Non fornire i dati di attivazione

L'ufficio di rendicontazione Melani ha sottolineato qualche mese fa che i criminali stanno prendendo sempre più di mira i metodi di autenticazione mobile nell'e-banking. Ora gli aggressori stanno facendo un ulteriore passo avanti e cercano di convincere le vittime a inviare ai truffatori una copia della lettera ricevuta dalla banca, che contiene i dati di attivazione per l'autenticazione a due fattori (2FA) dell'e-banking.

Dal 2016, gli aggressori cercano di aggirare i metodi di autenticazione mobile sugli smartphone attraverso l'ingegneria sociale con l'aiuto di malware come "Retefe". Gli utenti di PhotoTAN, CrontoSign e SecureSign sono interessati da tali attacchi. Ciò è indipendente dal sistema operativo dello smartphone utilizzato (Android, iOS).

Non fornire mai(!) la lettera di attivazione personale

Dall'inizio di agosto MROS ha osservato un numero crescente di attacchi in cui i criminali cercano di ottenere dalle banche lettere contenenti i dati di attivazione. Questa lettera di attivazione contiene solitamente un'immagine a mosaico che deve essere scansionata o fotografata la prima volta che un dispositivo accede all'e-banking utilizzando un'applicazione come PhotoTAN, CrontoSign o SecureSign. Il dispositivo corrispondente viene quindi approvato dalla banca per il metodo di autenticazione mobile. Queste lettere vengono solitamente inviate dalla banca ai clienti per posta. Gli aggressori chiedono alla vittima di scansionare o fotografare la lettera e di inviarla ai truffatori. Chiunque lo faccia deve aspettarsi che i criminali accedano all'e-banking della vittima utilizzando un altro smartphone per l'autenticazione a due fattori. Da questo momento in poi, gli aggressori possono accedere al portale di e-banking in qualsiasi momento e ordinare pagamenti fraudolenti dal conto della vittima senza che questa ne sia a conoscenza.

Raccomandazione MROS

Quando si tratta di e-banking, MROS raccomanda:

• Non "condividete" la lettera di attivazione della banca con nessuno, nemmeno con la banca stessa, anche se vi viene richiesto. In caso di dubbio, contattate la banca.
• Assicuratevi di confermare realmente il login quando accedete all'e-banking sul dispositivo mobile (ad es. smartphone o dispositivo PhotoTAN dedicato) e che non sia già il viz. di un pagamento.
• Se state avvistando un pagamento, leggete sempre il testo completo sul dispositivo mobile e controllate l'importo e il destinatario (nome, IBAN) del pagamento prima di rilasciarlo.
• Installare solo applicazioni per smartphone provenienti dall'app store ufficiale (Google Play o Apple App Store). Non installate mai applicazioni da fonti sconosciute, anche se vi viene chiesto di farlo. Non modificate il vostro dispositivo in modo da compromettere i meccanismi di sicurezza essenziali (ad esempio, "rooting", "jailbreaking").
• Applicare gli aggiornamenti di sicurezza sia per il computer che per il telefono cellulare non appena sono disponibili.
• Se notate delle irregolarità durante l'accesso all'e-banking, contattate immediatamente la vostra banca.

Fonte: MELANI