otp).

Commenti e domande dei lettori

Per porre una domanda sul tema trattato nell'articolo e visualizzare il form per l'inserimento, devi prima autenticarti cliccando qui. Potrai anche utilizzare le icone posizionate in basso nel pannello di registrazione, che ti consentiranno l'accesso diretto con un account Facebook, Google+ o Twitter.