La truffa corre sul conto online, ecco come

Gli attacchi “Man-in-the-Browser”: capire come si verificano per poterli prevenire

Le perdite dovute alle frodi finanziarie sono allarmanti. Il settore dei servizi finanziari è diventato uno degli obiettivi principali dei cyber-attacchi a livello mondiale. Solo nel 2009 le perdite totali hanno raggiunto i 54 miliardi di dollari, con un sensibile incremento rispetto ai 48 miliardi di dollari del 2008. I danni del cyber-crimine si ripercuotono anche sul fronte della reputazione aziendale e del turnover dei clienti, con un impatto notevole e potenzialmente devastante sul fatturato degli istituti finanziari.

Il banking online nel frattempo è diventato un’attività diffusa sia tra i consumatori sia tra le aziende (in particolare nel settore finanziario) grazie ai vantaggi di comodità e accessibilità per i primi e di maggiori opportunità di business per il mondo finance. La diffusione del banking online si basa sulla premessa che l'accesso alle applicazioni online sia protetto, e che le comunicazioni tra il cliente e la sua banca siano sicure. Nonostante questo, gli enormi danni causati dal cyber-crimine per mezzo di furti di identità, pharming e phishing hanno indotto utenti e istituti a fermarsi per implementare misure di sicurezza ancora più avanzate, come ad esempio l'autenticazione multi-fattore, in modo da poter avere una maggiore certezza dell’identificazione degli utenti.

Nel gioco del gatto e del topo del cyber-crimine, agli sforzi di aumentare la sicurezza sono corrisposti attacchi ancora più sofisticati sotto forma di software pericolosi, noti anche come malware,che risiedono sui PC in locale e permettono ai malintenzionati di assumere il controllo delle sessioni associate alle transazioni bancarie e perpetrare azioni fraudolente direttamente dalla macchina degli utenti inconsapevoli. Il cosiddetto Man-in-the-Browser (MITB) rientra in questa tipologia di attacchi: compromettendo il browser usato dal cliente della banca per accedere alle proprie credenziali (e quindi al proprio conto corrente) il MITB rende inutili le difese installate. Una minaccia Man-in-the-Browser si verifica nel momento in cui il codice pericoloso infetta un browser Internet. Il codice modifica le azioni eseguite dall'utente e addirittura è in grado di avviarne di nuove in maniera autonoma e ad insaputa dell’utente. Quando un cliente si collega al proprio conto bancario, è sufficiente che utilizzi un browser Internet infetto per innescare transazioni illecite.

Cerchiamo di capire meglio che cosa sia un attacco di tipo MITB, ovvero Man-In-The-Browser. Si tratta di una particolare tipologia di minaccia informatica correlata ed, anzi, ascrivibile alla più generica tipologia di attacchi che vanno sotto il nome di Man-In-The-Middle o MITM.

Nell'ambito della sicurezza informatica o, più in generale, della crittografia, si definisce l'attacco MITM come una forma di intercettazione attiva di comunicazioni, dove l'attaccante mette in atto interazioni indipendenti con le due vittime inoltrando i messaggi tra loro, facendo credere ad entrambi di comunicare direttamente su una connessione privata, quando di fatto l'intera conversazione è controllata dal portatore dell'attacco. La dicitura Man-In-The-Middle si riferisce proprio alla posizione del portatore dell'attacco, interposta tra le due vittime. Il meccanismo di funzionamento di questo genere di attacchi è rappresentato dal fatto che il portatore dell'attacco si finge il punto finale della comunicazione di ciascuna delle due parti, in maniera tale che queste siano reciprocamente convinte di interagire direttamente tra loro.

Gli attacchi Man-In-The-Browser seguono il medesimo concetto: la differenza, in questo caso, è la presenza dell'agente di attacco (che possiamo più facilmente concretizzare in un trojan o in un malware generico) all'interno del browser web. Si tratta, come si legge nell'articolo, di un genere di attacco che viene specificatamente messo in atto per danneggiare gli istituti di credito ed i loro clienti: con un attacco MITB, infatti, un utente di un servizio di banking online è convinto di interagire direttamente con i servizi bancari, quando in realtà il browser infetto intercetta e modifica le operazioni impartite dall'utente. Le operazioni, modificate, saranno inoltrate alla banca, la quale crederà di interagire direttamente con il cliente poiché la comunicazione avviene su un canale ritenuto sicuro in quanto aperto mediante i meccanismi di autenticazione da parte dell'utente stesso.

Proviamo a semplificare: Luca vuole effettuare un bonifico di 5 euro all'amico Mario. Luca si collega al servizio di banking online del proprio istituto di credito utilizzando un browser che, a sua insaputa, è stato infettato per poter essere soggetto ad un attacco MITB. Luca fornisce le sue credenziali di accesso, dispone il bonifico di 5 euro, visualizza le schermate di riepilogo della transazione e la richiesta di conferma, e porta a termine l'operazione, convinto che l'amico Mario si ritroverà 5 euro in più sul proprio conto corrente. Il giorno dopo Luca controlla il proprio estratto conto e si accorge che è stato disposto un bonifico di 5000 euro verso un beneficiario ignoto.

Cosa è accaduto? Tramite il browser infetto, Luca ha disposto una transazione finanziaria a beneficio dell'amico Mario. In questo momento il malware registra le operazioni impartite da Luca ed inoltra verso i servizi bancari una disposizione di 5000 Euro a beneficio del proprio autore. La banca riceve la disposizione di bonifico di 5000 Euro e invia le consuete comunicazioni di riepilogo e la richiesta di conferma. Il malware le intercetta e le modifica, in maniera tale che a Luca venga inviata il riepilogo e la richiesta di conferma della sua operazione di 5 Euro. Luca a questo punto conferma la transazione, che sarà in realtà quella di 5000 euro disposta dal malware.

Per quale motivo un attacco del genere ha successo? Perché si basa sul concetto di "fiducia mal riposta": ciascuno dei i due capi della comunicazione si fida del proprio interlocutore, è convinto che non vi sia alcun intermediario, semplicemente perché l'interazione avviene su un canale ritenuto a priori sicuro dal momento che il processo di autenticazione è andato a buon fine. La manipolazione della fiducia, come vedremo poco oltre, è uno dei grandi capisaldi dell'ingegneria sociale.