La truffa corre sul conto online, ecco come

La truffa corre sul conto online, ecco come

L'esplosione del commercio elettronico porta ancor più alla ribalta il tema della sicurezza informatica, soprattutto nel contesto delle transazioni elettroniche. Partendo da un caso specifico proviamo a spiegare un aspetto spesso trascurato nella sicurezza informatica: il fattore umano

di Andrea Bai pubblicato il nel canale Software
 

Le cause e le vulnerabilità

Il rischio degli attacchi MITB

Gli attacchi Man-in-the-Browser sono particolarmente difficili da rilevare e, spesso, riescono perfettamente a causare danni senza che nessuno se ne accorga. Di seguito alcune delle modalità con le quali avvengono gli attacchi MITB e le motivazioni che li rendono ad alto rischio.

I computer si possono infettare facilmente: il modo più comune per infettare un browser Internet con codice malware è quello di sfruttare le tecniche di social engineering. Spesso, navigando o facendo il download di file, ci si vede proporre la possibilità di scaricare versioni aggiornate di determinate applicazioni software. Si tratta di proposte talmente diffuse che molti utenti tendono ad accettarle automaticamente. Questo è esattamente il comportamento istintivo su cui i cyber-criminali fanno leva creando messaggi di download praticamente identici a quelli usati dai legittimi vendor di software. Molti utenti non si accorgono delle sottili differenze nei messaggi, autorizzano il download e inconsapevolmente infettano il loro browser.

Difficoltà di rilevamento: il malware è difficile da identificare in quanto chi si occupa del suo sviluppo utilizza dei toolkit che ne permettono la modifica e l'adattamento in base al target prescelto. Un livello di customizzazione tanto elevato - a volte pensato addirittura a seconda del Paese o dell'istituto bancario da colpire - impedisce ai filtri antivirus, sviluppati per tipologie di virus più generiche, di riconoscere il codice pericoloso.

Le tradizionali tecniche di strong authentication non aiutano: le strong authentication confermano l'identità dell'utente che esegue il login, ma in presenza di attacchi Man-in-the-Browser l'utente può eseguire l'autenticazione con successo anche se è stato attivato un codice pericoloso all'interno del browser. Quando il cliente effettua una transazione online, il browser infetto esegue segretamente azioni illegali. E nessuno, né l'utente né la banca, si accorge di quanto sta accadendo.

I meccanismi tradizionali anti-frode e i tool software-based sono inefficaci: gli strumenti anti-frode basati sul rischio si basano sull'autenticazione dell'utente e sulla convalida della transazione, chiedendo al cliente di rispondere ad alcune domande di sicurezza predefinite, analizzando le abitudini e gli schemi comportamentali dell'utente quando utilizza il suo conto bancario online. Questi strumenti non hanno però la capacità di verificare se una transazione sia stata avviata o meno da un malware.

Dopo aver letto la pagina precedente la parte dell'articolo qui sopra riportata, la maggior parte dei lettori potrà pensare che il modo migliore per prevenire un attacco di tipo MITB è quello di evitare di scaricare software di dubbia provenienza, in particolar modo quando si tratta di elementi aggiuntivi o plugin del browser web. L'osservazione è indubbiamente inoppugnabile, ma è opportuno considerare che tra la clientela di un eventuale servizio di banking online si trovano individui che possono essere ben poco adusi ai pericoli del mondo tecnologico. In altre parole, e come abbiamo già avuto modo di sottolineare più volte in altri articoli, il fattore umano rappresenta l'anello più debole del processo di sicurezza.


Kevin Mitnick, il più celebre tra gli ingegneri sociali, ora consulente di sicurezza informatica

Al termine della pagina precedente abbiamo fatto riferimento all'ingegneria sociale, ed anche il frammento di articolo riportato qui sopra cita le tecniche di social engineering come mezzo per indurre il malcapitato utente a scaricare un software malevolo. Ma che cos'è l'ingegneria sociale? Seppur si stia parlando di sicurezza informatica, dietro a questa altisonante espressione si nasconde ben poco di tecnologico: l'ingegneria sociale è una pratica di manipolazione psicologica volta alla raccolta di informazioni confidenziali o riservate che l'oggetto di un attacco normalmente non rivelerebbe. Una efficace definizione dell'ingegneria sociale è data da Kevin Mitnick nel saggio nel saggio "The art of deception". Mitnick è il più noto e celebre tra gli ingegneri sociali, con un passato da "hacker" ed un presente da consulente di sicurezza:

"Ingegneria sociale significa l'uso del proprio ascendente e delle capacità di persuasione per ingannare gli altri, convincendoli che l'ingegnere sociale sia quello che non è, oppure manovrandoli. Di conseguenza l'ingegnere sociale può usare la gente per strapparle informazioni con o senza l'ausilio di strumenti tecnologici"

Gli attacchi dell'ingegnere sociale, o più in generale gli attacchi che si basano sui principi e sui meccanismi dell'ingegneria sociale (e la stragrande maggioranza degli attacchi informatici traggono direttamente spunto dall'ingegneria sociale, rafforzati proprio dal mezzo tecnologico) hanno più probabilità di successo nel momento in cui le persone sono ignare delle buone e basilari pratiche di sicurezza. Per questo motivo il fattore umano è l'anello più debole nel processo di sicurezza.

Manipolazione dell'interlocutore e della sua fiducia: è questa l'essenza dell'ingeneria sociale. Avendo ben chiaro questo concetto, si evince immediatamente per quale motivo -ritornando all'argomento dell'articolo- le tradizionali tecniche di strong authentication non hanno alcuna utilità nella prevenzione o nel contenimento di attacchi di tipo MITB. Il processo di autenticazione autenticazione infatti si occupa solamente di verificare e validare le credenziali di identità allo scopo di stabilire un canale di comunicazione e, pertanto, utilizzare solamente un meccanismo di strong authentication, nel momento in cui il browser è già stato compromesso, non fa altro che incrementare il livello di "fiducia mal riposta" cui ci siamo riferiti nella pagina precedente.

 
^