Argomenti
Servizi
Casa > E-Banking: Achtu ...
IT
IT DE FR EN

E-banking: Attenzione mTAN & Co.

Nelle ultime settimane sono stati segnalati diversi casi in cui gli hacker sono riusciti a utilizzare l'ingegneria sociale per incoraggiare le vittime a effettuare pagamenti fraudolenti nell'e-banking.

Editoriale - 30 novembre 2016
Fig. 1: Metodi alternativi all'mTAN: Mosaico (a sinistra) e codice QR (a destra), utilizzati per l'accesso e la visualizzazione di un pagamento.
Fig. 1: Metodi alternativi all'mTAN: Mosaico (a sinistra) e codice QR (a destra), utilizzati per l'accesso e la visualizzazione di un pagamento.

Da qualche tempo, la maggior parte delle banche utilizza metodi di autenticazione mobile sia per l'accesso all'e-banking che per l'autorizzazione dei pagamenti tramite e-banking: Con la procedura mobileTAN (mTAN), ad esempio, la banca invia al cliente un codice di conferma via SMS. Da alcuni anni i criminali cercano di intercettare i codici di conferma degli SMS (mTAN) sullo smartphone del cliente utilizzando un malware per smartphone e di utilizzarli per le frodi di e-banking, come scrive il Reporting and Analysis Centre for Information Assurance (Melani).

Possibilità alternativa: sicura in linea di principio, ma...

Il settore ha quindi sviluppato metodi di autenticazione alternativi all'mTAN, già utilizzati da diverse banche. In questo caso, un codice QR o un mosaico viene visualizzato dal cliente nel portale di e-banking al momento dell'accesso o della visualizzazione di un pagamento. Il cliente può eseguire la scansione con un'app sul proprio smartphone o con un dispositivo indipendente (autonomo).

A seconda del prodotto, il login o l'autorizzazione al pagamento vengono confermati direttamente nell'app oppure l'app genera un codice che il cliente deve poi inserire nel portale di e-banking. I prodotti con questo metodo di autenticazione utilizzati dalle banche svizzere sono PhotoTAN, CrontoSign, SecureSign.

In linea di principio, questo metodo di autenticazione è considerato sicuro. Tuttavia, in molti casi, i clienti possono essere ingannati dall'ingegneria sociale e visualizzare i pagamenti anche se potrebbero riconoscere il processo come fraudolento, ad esempio se nell'app viene visualizzato un conto destinatario palesemente falso o se i dati di pagamento vengono già visualizzati durante il processo di login.

Attenzione al malware Retefe

Melani è a conoscenza degli attuali tentativi di frode nell'e-banking con metodi di autenticazione come PhotoTAN, CrontoSign o SecureSign. In Svizzera, ad esempio, il noto malware Retefe è attualmente in grado di utilizzare il social engineering per incoraggiare i clienti dell'e-banking a effettuare pagamenti fraudolenti tramite PhotoTAN, CrontoSign o SecureSign.

Quando si tratta di metodi di autenticazione tramite smartphone, come mTAN, PhotoTAN, CrontoSign o SecureSign, Melani raccomanda:

  • Assicuratevi di confermare realmente il login quando accedete all'e-banking sul dispositivo mobile (ad es. smartphone o dispositivo PhotoTAN dedicato) e che non sia già il viz. di un pagamento.
  • Se state avvistando un pagamento, leggete sempre il testo completo sul dispositivo mobile e controllate l'importo e il destinatario (nome, IBAN) del pagamento prima di rilasciarlo.
  • Installare solo applicazioni provenienti dall'app store ufficiale (Google Play Store o Apple iTunes). Non installate mai applicazioni da fonti sconosciute, anche se vi viene chiesto di farlo. Non modificate il vostro dispositivo in modo tale da compromettere i meccanismi di sicurezza essenziali (ad esempio, rooting, jailbreaking).
  • Se si riceve un codice di conferma via SMS non richiesto (mTAN), contattare immediatamente la propria banca.
  • Se notate delle irregolarità durante l'accesso all'e-banking, contattate immediatamente la vostra banca.
  • Tali irregolarità sono, ad esempio:
  1. Messaggio di sicurezza prima di accedere all'e-banking. Ad esempio, "In relazione alla modernizzazione del sistema di sicurezza, al momento dell'accesso all'account utente potrebbe essere richiesto di fornire un'identificazione aggiuntiva. [...]"
  2. Messaggio di errore dopo l'accesso all'e-banking. Ad esempio, "Errore! A causa di un problema tecnico, non siamo in grado di trovare la pagina che state cercando. Riprovare tra 2 minuti".
  3. Messaggio di sicurezza dopo l'accesso all'e-banking (ad es. "Misura di sicurezza"), che richiede l'inserimento del numero di telefono fisso o mobile.
  4. Richiesta di installazione di un'applicazione mobile dopo l'accesso all'e-banking
  5. Dopo aver effettuato l'accesso all'e-banking, ad esempio, l'utente viene reindirizzato a un sito web non collegato alla banca (ad esempio google.ch).
  6. Timer dopo l'accesso all'e-banking. Ad esempio (vedi figura 2): "Please wait... (Attendere un minuto, non ricaricare la pagina).

Fonte: Centro di refertazione e analisi per la sicurezza dell'informazione (Melani)

Fig. 2: Tipico messaggio di errore visualizzato dai criminali.
Fig. 2: Tipico messaggio di errore visualizzato dai criminali.
(Visitata 129 volte, 1 visita oggi)

Altri articoli sull'argomento

Zeit, Leistung und Spesen mit dem SIAXMA® Webterminal 2.0 einfach und bequem erfassen

Alle 8,5 Minuten eine Meldung zu einem Cybervorfall

Bundesrat stellt Weichen für die Weiterentwicklung des elektronischen Patientendossiers

NOTIZIE SULLA SICUREZZA

Bleiben Sie informiert über aktuelle Sicherheitsthemen – praxisnah und zuverlässig. Erhalten Sie exklusive Inhalte direkt in Ihren Posteingang. Verpassen Sie keine Updates.

Jetzt anmelden!
anmelden
È possibile annullare l'iscrizione in qualsiasi momento!
chiudere il link