E-Banking: i criminali prendono di mira le lettere d’attivazione

Alla fine del 2016 MELANI ha segnalato, tramite un bollettino d’informazione, l’aumento di criminali che prendono di mira i metodi d’autenticazione per accedere all’e-banking tramite dispositivi mobili. Ora i truffatori fanno un passo avanti e tentano di persuadere le vittime ad inviare loro una copia della lettera, ricevuta dalla banca, che contiene i dati d’attivazione per l’autenticazione a due fattori dell’e-banking.

Già nel 2016 criminali informatici tentavano di aggirare tramite social engineering, col supporto di programmi nocivi («malware») come ad esempio «Retefe», i metodi di autenticazione su dispositivi mobili come lo  Smartphone. Ad essere colpiti da simili attacchi sono le utilizzatrici e gli utilizzatori di PhotoTAN, CrontoSign e SecureSign. Ciò indipendentemente dal sistema operativo supportato dallo Smartphone (Android, iOS).

Da circa due settimane la Centrale d’annuncio e d’analisi per la sicurezza dell’informazione (MELANI) osserva l’aumento di attacchi, durante i quali i criminali tentano di impossessarsi di lettere inviate dalle banche e contenenti i dati d’attivazione. Nelle lettere d’attivazione è raffigurato, di norma, un mosaico che deve essere fotografato oppure scannerizzato tramite un App come PhotoTAN, CrontoSign o SecureSign, durante il primo login nell’e-banking effettuato con un dispositivo mobile . In seguito a ciò il dispositivo corrispondente riceve l’autorizzazione dalla banca per utilizzare il metodo di autenticazione mobile. Queste lettere vengono generalmente inviate per posta dalla banca alle clienti ed ai clienti. I truffatori provano ora, tramite social engineering, ad ottenere i dati d’attivazione e esortano le vittime a fotografare o scannerizzare le lettere e a trasmettergliele.  

I truffatori esortano la vittima, dopo il Login nell’e-banking, a scannerizzare la lettera d’attivazione e a trasmetterla ai truffatori.

Grazie alle informazioni contenute nella lettera d’attivazione, sotto forma di mosaico, per i truffatori diventa possibile attivare un altro smartphone per l’autenticazione a due fattori e connettersi al conto e-banking della vittima. A questo punto i criminali possono collegarsi al portale e-banking in ogni momento e richiedere un pagamento dal conto della vittima senza che essa se ne accorga.

In relazione all’e-banking MELANI consiglia:

  • la lettera d’attivazione che si riceve dalla banca è personale. Non deve essere condivisa con nessuno, nemmeno con la banca, anche qualora si dovesse venir sollecitati a farlo. In caso di dubbio si suggerisce di contattare telefonicamente la propria banca o il proprio consulente bancario
  • accertarsi che al momento dell’accesso al portale di e-banking si confermi effettivamente il login e non un pagamento;
  • prima di convalidare un pagamento controllare l’importo e il destinatario (nome, IBAN);
  • installare soltanto applicazioni dall’app store ufficiale (Google Play Store o Apple iTunes). Non installare mai applicazioni provenienti da fonti sconosciute, nemmeno se si viene invitati a farlo. Non modificate i vostri apparecchi tramite i cosiddetti rooten (Android) o jailbreak (iPhone). Attraverso questo tipo di procedimenti vengono infatti inficiati fondamentali meccanismi di sicurezza; 
  • attivate gli aggiornamenti di sicurezza per i computer così come per il telefonino non appena disponibili;
  • se al momento del login si riscontrano delle anomalie, contattare immediatamente la propria banca. Per «anomalie» s’intendono ad esempio:
    • avviso di sicurezza prima del login (ad es. «In seguito all’aggiornamento del sistema di sicurezza, è possibile che venga chiesta un’ulteriore autenticazione al momento del login. […]»;
    • messaggio di errore dopo il login (ad es. «Errore! A causa di un problema tecnico non è possibile visualizzare la pagina. Riprovare tra 2 min.»);
    • avviso di sicurezza dopo il login (ad es. «misura di sicurezza») che invita l’utente a indicare il numero di telefono fisso o di cellulare;
    • invito a installare un’app sul dispositivo mobile dopo il login;
    • dopo il login si viene collegati a un sito Internet che non ha a che fare con la banca (ad es. google.ch).
    • timer dopo il login (ad es. «Attendere per favore…» o «attendere 1 minuto. Non aggiornare la pagina»); 

Links:

https://www.melani.admin.ch/content/melani/it/home/dokumentation/bollettino-d-informazione/e-banking--angreifer-haben-es-auf-aktivierungsbriefe-abgesehen.html