E-Banking e truffe: come riconoscerle per difendersi

E-Banking e truffe: come riconoscerle per difendersi
da in Guide HiTech, Sicurezza Informatica
Ultimo aggiornamento: Martedì 24/05/2016 18:48

    e banking

    E-banking o home banking sono i termini che definiscono l’insieme di attività che consentono di compiere online tutte quelle azioni e di sfruttare tutti quei servizi che solitamente necessitano di recarsi fisicamente ad uno sportello bancario. Sempre più utenti si avvalgono di questa comodità che non solo aumenta il comfort e velocizza i tempi, ma snellisce e rende più flessibile completare operazioni che normalmente potrebbero occupare anche mezza giornata. Tuttavia, non è tutto oro ciò che luccica e non mancano nemmeno qui i problemi e soprattutto i pericoli che la rete riserva. Ecco come riconoscere e come difendersi dalle truffe e dai tentativi di truffa.

    Il cybercrimine si evolve velocemente e spesso e volentieri anticipa i sistemi di difesa; soprattutto si approfitta dell’ingenuità e della scarsa esperienza di molti utenti. Grazie all’esplosione dell’e-banking, sono aumentate in modo direttamente proporzionale le minacce e i pericoli: quanti email riceviamo ogni giorno nello spam basate proprio su questi tentativi di phishing? A molti utenti queste email possono anche risultare divertenti per quanto sono sgangherate, con traduzioni maccheroniche e errori grossolani, ma sono ancora tanti i naviganti che vengono intrappolati in questi triangoli delle bermuda. Ma non sono gli unici pericoli.

    I criminali del web hanno sviluppato sistemi anche raffinati per bypassare i sistemi protettivi per i dati finanziari attraverso malware o stratagemmi. Quali sono e come riconoscerli? Gli esperti del Kaspersky Lab, della celebre società che produce gli antivirus, hanno isolato alcuni esempi di Banking Trojan che – una volta installati sul PC, raccolgono automaticamente i dati di pagamento e qualche volta compiono transazioni finanziarie a discapito della vittima. Come si “ricevono” questi trojan? Spesso attraverso le mail di phishing con link beffardi che portano a pagine create ad hoc per rassomigliare in tutto e per tutto alle pagine ufficiali dei servizi bancarie. Sono tentativi grossolani e inefficaci? I numeri a proposito delle vittime ci raccontano il contrario. Ovviamente le difese sono sempre le stesse: prudenza e buon senso. Altri trojan si infiltrano attraverso debolezze del sistema operativo e di applicazioni popolari anche con “azioni di massa” attraverso cosiddetti exploit packs ossia set di exploit che tentano di forzare più vulnerabilità insieme.

    Che tecniche utilizzano i trojan?

    • Cattura dell’input della tastiera: per “vedere” password e immissione di dati sensibili, una possibile difesa è utilizzare una tastiera virtuale da cliccare col mouse, ma può non essere sufficiente
    • Screenshot di ciò che lo schermo sta visualizzando in un determinato momento
    • Bypass dei siti ufficiali attraverso il cambio dei file host per sbarcare su portali fake seppur digitando l’indirizzo corretto.
    • WebInject ossia inserimento di campi da compilare fasulli per catturare dati sensibili come numeri di carte di credito, dati anagrafici ecc…
    E le one-time-password (TAN) ossia i codici alfanumerici che vengono creati e utilizzati ogni volta differenti? Ci sono trojan che possono “fregare” anche questo sistema. Ad esempio, ZeuS Trojan (per approfondire) lavora così: non appena l’utente digita il TAN, il sistema visualizza una falsa notifica che informa di un malfunzionamento invitando a immettere una serie di TAN generate dal proprio dispositivo a mo’ di controllo. Nemmeno a specificarlo, questi codici sono invece validi e verranno utilizzati per operazioni successive. Nel solo 2012, Kaspersky Lab ha contato 3.5 milioni di attacchi su 896.000 computer nel mondo, con questo sistema. Mica noccioline.

    679

    ARTICOLI CORRELATI