Contro il phishing non basta la tecnologia one time password (OTP)

Indice dei contenuti dell'articolo


Phishing di ultima generazione - Per contrastarlo non basta la tecnologia one time password (OTP)

Per quanto attiene i pagamenti disposti mediante sistemi di internet banking (o home banking), il sistema tecnologicamente più avanzato di sicurezza per evitare frodi, è costituito dalla messa a disposizione per il correntista di token o OTP (one time password); vale a dire dispositivi in grado di generare password monouso che, aggiungendosi alla password fissa nota solo all'utente, concorrono a formare un sistema di autenticazione a "due fattori": sistema come tale di difficilissima, (quasi) impossibile forzatura e dunque ritenuto coerente alle indicazioni della Banca d'Italia, finalizzate a fare in modo che le banche si attrezzino adeguatamente per identificare, valutare, misurare, monitorare e mitigare le minacce di natura tecnologica, individuando un insieme di misure di sicurezza e di controlli appropriati, in grado di assicurare gli obiettivi di confidenzialità, integrità, disponibilità dei sistemi informativi e dei dati ad essi associati.

Le banche, una volta che il sistema OTP sia stato chiaramente offerto al cliente e questi se ne sia avvalso, ritengono che l'eventuale intrusione fraudolenta di un terzo soggetto debba ricadere nella pur ristretta area di rischio che la legge pone a carico dell'utente. In altre parole, la pressoché totale invulnerabilità del sistema a "due fattori", garantita dai sistemi OTP, induce le banche a presumere una colpa grave in capo al cliente, precisamente consistente nel non aver custodito con la dovuta diligenza il dispositivo in questione.

Può tuttavia capitare che il correntista, fruitore dei servizi di internet banking, una volta acceduto al sito della banca, cada, inconsapevolmente, in una infida, impercettibile e sofisticata trappola.

Sia chiaro, non stiamo qui affrontando le fattispecie più comuni, dove l'aggiramento dei presidi di sicurezza e la circonvenzione del cliente ha luogo attraverso metodi ormai noti (email civetta, false comunicazioni di scadenza, invito all'aggiornamento di database e così via) che il cliente, con un minimo di diligenza, è oggettivamente in grado di evitare, anche grazie alle campagne di informazione che i media, e le stesse banche, hanno da tempo ormai attuato.

Ci occupiamo, in questo articolo, della possibilità che l'intercettazione delle credenziali dispositive, anche della tipologia "one time password" possa avvenire attraverso un meccanismo decisamente assai più subdolo e capace di sorprendere la buona fede anche di un attento, esperto ed avveduto fruitore dei servizi di internet banking.

Quando la tecnologia di phishing è sofisticata la responsabilità della sottrazione delle credenziali dispositive non può essere attribuita al cliente

La vittima di questa tipologia di phishing "di ultima generazione", si collega al sito della banca, accede ai servizi, tenta di effettuare un'operazione di bonifico, trasmette i propri dati e il codice monouso generato dall'OTP, e, dopo una manciata di secondi, si vede comunicare dalla stessa schermata, l'impossibilità di procedere e l'invito a provare in un momento successivo.

Qualche giorno dopo, consultando l'estratto conto on line, il malcapitato si accorgerà che un trasferimento di denaro è stato effettuato a beneficio di un soggetto residente all'estero e che l'importo è anche più consistente di quello da lui disposto nel corso dell'operazione non andata, apparentemente, a buon fine.

Ed ormai sono passate le ventiquattro ore utili per poter revocare la disposizione. Cosa è accaduto?

La ricostruzione tecnica che si può fare dell'episodio di phishing, cui è rimasto vittima l'ignaro, seppur esperto, fruitore dei servizi di internet banking, è quella dell'intrusione di un malware (software malevolo) nel personal computer (ma anche nel tablet o nello smart phone) da cui egli ha operato la disposizione di accredito poi, apparentemente, non andata a buon fine.

Il principio operativo di tale meccanismo di intrusione viene definito in gergo "man in the browser", a significare l'interposizione che questo genere di malware è in grado di operare fra il sistema centrale della banca e il software di navigazione del singolo utente (browser).

Nella sua massima espressione di efficienza aggressiva, il programma malevolo, una volta annidatosi in un certo numero di computer, genera quella che in gergo suole definirsi una botnet, ossia per l'appunto una rete di macchine egualmente infettate dallo stesso virus.

Il malware - riconducibile alla più ampia categoria dei cosiddetti trojan ("cavalli di Troia") e dotato di sofisticate capacità di elusione dei migliori antivirus - si annida in modo silenzioso nel computer della vittima senza creare alcun malfunzionamento o alterazione del sistema tali da attrarre l'attenzione dell'utente.

Il malware resta completamente "in sonno" attivandosi solo nel momento in cui l'utente si colleghi ad un sito compreso fra quelli che il programma abbia posto nel mirino (targeted banks). In quel preciso istante il malware "si risveglia" ed entra in azione captando il collegamento dell'utente e propinandogli una pagina video esattamente identica a quella che l'utente è abituato a riconoscere in sede di accesso regolare al sito della propria banca. L'unica differenza, obiettivamente impercettibile ad un pur scrupoloso utente, è la stringa di descrizione della pagina che, a differenza di quella originale, reca un prefisso di accesso (c.d. protocollo di trasferimento ipertestuale, Hyper Text Transfer Protocol) "http" e non già "https" (dove la "s" finale sta per secured, protetto).

Ignaro dell'intervenuta sostituzione della pagina, l'utente è indotto a ritenere di trovarsi nel normale ambiente sicuro in cui normalmente egli opera. E, quindi, compilerà i campi per la disposizione di bonifico. Al più noterà, se il destinatario del trasferimento fondi è abituale, la scomparsa del suo nominativo dalla rubrica: pazienza, capita, e, magari imprecando ai disservizi insiti nelle nuove tecnologie digitali, indicherà nuovamente anche il suo IBAN.

Alla fine, inserirà il codice generato dal dispositivo OTP. Il malware intruso, interpostosi nell'operazione, avrà così modo di captare tutti i fattori di autenticazione e di utilizzarli in tempo reale, mentre l'utente viene ulteriormente ingannato da un messaggio di attesa che, qualche decina di secondi dopo, segnalerà l'impossibilità di procedere all'operazione e inviterà la vittima a ritentare in un altro momento.

Il danno è irreversibile se il fruitore dei servizi di internet banking non si accorge del problema in tempo utile a revocare la disposizione di bonifico, se dalla banca non è stato attivato il servizio di alerting SMS, oppure se il servizio di alerting sms pur reso disponibile dalla banca non è stato attivato dal cliente. E, dunque, non resta, per la vittima di phishing, che dire addio ai soldi oppure avviare un contenzioso con la banca dagli esiti incerti e dai costi, in termini di tempo e danaro, (questi, sì) più che sicuri.

19 Settembre 2014 · Simonetta Folliero


Social Mailing e Feed


condividi su FB     condividi su Twitter     iscriviti alla newsletter del blog     iscriviti al feed RSS degli articoli del blog forum

Seguici su Facebook

Approfondimenti

Il contenzioso in caso di phishing ed il sistema One Time Password per l'accesso ai servizi di internet banking
In caso di phishing l'oggetto del contendere, ovvero la restituzione alla vittima degli importi non autorizzati e distratti nella transazione on line, impone di tracciare con la maggior esattezza possibile il confine di responsabilità delle banche nel caso di frodi, perpetrate da terzi ai danni della clientela, nell'ambito della prestazione di servizi di pagamento con conto corrente on line (servizi di internet banking o home banking). La materia è regolata dal decreto legislativo 11/2010 che, nel dare attuazione alle direttive comunitarie, ha inteso rendere l'ambiente informatico-finanziario improntato a criteri di maggior sicurezza e affidabilità e ciò in ragione vuoi del ...

Disconoscimento operazioni di home banking - La banca è tenuta a rimborsare il cliente anche se questi non attiva i servizi di one time password e sms alert
Spesso, in occasione di frode informatica relativa al servizio di home banking e del conseguente disconoscimento delle operazioni fraudolente da parte del cliente, la banca contesta a quest'ultimo di non avere attivato ulteriori e più sofisticati sistemi di sicurezza, in particolare del sistema di accesso basato sulla one time password (OTP) e messo a disposizione di tutti i clienti che operano on-line e del sistema di sms alert. Il rischio per la perdita subita dal cliente per l'utilizzo fraudolento del servizio di home banking ricade nella sfera giuridica della banca, in conformità con le regole giuridiche che si ricavano dalla ...

Tutela del correntista in caso di furto d'identità o phishing » Le responsabilità della banca e quelle del cliente
Come si tutela il correntista in caso di furto d'identità o phishing? Quali sono le responsabilità della banca e quali quelle del cliente in questi casi? Come si tutela il correntista a cui criminali informatici abbiano sottratto le somme dal conto corrente attraverso un furto di identità su internet? Ad esempio, si pensi al noto caso del phishing. In questo caso, il titolare di un servizio di banca telematica (home banking), ovvero il correntista, ha a disposizione una username e una password. Queste, però, gli vengono carpite dall'hacker grazie a dei sistemi abbastanza complessi (un virus insediato attraverso un link ...

Assistenza gratuita - Cosa sto leggendo

Richiedi assistenza gratuita o ulteriori informazioni su contro il phishing non basta la tecnologia one time password (otp). Clicca qui.

Stai leggendo Contro il phishing non basta la tecnologia one time password (OTP) Autore Simonetta Folliero Articolo pubblicato il giorno 19 Settembre 2014 Ultima modifica effettuata il giorno 19 Giugno 2016 Classificato nella categoria tutela consumatori - frode creditizia e furto di identità Inserito nella sezione tutela consumatori