E-Banking: i criminali prendono di mira le lettere d’attivazione

Già nel 2016 criminali informatici tentavano di aggirare tramite social engineering, col supporto di programmi nocivi («malware») come ad esempio «Retefe», i metodi di autenticazione su dispositivi mobili come lo  Smartphone. Ad essere colpiti da simili attacchi sono le utilizzatrici e gli utilizzatori di PhotoTAN, CrontoSign e SecureSign. Ciò indipendentemente dal sistema operativo supportato dallo Smartphone (Android, iOS).

Da circa due settimane la Centrale d’annuncio e d’analisi per la sicurezza dell’informazione (MELANI) osserva l’aumento di attacchi, durante i quali i criminali tentano di impossessarsi di lettere inviate dalle banche e contenenti i dati d’attivazione. Nelle lettere d’attivazione è raffigurato, di norma, un mosaico che deve essere fotografato oppure scannerizzato tramite un App come PhotoTAN, CrontoSign o SecureSign, durante il primo login nell’e-banking effettuato con un dispositivo mobile . In seguito a ciò il dispositivo corrispondente riceve l’autorizzazione dalla banca per utilizzare il metodo di autenticazione mobile. Queste lettere vengono generalmente inviate per posta dalla banca alle clienti ed ai clienti. I truffatori provano ora, tramite social engineering, ad ottenere i dati d’attivazione e esortano le vittime a fotografare o scannerizzare le lettere e a trasmettergliele.  

Grazie alle informazioni contenute nella lettera d’attivazione, sotto forma di mosaico, per i truffatori diventa possibile attivare un altro smartphone per l’autenticazione a due fattori e connettersi al conto e-banking della vittima. A questo punto i criminali possono collegarsi al portale e-banking in ogni momento e richiedere un pagamento dal conto della vittima senza che essa se ne accorga.

In relazione all’e-banking MELANI consiglia:

• la lettera d’attivazione che si riceve dalla banca è personale. Non deve essere condivisa con nessuno, nemmeno con la banca, anche qualora si dovesse venir sollecitati a farlo. In caso di dubbio si suggerisce di contattare telefonicamente la propria banca o il proprio consulente bancario
• accertarsi che al momento dell’accesso al portale di e-banking si confermi effettivamente il login e non un pagamento;
• prima di convalidare un pagamento controllare l’importo e il destinatario (nome, IBAN);
• installare soltanto applicazioni dall’app store ufficiale (Google Play Store o Apple iTunes). Non installare mai applicazioni provenienti da fonti sconosciute, nemmeno se si viene invitati a farlo. Non modificate i vostri apparecchi tramite i cosiddetti rooten (Android) o jailbreak (iPhone). Attraverso questo tipo di procedimenti vengono infatti inficiati fondamentali meccanismi di sicurezza; 
• attivate gli aggiornamenti di sicurezza per i computer così come per il telefonino non appena disponibili;
• se al momento del login si riscontrano delle anomalie, contattare immediatamente la propria banca. Per «anomalie» s’intendono ad esempio:
  • avviso di sicurezza prima del login (ad es. «In seguito all’aggiornamento del sistema di sicurezza, è possibile che venga chiesta un’ulteriore autenticazione al momento del login. […]»;
  • messaggio di errore dopo il login (ad es. «Errore! A causa di un problema tecnico non è possibile visualizzare la pagina. Riprovare tra 2 min.»);
  • avviso di sicurezza dopo il login (ad es. «misura di sicurezza») che invita l’utente a indicare il numero di telefono fisso o di cellulare;
  • invito a installare un’app sul dispositivo mobile dopo il login;
  • dopo il login si viene collegati a un sito Internet che non ha a che fare con la banca (ad es. google.ch).
  • timer dopo il login (ad es. «Attendere per favore…» o «attendere 1 minuto. Non aggiornare la pagina»); 

Links: