La truffa corre sul conto online, ecco come

Un passo avanti rispetto ai cyber-criminali

Gli istituti finanziari hanno come obiettivo primario quello di assicurarsi la fiducia del cliente e garantire l'integrità dei servizi di banking online a sua disposizione, oltre che di ridurre le possibili perdite causate da frodi online. Anche se il fenomeno dei malware è in aumento, vi sono alcune misure che il mondo bancario può adottare per mitigare il rischio di attacchi Man-in-the-Browser, oltre a diverse misure di sicurezza a disposizione delle banche per tutelare i loro clienti, preservare la reputazione e ridurre i rischi di perdite finanziarie.

Una di queste misure è l'autenticazione e la verifica OOB (Out Of Band) della transazione che impone l'uso di un canale di informazione alternativo al PC e al browser dell'utente per fornire i dati di conferma della transazione e il codice richiesto per convalidare l'intera operazione. Una forma molto diffusa di autenticazione OOB è l'invio di un codice SMS insieme ai dettagli della transazione sul cellulare dell'utente, che così può confermare che questi dettagli siano corretti. Quindi, quando si avvia una transazione online la banca invia un SMS con il codice e i dettagli dell'operazione sul cellulare dell'utente. L'operazione prosegue solo dopo che il cliente approva la transazione inserendo una one-time password sul portale online della banca.

Nonostante l'autenticazione via SMS non prevenga l'infezione dei browser da malware, essa utilizza un canale di comunicazione sicuro per avvertire il cliente che è in corso un'attività sul suo conto bancario. alla ricezione dell’SMS l’utente potrà approvare il processo o segnalare alla banca che lo stesso processo non è stato da lui avviato.

Un altro modo per tutelarsi da attacchi Man-in-the-Browser è quello di utilizzare sistemi di strong authentication basati su certificato insieme a un ambiente di navigazione sicuro dotato di misure di protezione aggiuntive per evitare che il browser venga infettato da malware. Ad esempio, utilizzando un browser sicuro salvato su un token di autenticazione USB si riduce la probabilità che lo stesso browser si infetti. In questo caso, al momento del collegamento online, l'utente prima autentica se stesso e poi carica il browser "non infetto" direttamente dal token. Questo browser sicuro rappresenta una misura di sicurezza preventiva contro il malware perché può essere pre-configurato per aprire un determinato sito Internet e bloccare qualsiasi tentativo di ricerca di altri siti non previsti.

Dato che il browser si trova su un dispositivo esterno di memoria flash ed è protetto da una security shell, esso risulta isolato da altre interazioni online e, dunque, non è esposto al malware.

Come abbiamo accennato al termine della pagina precedente, una strategia di strong authentication tradizionale non permette di neutralizzare o difendersi da un attacco MITB. Una strada percorribile per poter neutralizzare un attacco di questo tipo è quella di mettere in pratica tecniche di sicurezza volte ad autenticare e verificare la transazione e non l'autenticazione. Se ci rifacciamo all'esempio citato nella prima pagina, è necessaria una strategia che consenta di verificare che sia stato realmente Luca a disporre il bonifico e non entità terze.

La misura di sicurezza più diffusa, a tal scopo, è la verifica Out Of Band, come cita il passo qui sopra riportato. In sintesi si tratta di chiedere una conferma della transazione, su un canale di comunicazione differente da quello che si sta usando per la sua disposizione, direttamente all'utente. Se il sistema di banking online di Luca avesse previsto qualcosa di simile, la richiesta di conferma del bonifico di 5000 Euro sarebbe giunta tramite, ad esempio, un messaggio SMS e Luca avrebbe avuto modo di capire che qualcosa non stava andando per il verso giusto. E' una misura efficace per neturalizzare l'attacco, ma è opportuno considerare che nel momento in cui l'attacco avviene, il browser web è già stato compromesso.

Un miglior approccio alla sicurezza è rappresentato dalla prevenzione di eventuali attacchi, ovvero nel ridurre al minimo le possibilità e le probabilità che questi vengano perpetrati. Nel caso specifico il concetto di base è ridurre al minimo la possibilità che il browser venga infettato. In questo caso l'opportuno allestimento di una virtual machine nella quale far operare il browser può rappresentare una soluzione, così come la presenza di un browser sicuro in un flash drive esterno, come spiegato nel passo sopra riportato. Oppure ancora l'impiego di ambienti di operatività da supporti in sola lettura, come avviene nel mondo open-source delle distribuzioni live.

Più in generale il concetto di fondo è l'impiego di più tecniche di sicurezza che operino in modo sinergico tra loro. Ciascuno di questi approcci ha i propri punti di forza ed i propri contro, gli uni diversi dagli altri. Ma è bene ragionare su un fattore comune a tutte queste possibili misure di prevenzione e cioè il compromesso che richiedono sul versante dell'usabilità: tutte queste misure richiedono elementi aggiuntivi, più o meno difficili da "digerire" per l'utente rispetto al lineare processo di autenticazione-operazione.