La truffa corre sul conto online, ecco come

La truffa corre sul conto online, ecco come

L'esplosione del commercio elettronico porta ancor più alla ribalta il tema della sicurezza informatica, soprattutto nel contesto delle transazioni elettroniche. Partendo da un caso specifico proviamo a spiegare un aspetto spesso trascurato nella sicurezza informatica: il fattore umano

di Andrea Bai pubblicato il nel canale Software
 

Considerazioni

Conclusioni

Perché gli istituti finanziari dovrebbero prendere in considerazione la strong authentication? Semplice, per creare fiducia. Le transazioni elettroniche come ad esempio gli acquisti con carte di credito e debito, gli investimenti e i servizi bancari online sono in aumento; per questo è sempre più importante che i provider di servizi finanziari attuino controlli severi sulle modalità di protezione delle informazioni dei loro clienti, sia durante che dopo le transazioni. Adottando un processo di strong authentication, il consumatore è sicuro che le sue operazioni online rimangano private e protette. E se il consumatore si fida, si riduce il rischio di turnover dei clienti e aumenta il volume delle transazioni eseguite. Non ultimo, l'implementazione di un sistema di strong authentication permette a banche e istituti finanziari di mettere in sicurezza i loro sistemi per le transazioni e le comunicazioni digitali, aumentando la redditività e riducendo i costi operativi.

Mettere a disposizione dei clienti un ambiente sicuro nel quale operare e il più possibile al riparo da attacchi informatici è una esigenza primaria degli istituti di credito e, più in generale, di tutte quelle realtà che si trovano a dover gestire il denaro. Da un lato, infatti, è preciso compito dell'istituto di credito mettere a disposizione dell'utente tutti gli strumenti necessari affinché questi possa compiere le proprie transazioni monetarie con il massimo livello di sicurezza possibile, ed in maniera tale che questo livello di sicurezza possa essere mantenuto tale sia da utenti smaliziati, sia da utenti che poco o nulla sanno dei pericoli del mondo tecnologico.

Dall'altro lato, come afferma il passo qua sopra, gli istituti finanziari devono allestire un adeguato sistema di sicurezza per trasmettere fiducia nel cliente. Fiducia che, in questo caso, diventa una vera e propria freccia all'arco del marketing: se il cliente si fida, il cliente è soddisfatto, se il cliente è soddisfatto continuerà a restare con la propria banca e, potenzialmente, attirerà altri clienti. Nulla di male, in questo, del resto le banche non sono certamente delle onlus.

Ma anche in questo caso è bene ragionare su un paio di aspetti. Questa "domanda e offerta" della fiducia può rappresentare un'arma a doppio taglio. Quello che è il naturale desiderio di protezione assoluta, che viene soddisfatto da questa ostentazione di sofisticati servizi di sicurezza, può creare l'illusione di essere al riparo da qualunque tipo di pericolo. Abbiamo visto nelle pagine precedenti come l'ingegnere sociale (e tutti quei generi di attacchi, informatici e non, basati sui principi dell'ingegneria sociale) sia abile a manipolare la fiducia a proprio vantaggio: è proprio all'interno di contesti dove l'utente ripone il massimo della fiducia nei propri interlocutori che l'ingegnere sociale può perpetrare nella maniera più efficace i propri crimini.

Nella pagina precedente, inoltre, abbiamo fatto cenno ai compromessi sul versante dell'usabilità: anche questi aspetti rappresentano elementi di vulnerabilità. Spesso l'innata pigrizia dell'essere umano lo porta a scegliere una strada più semplice ma meno sicura. E' quello che può accadere a molti, nella vita di tutti i giorni: per "comodità" usiamo una password semplice da ricordare (e altrettanto semplice da scardinare), per comodità potremmo essere portati a ritenere eccessivo un sistema di sicurezza ridondante (come quelli accennati nella pagina precedente) semplicemente perché richiede un minimo "sforzo" aggiuntivo per essere usati.

E' nell'indole umana tendere a fidarsi del prossimo nel momento in cui questi fa leva su determinati "interruttori emotivi". Così come è nell'indole umana cercare la comodità. Per questo motivo anche i più sofisticati prodotti di sicurezza possono sgretolarsi sotto un accorto attacco di un ingegnere sociale: la sicurezza non è un prodotto, ma un processo. Un processo dove l'elemento più vulnerabile è l'essere umano. L'ingegneria sociale è questo: saper conoscere e sfruttare le debolezze intrinseche nel'indole umana per manipolare il prossimo e portarlo a compiere ciò che noi vogliamo senza che egli se ne accorga, se non quando ormai è troppo tardi.

I prodotti di sicurezza informatica sono importanti e fondamentali, ma spesso si trascura un aspetto: quello dell'informazione e della sensibilizzazione. Il primo passo è quello di rafforzare l'anello debole della catena: un utente consapevole è un utente meno vulnerabile.

60 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
piererentolo22 Dicembre 2010, 16:26 #1
Ormai tante banche utilizzano il metodo di OTP, a me è sempre sembrato sicuro (anche se è un po' una rottura ripetere la pass dopo ogni operazione).
Però se avessi letto meglio l'articolo mi sarei reso conto che mi fregherebbero anche con la OTP ahahah scusate
$padino22 Dicembre 2010, 17:08 #2
a quanto ho capito una soluzione semplice potrebbe essere quella di usare un browser dedicato solo per operazioni bancarie..che dite?
D1o22 Dicembre 2010, 17:10 #3
Originariamente inviato da: piererentolo
Ormai tante banche utilizzano il metodo di OTP, a me è sempre sembrato sicuro (anche se è un po' una rottura ripetere la pass dopo ogni operazione).
Però se avessi letto meglio l'articolo mi sarei reso conto che mi fregherebbero anche con la OTP ahahah scusate


l'ho letto due volte ma non ho capito come è possibile fregare un sistema otp.
piererentolo22 Dicembre 2010, 17:40 #4
Originariamente inviato da: D1o
l'ho letto due volte ma non ho capito come è possibile fregare un sistema otp.


beh se ti do' 2 OT password valide e le utilizzi 4 secondi dopo penso che funzionino.
brudicchio22 Dicembre 2010, 21:20 #5
io dubito che un browser su una chiavetta in sola lettura possa non essere compromesso una volta caricato nella ram... sto pensando ad un sistema sicuro senza l'uso degli sms... mmm è difficile
paul_9122 Dicembre 2010, 22:52 #6
ottimo articolo. molto utile anche perchè sto portando alla maturità questi argomenti. per altro sono un fan di kevin, letti 2 suoi libri questo mese sull'ingegneria sociale.

Ha veramente ragione quando dice che l'anello più debole della sicurezza informatica è proprio l'uomo. Molto piu facile "chiedere" una password che "rubarla". dai, magari a gente esperta non funzionano metodi phishing ma scometto che tutti i vostri parenti-conoscenti non sanno neanche che cos'è.

mi è piaciuto anche il libro Password Perfetta! l'ho letto ieri ve lo consiglio. Come creare una password sicura e come scoprirle.
insomma dai, gente esperta con le sole informazioni del profilo facebook vi ruba la password in meno di mezzora.
banryu7923 Dicembre 2010, 09:30 #7
Articolo interessante.
La morale della favola è che, come sempre, l'ignoranza è una brutta bestia.
E visto che l'ingegneria sociale non è intrinsecamente legata alla tecnologia, oltre che con soluzioni tecnologiche, il "problema della sicurezza" andrebbe combattuto sullo stesso piano: con l'informazione (e questa c'è già ma ancor di più con l'educazione (questa invece manca).
fdg123 Dicembre 2010, 10:05 #8
Originariamente inviato da: D1o
l'ho letto due volte ma non ho capito come è possibile fregare un sistema otp.

Con l'attacco MITB, il sistema è infettato a livello browser, in particolare vengono modificati i dati immessi (e visualizzati) per effettuare il bonifico: tu pensi di fare il bonifico di 5,00 € a Marco, in realtà il software intercetta queste informazioni, le modifica con 5.000 € e Pinko Pallino (siamo sempre all'interno del browser) e le spedisce modificate alla banca (all'interno della sessione autenticata che tu hai creato). Quando la banca ti visualizza il riepilogo (5.000 € a Pinko Pallino), ecco che il software reintercetta i dati, li cambia nuovamente con quelli che avevi immesso tu, e te li visualizza correttamente. Tu, quindi, ovviamente confermi la transizione ed inserisci la OTP. L'operazione viene quindi interpretata dalla banca come lecita.
La OTP impedisce ad altri, dai loro sistemi, di utilizzare il tuo account, ottenute le credenziali, per operazioni non autorizzate.
furbo23 Dicembre 2010, 11:28 #9
Ma se all'interno del messaggio contenente la OTP vi è riepilogato il reale contenuto della transazione che si sta confermando (5000 euro) ecco scoperto l'inghippo con relativo annullo dell'operazione da parte dell'utente colpito.
fdg123 Dicembre 2010, 11:53 #10
Originariamente inviato da: furbo
Ma se all'interno del messaggio contenente la OTP vi è riepilogato il reale contenuto della transazione che si sta confermando (5000 euro) ecco scoperto l'inghippo con relativo annullo dell'operazione da parte dell'utente colpito.

Qui ti sbagli: quando ti compare la finestra dove immettere la OTP, con il riepilogo della transizione richiesta, i dati visualizzati sullo schermo del cliente SONO GIA' STATI MODIFICATI DAL SOFTWARE, che non fa altro, per esempio, mi mettersi in mezzo tra i componenti comunicazione e i componenti rendering del browser stesso, cambiando i caratteri che il browser visualizzerà. Quindi, la banca ti risponde "5.000 € a Pinko Pallino" per la conferma, i dati arrivano al browser, il malware intercetta (per lui i dati sono in chiaro, in quanto agisce DENTRO il canale cifrato), cambia i dati in quelli originariamente immessi dall'utente "5,00 € a Marco", ed invia i dati al renderer del browser, che visualizza queste ultime info. Il cliente, quindi, verifica i dati immessi, immette la OTP e conferma. Rientra quindi in gioco il malware che riconverte i dati in spedizione alla banca, ovviamente mantenendo intatta la OTP... e per la banca l'operazione è lecita. Il problema è che, tecnicamente, i dati vengono modificati all'esterno del canale cifrato, quando sono in fase di visualizzazione (e quindi in chiaro).

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^