Quando la tecnologia di phishing è sofisticata la responsabilità della sottrazione delle credenziali dispositive non può essere attribuita al cliente

La vittima di questa tipologia di phishing "di ultima generazione", si collega al sito della banca, accede ai servizi, tenta di effettuare un'operazione di bonifico, trasmette i propri dati e il codice monouso generato dall'OTP, e, dopo una manciata di secondi, si vede comunicare dalla stessa schermata, l'impossibilità di procedere e l'invito a provare in un momento successivo.

Qualche giorno dopo, consultando l'estratto conto on line, il malcapitato si accorgerà che un trasferimento di denaro è stato effettuato a beneficio di un soggetto residente all'estero e che l'importo è anche più consistente di quello da lui disposto nel corso dell'operazione non andata, apparentemente, a buon fine.

Ed ormai sono passate le ventiquattro ore utili per poter revocare la disposizione. Cosa è accaduto?

La ricostruzione tecnica che si può fare dell'episodio di phishing, cui è rimasto vittima l'ignaro, seppur esperto, fruitore dei servizi di internet banking, è quella dell'intrusione di un malware (software malevolo) nel personal computer (ma anche nel tablet o nello smart phone) da cui egli ha operato la disposizione di accredito poi, apparentemente, non andata a buon fine.

Il principio operativo di tale meccanismo di intrusione viene definito in gergo "man in the browser", a significare l'interposizione che questo genere di malware è in grado di operare fra il sistema centrale della banca e il software di navigazione del singolo utente (browser).

Nella sua massima espressione di efficienza aggressiva, il programma malevolo, una volta annidatosi in un certo numero di computer, genera quella che in gergo suole definirsi una botnet, ossia per l'appunto una rete di macchine egualmente infettate dallo stesso virus.

Il malware - riconducibile alla più ampia categoria dei cosiddetti trojan ("cavalli di Troia") e dotato di sofisticate capacità di elusione dei migliori antivirus - si annida in modo silenzioso nel computer della vittima senza creare alcun malfunzionamento o alterazione del sistema tali da attrarre l'attenzione dell'utente.

Il malware resta completamente "in sonno" attivandosi solo nel momento in cui l'utente si colleghi ad un sito compreso fra quelli che il programma abbia posto nel mirino (targeted banks). In quel preciso istante il malware "si risveglia" ed entra in azione captando il collegamento dell'utente e propinandogli una pagina video esattamente identica a quella che l'utente è abituato a riconoscere in sede di accesso regolare al sito della propria banca. L'unica differenza, obiettivamente impercettibile ad un pur scrupoloso utente, è la stringa di descrizione della pagina che, a differenza di quella originale, reca un prefisso di accesso (c.d. protocollo di trasferimento ipertestuale, Hyper Text Transfer Protocol) "http" e non già "https" (dove la "s" finale sta per secured, protetto).

Ignaro dell'intervenuta sostituzione della pagina, l'utente è indotto a ritenere di trovarsi nel normale ambiente sicuro in cui normalmente egli opera. E, quindi, compilerà i campi per la disposizione di bonifico. Al più noterà, se il destinatario del trasferimento fondi è abituale, la scomparsa del suo nominativo dalla rubrica: pazienza, capita, e, magari imprecando ai disservizi insiti nelle nuove tecnologie digitali, indicherà nuovamente anche il suo IBAN.

Alla fine, inserirà il codice generato dal dispositivo OTP. Il malware intruso, interpostosi nell'operazione, avrà così modo di captare tutti i fattori di autenticazione e di utilizzarli in tempo reale, mentre l'utente viene ulteriormente ingannato da un messaggio di attesa che, qualche decina di secondi dopo, segnalerà l'impossibilità di procedere all'operazione e inviterà la vittima a ritentare in un altro momento.

Il danno è irreversibile se il fruitore dei servizi di internet banking non si accorge del problema in tempo utile a revocare la disposizione di bonifico, se dalla banca non è stato attivato il servizio di alerting SMS, oppure se il servizio di alerting sms pur reso disponibile dalla banca non è stato attivato dal cliente. E, dunque, non resta, per la vittima di phishing, che dire addio ai soldi oppure avviare un contenzioso con la banca dagli esiti incerti e dai costi, in termini di tempo e danaro, (questi, sì) più che sicuri.

19 settembre 2014 · Simonetta Folliero

Richiedi assistenza gratuita sugli argomenti trattati nell'articolo

Richiedi assistenza gratuita o ulteriori informazioni su quando la tecnologia di phishing è sofisticata la responsabilità della sottrazione delle credenziali dispositive non può essere attribuita al cliente.

Commenti e domande dei lettori

Per porre una domanda sul tema trattato nell'articolo e visualizzare il form per l'inserimento, devi prima autenticarti cliccando qui. Potrai anche utilizzare le icone posizionate in basso nel pannello di registrazione, che ti consentiranno l'accesso diretto con un account Facebook, Google+ o Twitter.