E-banking: Attenzione mTAN & Co.

Nelle ultime settimane sono stati segnalati diversi casi in cui gli hacker sono riusciti a utilizzare l'ingegneria sociale per incoraggiare le vittime a effettuare pagamenti fraudolenti nell'e-banking.

Fig. 1: Metodi alternativi all'mTAN: Mosaico (a sinistra) e codice QR (a destra), utilizzati per l'accesso e la visualizzazione di un pagamento.
Fig. 1: Metodi alternativi all'mTAN: Mosaico (a sinistra) e codice QR (a destra), utilizzati per l'accesso e la visualizzazione di un pagamento.

Da qualche tempo, la maggior parte delle banche utilizza metodi di autenticazione mobile sia per l'accesso all'e-banking che per l'autorizzazione dei pagamenti tramite e-banking: Con la procedura mobileTAN (mTAN), ad esempio, la banca invia al cliente un codice di conferma via SMS. Da alcuni anni i criminali cercano di intercettare i codici di conferma degli SMS (mTAN) sullo smartphone del cliente utilizzando un malware per smartphone e di utilizzarli per le frodi di e-banking, come scrive il Reporting and Analysis Centre for Information Assurance (Melani).

Possibilità alternativa: sicura in linea di principio, ma...

Il settore ha quindi sviluppato metodi di autenticazione alternativi all'mTAN, già utilizzati da diverse banche. In questo caso, un codice QR o un mosaico viene visualizzato dal cliente nel portale di e-banking al momento dell'accesso o della visualizzazione di un pagamento. Il cliente può eseguire la scansione con un'app sul proprio smartphone o con un dispositivo indipendente (autonomo).

A seconda del prodotto, il login o l'autorizzazione al pagamento vengono confermati direttamente nell'app oppure l'app genera un codice che il cliente deve poi inserire nel portale di e-banking. I prodotti con questo metodo di autenticazione utilizzati dalle banche svizzere sono PhotoTAN, CrontoSign, SecureSign.

In linea di principio, questo metodo di autenticazione è considerato sicuro. Tuttavia, in molti casi, i clienti possono essere ingannati dall'ingegneria sociale e visualizzare i pagamenti anche se potrebbero riconoscere il processo come fraudolento, ad esempio se nell'app viene visualizzato un conto destinatario palesemente falso o se i dati di pagamento vengono già visualizzati durante il processo di login.

Attenzione al malware Retefe

Melani è a conoscenza degli attuali tentativi di frode nell'e-banking con metodi di autenticazione come PhotoTAN, CrontoSign o SecureSign. In Svizzera, ad esempio, il noto malware Retefe è attualmente in grado di utilizzare il social engineering per incoraggiare i clienti dell'e-banking a effettuare pagamenti fraudolenti tramite PhotoTAN, CrontoSign o SecureSign.

Quando si tratta di metodi di autenticazione tramite smartphone, come mTAN, PhotoTAN, CrontoSign o SecureSign, Melani raccomanda:

  • Assicuratevi di confermare realmente il login quando accedete all'e-banking sul dispositivo mobile (ad es. smartphone o dispositivo PhotoTAN dedicato) e che non sia già il viz. di un pagamento.
  • Se state avvistando un pagamento, leggete sempre il testo completo sul dispositivo mobile e controllate l'importo e il destinatario (nome, IBAN) del pagamento prima di rilasciarlo.
  • Installare solo applicazioni provenienti dall'app store ufficiale (Google Play Store o Apple iTunes). Non installate mai applicazioni da fonti sconosciute, anche se vi viene chiesto di farlo. Non modificate il vostro dispositivo in modo tale da compromettere i meccanismi di sicurezza essenziali (ad esempio, rooting, jailbreaking).
  • Se si riceve un codice di conferma via SMS non richiesto (mTAN), contattare immediatamente la propria banca.
  • Se notate delle irregolarità durante l'accesso all'e-banking, contattate immediatamente la vostra banca.
  • Tali irregolarità sono, ad esempio:
  1. Messaggio di sicurezza prima di accedere all'e-banking. Ad esempio, "In relazione alla modernizzazione del sistema di sicurezza, al momento dell'accesso all'account utente potrebbe essere richiesto di fornire un'identificazione aggiuntiva. [...]"
  2. Messaggio di errore dopo l'accesso all'e-banking. Ad esempio, "Errore! A causa di un problema tecnico, non siamo in grado di trovare la pagina che state cercando. Riprovare tra 2 minuti".
  3. Messaggio di sicurezza dopo l'accesso all'e-banking (ad es. "Misura di sicurezza"), che richiede l'inserimento del numero di telefono fisso o mobile.
  4. Richiesta di installazione di un'applicazione mobile dopo l'accesso all'e-banking
  5. Dopo aver effettuato l'accesso all'e-banking, ad esempio, l'utente viene reindirizzato a un sito web non collegato alla banca (ad esempio google.ch).
  6. Timer dopo l'accesso all'e-banking. Ad esempio (vedi figura 2): "Please wait... (Attendere un minuto, non ricaricare la pagina).

Fonte: Centro di refertazione e analisi per la sicurezza dell'informazione (Melani)

Fig. 2: Tipico messaggio di errore visualizzato dai criminali.
Fig. 2: Tipico messaggio di errore visualizzato dai criminali.
(Visitato 135 volte, 1 visita oggi)
h2> Altri articoli sull'argomento

NOTIZIE SULLA SICUREZZA

Bleiben Sie informiert über aktuelle Sicherheitsthemen – praxisnah und zuverlässig. Erhalten Sie exklusive Inhalte direkt in Ihren Posteingang. Verpassen Sie keine Updates.

Jetzt anmelden!
anmelden
È possibile annullare l'iscrizione in qualsiasi momento!
chiudere il link