Come entrano nel mio conto corrente gli hacker?
Lo sai che?
14 Nov 2016
 
L'autore
Noemi Secci
 


Leggi tutti gli articoli dell'autore
 

Come entrano nel mio conto corrente gli hacker?

Phishing, trojan banking, voip attack: in quali modi i criminali si impossessano dei nostri dati sul web e come difendersi.

 

Avere un conto online, eseguire bonifici, F24 e altre operazioni via web è sicuramente una grande comodità, ma comporta dei rischi molto seri, cioè il furto delle proprie credenziali per accedere alle carte e ai conti correnti. Esistono, però, dei modi efficaci per difendersi: in questo breve vademecum vediamo le principali modalità con le quali gli hacker riescono a rubare i dati degli utenti e quali precauzioni si possono adottare per evitare i furti.

 

 

Phishing

La truffa via web più diffusa, finalizzata a carpire i dati di carte e conti correnti, è senza dubbio il phishing. Il phishing consiste nell’invio di una email, strutturata in modo tale da sembrare una vera comunicazione dalla parte della banca dell’utente o dell’intermediario finanziario, in caso di carte e strumenti simili.

L’utente, nella finta email, viene invitato dall’istituto a fornire i propri dati a causa di un «problema tecnico»; spesso l’utente viene minacciato che, se non confermerà i propri dati, il conto o la carta saranno bloccati.

Se l’utente «abbocca», viene reindirizzato a una pagina web del tutto simile a quella della propria banca, anche nell’url (l’indirizzo web), nella quale è presente una mascherina di login in cui inserire le credenziali: il proprio nome utente, la password e il pin. Una volta inseriti i dati, il furto è compiuto.

A questo punto, infatti, il phisher, cioè colui che ruba i dati, non fa altro che utilizzare le credenziali per accedere al vero sito web della banca e disporre un bonifico al cosiddetto financial manager. Il financial manager è colui che mette a disposizione il proprio conto corrente, per incassare il bonifico e rigira la somma al phisher, in un conto corrente estero intestato a quest’ultimo, decurtando le sue commissioni.

L’ignaro utente si ritrova così impoverito di una bella somma (talvolta, invece, i truffatori effettuano periodicamente dei bonifici piccoli perché l’utente non si accorga dei movimenti e non blocchi il conto).

Phisher e financial manager, naturalmente, commettono il reato di accesso abusivo a sistema informatico e frode informatica oppure, se non è sussistente il concorso, il financial manager risponde dei reati di ricettazione e riciclaggio [1].

Risalire all’identità dei criminali è particolarmente difficile, perché  la finta mail viene mascherata da proxy anonimizzatori (dei software che si inseriscono tra chi naviga e il server, che in questo caso hanno la funzione di rendere anonimo il navigatore) e da connessioni Vpn (si tratta di reti virtuali private che criptano i dati in entrata e in uscita durante la connessione) che rendono le indagini molto difficili, anche perché spesso il phisher si trova all’estero.

 

 

Trojan banking

Nel trojan banking il criminale, anziché utilizzare una mail per carpire i dati dell’utente, utilizza un malware, cioè un software dannoso che gli consente di controllare l’attività sul computer della vittima, compreso l’accesso ai conti e alle carte online. Può così rubare facilmente le credenziali, senza che la vittima debba fare alcunché.

 

 

Voip attack

Il furto delle credenziali tramite Voip attack, invece, non avviene tramite web ma attraverso un call center.

In particolare, la vittima, spesso allertata per problemi tecnici o amministrativi che possono determinare il blocco della carta o del conto, viene indotta a chiamare un finto call center, dal quale risponde un finto dipendente di un istituto di credito che convince l’utente a fornire le credenziali per accedere al conto o alla carta.

 

 

Furto delle credenziali: come difendersi

Quale che sia la modalità attraverso la quale i cyber-criminali riescono a rubare le credenziali, lo scopo è sempre quello di derubare la vittima.

Per difendere i propri clienti, le banche sono obbligate [2] ad adottare determinate misure di sicurezza nei pagamenti effettuati con carta, nell’esecuzione di bonifici, nelle emissioni o modifiche di mandati elettronici di addebito diretto e nei trasferimenti di moneta elettronica tra due conti.

Il tipo di protezione attualmente più efficace ed utilizzato è la cosiddetta «strong authentication» (autenticazione forte), cioè una modalità rafforzata di verifica dell’identità dell’utente.

Questo metodo di autentificazione si basa sulla combinazione di almeno due credenziali tra i seguenti elementi:

  • un fattore «predeterminato» che l’utente conosce: codice utente, pin o password;
  • un fattore «fisico» che l’utente possiede: smart card, token, sim del cellulare;
  • un fattore consistente in una caratteristica dell’utente: ad esempio caratteristiche biometriche.

Perché la difesa sia efficace, almeno uno degli elementi non deve essere replicabile o riutilizzabile.

 

 

Token

Il token è un generatore di numeri pseudocasuali che, al momento dell’effettuazione di un bonifico o di un’operazione dispositiva, viene sincronizzato con il server dell’istituto di credito, generando determinate stringhe di numeri in relazione alla posizione del correntista nel database interno.

Grazie a questo sistema, per il trasferimento dei fondi non bastano le credenziali del correntista, ma è necessario, in aggiunta, il possesso di un dispositivo personale: senza il token, non è possibile effettuare alcuna operazione dispositiva.

 

 

Otp

La Otp, sigla che sta per one time password, è una password aggiuntiva creata al momento del bonifico o dell’operazione dal sistema dell’istituto di credito: la password viene trasmessa all’utente tramite sms ed ha scadenza immediata. Vale, cioè, una sola volta e non più essere riutilizzata.

Il phisher, in presenza di una one time password, può riuscire nel suo intento di trasferimento abusivo dei fondi non solo rubando il cellulare, ma anche con un’ulteriore modalità. Se riesce a carpire il numero di cellulare della vittima, recarsi presso un centro servizi del gestore telefonico e chiedere il blocco della sim della vittima e la sua sostituzione, difatti, assumendo la falsa identità del cliente, può ottenere una nuova sim con il numero dell’utente: a questo punto, introducendosi nel sistema di home banking della vittima con le credenziali rubate e ricevendo la otp via sms nella sua sim può disporre il bonifico.

Tuttavia bisogna osservare che il gestore telefonico, prima di trasferire un numero presso un’altra sim, richiede sempre il documento d’identità dell’utente, per cui la realizzazione del furto, in presenza di una otp, risulta molto difficile.

Per trasferire i soldi in presenza di un token, invece, l’unica modalità possibile è il furto del token stesso.

 


[1] Cass. sent. n.44156/2014.

[2] Banca d’Italia, circ n. 285/2013.

 


richiedi consulenza ai nostri professionisti

 
 
Commenti