e-banking: gli hacker prendono di mira i metodi di autenticazione per dispositivi mobili

Nelle scorse settimane MELANI ha ricevuto diverse segnalazioni di casi in cui degli hacker hanno indotto le vittime a convalidare pagamenti fraudolenti via e-banking adottando tecniche di ingegneria sociale.

Da tempo la maggior parte delle banche offre metodi di autenticazione su dispositivi mobili per accedere all’e-banking e convalidare (autorizzare) pagamenti. Tra questi metodi rientra anche la procedura mobileTAN (mTAN), secondo cui la banca invia al cliente un codice di conferma tramite SMS. Ormai da alcuni anni i criminali tentano di intercettare con un malware i codici di conferma (mTAN) inviati tramite SMS sugli smartphone dei clienti per commettere poi una frode di e-banking.

L’industria ha pertanto sviluppato metodi di autenticazione alternativi al mTAN, già impiegati da diverse banche. Al momento del login o della convalida di un pagamento nel portale di e-banking viene visualizzato un codice QR o un mosaico che il cliente può scansionare sullo smartphone con un’app o con un apparecchio indipendente (autonomo).

A seconda del prodotto, il login o la convalida del pagamento avviene direttamente nell’app, oppure quest’ultima genera un codice che il cliente deve inserire nel portale dell’e-banking. I prodotti con un metodo di autenticazione simile impiegato da banche svizzere sono tra l’altro:

PhotoTAN
CrontoSign
SecureSign

Questo metodo di autenticazione è considerato generalmente sicuro. Tuttavia, molti clienti si lasciano ingannare da tecniche di ingegneria sociale e convalidano anche pagamenti che potrebbero riconoscere come fraudolenti.

MELANI è a conoscenza degli attuali tentativi di frode nell’e-banking tramite metodi di autenticazione come PhotoTAN, CrontoSign o SecureSign. In Svizzera ad esempio il malware Retefe, conosciuto da tempo, è al momento in grado di indurre le vittime a convalidare pagamenti fraudolenti via PhotoTAN, CrontoSign o SecureSign tramite tecniche di ingegneria sociale.

Al momento dell’accesso al portale di e-banking via smartphone con metodi di autenticazione mTAN, PhotoTAN, CrontoSign o SecureSign, MELANI raccomanda di adottare le misure di sicurezza seguenti:

accertarsi che al momento dell’accesso al portale di e-banking si conferma effettivamente il login e non un pagamento;
prima di convalidare un pagamento controllare l’importo e il destinatario (nome, IBAN);
installare soltanto applicazioni dall’app store ufficiale (Google Play Store o Apple iTunes). Non installare mai applicazioni provenienti da fonti sconosciute, nemmeno se si viene invitati a farlo. Non modificate i vostri apparecchi tramite i cosiddetti Rooten (Android) o Jailbreaken (iPhone). Attraverso questo tipo di procedimenti vengono infatti inficiati fondamentali meccanismi di sicurezza;
in caso di ricezione di un SMS non richiesto contenente un mTAN contattare immediatamente la propria banca;
se al momento del login si riscontrano delle anomalie, contattare immediatamente la propria banca;
Per «anomalie» s’intedono ad esempio:
- avviso di sicurezza prima del login (ad es. «In seguito all’aggiornamento del sistema di sicurezza, è possibile che venga chiesta un’ulteriore autenticazione al momento del login. […]»;
- messaggio di errore dopo il login (ad es. «Errore! A causa di un problema tecnico non è possibile visualizzare la pagina. Riprovare tra 2 min.»);
- avviso di sicurezza dopo il login (ad es. «misura di sicurezza») che invita l’utente a indicare il numero di telefono fisso o di cellulare;
- invito a installare un’app sul dispositivo mobile dopo il login;
- dopo il login si è ad esempio collegati a un sito Internet che non ha a che fare con la banca (ad es. google.ch).
- timer dopo il login (ad es. «Attendere per favore…» o «attendere 1 minuto. Non aggiornare la pagina»);