e-banking: gli hacker prendono di mira i metodi di autenticazione per dispositivi mobili

Nelle scorse settimane MELANI ha ricevuto diverse segnalazioni di casi in cui degli hacker hanno indotto le vittime a convalidare pagamenti fraudolenti via e-banking adottando tecniche di ingegneria sociale.

Da tempo la maggior parte delle banche offre metodi di autenticazione su dispositivi mobili per accedere all’e-banking e convalidare (autorizzare) pagamenti. Tra questi metodi rientra anche la procedura mobileTAN (mTAN), secondo cui la banca invia al cliente un codice di conferma tramite SMS. Ormai da alcuni anni i criminali tentano di intercettare con un malware i codici di conferma (mTAN) inviati tramite SMS sugli smartphone dei clienti per commettere poi una frode di e-banking.

L’industria ha pertanto sviluppato metodi di autenticazione alternativi al mTAN, già impiegati da diverse banche. Al momento del login o della convalida di un pagamento nel portale di e-banking viene visualizzato un codice QR o un mosaico che il cliente può scansionare sullo smartphone con un’app o con un apparecchio indipendente (autonomo).

Figura 1: Mosaico (a sinistra) e codice QR (a destra) per effettuare il login e convalidare un pagamento

A seconda del prodotto, il login o la convalida del pagamento avviene direttamente nell’app, oppure quest’ultima genera un codice che il cliente deve inserire nel portale dell’e-banking. I prodotti con un metodo di autenticazione simile impiegato da banche svizzere sono tra l’altro:

  • PhotoTAN
  • CrontoSign
  • SecureSign 

Questo metodo di autenticazione è considerato generalmente sicuro. Tuttavia, molti clienti si lasciano ingannare da tecniche di ingegneria sociale e convalidano anche pagamenti che potrebbero riconoscere come fraudolenti.

MELANI è a conoscenza degli attuali tentativi di frode nell’e-banking tramite metodi di autenticazione come PhotoTAN, CrontoSign o SecureSign. In Svizzera ad esempio il malware Retefe, conosciuto da tempo, è al momento in grado di indurre le vittime a convalidare pagamenti fraudolenti via PhotoTAN, CrontoSign o SecureSign tramite tecniche di ingegneria sociale.

Al momento dell’accesso al portale di e-banking via smartphone con metodi di autenticazione mTAN, PhotoTAN, CrontoSign o SecureSign, MELANI raccomanda di adottare le misure di sicurezza seguenti: 

  • accertarsi che al momento dell’accesso al portale di e-banking si conferma effettivamente il login e non un pagamento;
  • prima di convalidare un pagamento controllare l’importo e il destinatario (nome, IBAN);
  • installare soltanto applicazioni dall’app store ufficiale (Google Play Store o Apple iTunes). Non installare mai applicazioni provenienti da fonti sconosciute, nemmeno se si viene invitati a farlo. Non modificate i vostri apparecchi tramite i cosiddetti Rooten (Android) o Jailbreaken (iPhone). Attraverso questo tipo di procedimenti vengono infatti inficiati fondamentali meccanismi di sicurezza;  
  • in caso di ricezione di un SMS non richiesto contenente un mTAN contattare immediatamente la propria banca;
  • se al momento del login si riscontrano delle anomalie, contattare immediatamente la propria banca;
  • Per «anomalie» s’intedono ad esempio:

    • avviso di sicurezza prima del login (ad es. «In seguito all’aggiornamento del sistema di sicurezza, è possibile che venga chiesta un’ulteriore autenticazione al momento del login. […]»;

    • messaggio di errore dopo il login (ad es. «Errore! A causa di un problema tecnico non è possibile visualizzare la pagina. Riprovare tra 2 min.»);

    • avviso di sicurezza dopo il login (ad es. «misura di sicurezza») che invita l’utente a indicare il numero di telefono fisso o di cellulare;

    • invito a installare un’app sul dispositivo mobile dopo il login;

    • dopo il login
      si è ad esempio collegati a un sito Internet che non ha a che fare con la banca (ad es. google.ch). 

    • timer dopo il login (ad es. «Attendere per favore…» o «attendere 1 minuto. Non aggiornare la pagina»);
Figura 2: Tipico messaggio di errore impiegato dai criminali
https://www.melani.admin.ch/content/melani/it/home/dokumentation/bollettino-d-informazione/mobileauthentifizierungsmethoden.html