L\u2019autenticazione a due fattori (2FA) \u00e8 un metodo utilizzato dalla maggior parte degli istituti bancari di tutto il mondo per proteggere il denaro dei propri clienti: stiamo parlando di quei codici da 4-6 cifre che riceviamo dalla nostra banca per approvare e confermare una transazione. Di solito, le banche inviano queste password usa e getta via SMS ma si tratta di uno dei metodi pi\u00f9 vulnerabili, dal momento che i messaggi di testo possono essere intercettati. Ed \u00e8 proprio quanto successo nel Regno Unito.<\/p>\n\n
In che modo i cybercriminali possono appropriarsi di questi messaggi? Ebbene, ce ne sono vari e uno dei pi\u00f9 stravaganti \u00e8 grazie a una falla di sicurezza nell\u2019SS7, un protocollo che le compagnie di telecomunicazioni utilizzano per ridirigere messaggi e chiamate (per saperne di pi\u00f9<\/a> potete leggere questo post). Alla rete SS7 non importa chi ha inviato la richiesta per cui, se i cybercriminali riescono ad accedervi<\/a>, la rete seguir\u00e0 i comandi ricevuti per ridirigere messaggi e chiamate, come se si trattasse di operazioni del tutto legittime.<\/p>\n La tecnica utilizzata \u00e8 la seguente: i cybercriminali innanzitutto ottengono username e password del sistema di home banking dell\u2019obiettivo, magari per mezzo del phishing, utilizzando un keylogger o un Trojan bancario. Successivamente, si collegano al servizio bancario online e fanno un bonifico. Al giorno d\u2019oggi, la maggior parte delle banche richiedono una conferma aggiuntiva per approvare il bonifico, inviando un codice di verifica al proprietario del conto. Se ci\u00f2 avviene mediante un messaggio di testo, i cybercriminali sfruttano la vulnerabilit\u00e0 del protocollo SS7, intercettando il messaggio e digitando il codice, come se stessero utilizzando il proprio telefono. Le banche accettano la transazione e la considerano legittima, in quanto \u00e8 stata confermata due volte: prima attraverso la password e poi mediante il codice usa e getta. E il denaro finisce dritto nelle tasche dei cybercriminali.<\/p>\n La britannica Metro Bank ha gi\u00e0 confermato su Motherboard<\/a> che alcuni dei suoi clienti hanno subito le conseguenze di questa truffa e, nel 2017, il giornale S\u00fcddeutsche Zeitung<\/a> aveva rivelato che anche alcune banche tedesche avevano sperimentato lo stesso problema.<\/p>\n In ogni caso, abbiamo anche buone notizie. Come conferma la stessa Metro Bank, un numero i clienti ad aver avuto inconvenienti sono stati pochi e \u201cnessuno ha perso denaro come ultima conseguenza\u201d.<\/p>\n Tutto ci\u00f2 si sarebbe potuto evitare se le banche non si affidassero ai messaggi di testo per l\u2019autenticazione a due fattori (ad esempio, si potrebbe utilizzare un\u2019app di autenticazione<\/a> hardware come Yubikey). Purtroppo, al momento gli istituti bancari (salvo rare eccezioni) non permettono altri sistemi di autenticazione a due fattori se non via SMS. Speriamo che nel prossimo future sempre pi\u00f9 banche in tutto il mondo offrano altre opzioni ai propri clienti per proteggere al meglio i loro conti bancari.<\/p>\n Morale della favola di questa storia:<\/p>\n