I cybercriminali intercettano i codici di home banking… e prosciugano i conti

4 Feb 2019

L’autenticazione a due fattori (2FA) è un metodo utilizzato dalla maggior parte degli istituti bancari di tutto il mondo per proteggere il denaro dei propri clienti: stiamo parlando di quei codici da 4-6 cifre che riceviamo dalla nostra banca per approvare e confermare una transazione. Di solito, le banche inviano queste password usa e getta via SMS ma si tratta di uno dei metodi più vulnerabili, dal momento che i messaggi di testo possono essere intercettati. Ed è proprio quanto successo nel Regno Unito.

In che modo i cybercriminali possono appropriarsi di questi messaggi? Ebbene, ce ne sono vari e uno dei più stravaganti è grazie a una falla di sicurezza nell’SS7, un protocollo che le compagnie di telecomunicazioni utilizzano per ridirigere messaggi e chiamate (per saperne di più potete leggere questo post). Alla rete SS7 non importa chi ha inviato la richiesta per cui, se i cybercriminali riescono ad accedervi, la rete seguirà i comandi ricevuti per ridirigere messaggi e chiamate, come se si trattasse di operazioni del tutto legittime.

La tecnica utilizzata è la seguente: i cybercriminali innanzitutto ottengono username e password del sistema di home banking dell’obiettivo, magari per mezzo del phishing, utilizzando un keylogger o un Trojan bancario. Successivamente, si collegano al servizio bancario online e fanno un bonifico. Al giorno d’oggi, la maggior parte delle banche richiedono una conferma aggiuntiva per approvare il bonifico, inviando un codice di verifica al proprietario del conto. Se ciò avviene mediante un messaggio di testo, i cybercriminali sfruttano la vulnerabilità del protocollo SS7, intercettando il messaggio e digitando il codice, come se stessero utilizzando il proprio telefono. Le banche accettano la transazione e la considerano legittima, in quanto è stata confermata due volte: prima attraverso la password e poi mediante il codice usa e getta. E il denaro finisce dritto nelle tasche dei cybercriminali.

La britannica Metro Bank ha già confermato su Motherboard che alcuni dei suoi clienti hanno subito le conseguenze di questa truffa e, nel 2017, il giornale Süddeutsche Zeitung aveva rivelato che anche alcune banche tedesche avevano sperimentato lo stesso problema.

In ogni caso, abbiamo anche buone notizie. Come conferma la stessa Metro Bank, un numero i clienti ad aver avuto inconvenienti sono stati pochi e “nessuno ha perso denaro come ultima conseguenza”.

Tutto ciò si sarebbe potuto evitare se le banche non si affidassero ai messaggi di testo per l’autenticazione a due fattori (ad esempio, si potrebbe utilizzare un’app di autenticazione hardware come Yubikey). Purtroppo, al momento gli istituti bancari (salvo rare eccezioni) non permettono altri sistemi di autenticazione a due fattori se non via SMS. Speriamo che nel prossimo future sempre più banche in tutto il mondo offrano altre opzioni ai propri clienti per proteggere al meglio i loro conti bancari.

Morale della favola di questa storia:

  • Utilizzare l’autenticazione a due fattori dove possibile è sempre una buona idea, tuttavia un’idea ancora migliore è quella di servirsi di versioni più sicure di questo sistema come le app di autenticazione o del tipo Yubikey. Se avete disposizione queste opzioni, sono preferibili agli SMS;
  • Utilizzate una soluzione antivirus affidabile per tenere Trojan bancari e keylogger fuori di vostri sistemi. Così non vi potranno rubare username e password e inconvenienti di questo tipo non saranno un problema.