Le procedure TAN garantiscono il massimo livello di sicurezza possibile nell’online banking, sicurezza che però non è mai al cento per cento, nonostante alcuni fornitori lo sostengano. Fa sicuramente riflettere il fatto che, ad eccezione di HBCI, che non è una procedura TAN in senso stretto, tutte le procedure TAN sono state violate con successo. Sebbene le lacune di sicurezza inerenti alla procedura abbiano svolto un ruolo importante nelle frodi in questione, il fattore decisivo di solito è stato la vulnerabilità del cliente: isolato dall’infrastruttura di sicurezza interna della banca, spesso con poca familiarità con le questioni informatiche, e agendo talvolta impulsivamente, il cliente è l’anello più debole della catena per molti malintenzionati.
Questo è anche il motivo per cui gli attacchi informatici su un conto bancario hanno sempre come obiettivo primario il proprietario. Per questo motivo, è compito del cliente affrontare il tema della sicurezza dei propri conti bancari e sviluppare la consapevolezza della gestione sicura delle procedure di online banking e TAN. In questo contesto, può essere utile conoscere e comprendere il funzionamento tipico di un attacco. Al giorno d’oggi vi è una grande varietà di possibili scenari di attacco, e ogni giorno i malintenzionati trovano nuove strade per appropriarsi di denaro altrui. Pertanto è impossibile presentare esaustivamente tutti i tipi di attacchi e tutti i trucchi utilizzati dai cybercriminali, ma vorremmo almeno fornirvi alcuni esempi tipici di attacco. I seguenti esempi si riferiscono alla procedura mTAN:
per poter utilizzare il fattore umano per infiltrarsi in un sistema di sicurezza informatica, gli hacker esperti utilizzano una selezione di strumenti digitali e tecnici e soprattutto un metodo, quello del Social Engineering. Essi cercano di fare in modo che la loro vittima si comporti in modo scorretto in una situazione critica per la sicurezza. Ad esempio, un hacker potrebbe porsi come dipendente di un’azienda esterna di supporto informatico a cui è stato chiesto di risolvere problemi con i software di contabilità e di online banking. In questo contesto, egli cerca di ottenere l’accesso o le coordinate bancarie della persona che ha contattato.
Spesso il primo passo di un cyberattacco è quello di introdurre un trojan. Questo accade, ad esempio, quando la vittima viene indotta a cliccare su un link infetto in un’e-mail affidabile. Quanto più rispettabile è l’e-mail e il suo indirizzo, tanto più è probabile che questo tipo di phishing abbia successo. Oggetti come “sollecito”, “sospensione dell’account” o “verifica della sicurezza” mirano a porre sotto stress la potenziale vittima e a incoraggiarla a intraprendere un’azione sconsiderata.
- In qualsiasi modo venga introdotto il trojan bancario, una volta che è sul dispositivo con cui si esegue l’online banking, può spiare i dati di accesso corrispondenti. L’hacker ha così superato il primo ostacolo.
- Ora l’hacker deve solo superare l’ostacolo della procedura TAN, per la quale ha una serie di opzioni diverse; noi ve ne presenteremo 3:
- Rubare il dispositivo mobile è probabilmente il metodo più comune, ma è anche quello che la vittima nota più rapidamente.
- Un’altra strategia è quella di utilizzare i dati di accesso acquisiti per trasferire il numero di cellulare del titolare del conto su una seconda carta SIM o per richiedere una carta SIM aggiuntiva. L’hacker la configura in modo tale che gli SMS (e quindi anche i numeri di transazione) vengano inviati soltanto alla propria carta SIM, mentre tutte le altre funzioni (ad esempio telefonare) rimangono a disposizione della vittima. La vittima si accorge che c’è qualcosa che non va soltanto dopo un po’ di tempo.
- Particolarmente insidioso è l’attacco man in the middle o man in the browser, perché è quasi invisibile: il trojan si annida nel browser della vittima e manipola la rappresentazione visiva di una piattaforma di online banking. Ad esempio, il trojan modifica elementi esistenti o ne aggiunge di nuovi. La vittima inconsapevole inserisce le informazioni per il proprio bonifico, compreso il corrispondente TAN, come di consueto, e le trasmette entrambe. Ma nel frattempo l’hacker ha già intercettato i dati e dirige i trasferimenti sul proprio conto bancario. A seconda dell’intelligenza con cui procede, potrebbero volerci settimane o addirittura mesi perché il danno venga scoperto.
Come un cybercriminale arriva infine al vostro TAN, non è rilevante per i consumatori, ma è molto più importante concentrare i propri sforzi per evitare i primi passi di un attacco informatico (social engineering e trojan bancari). Ad esempio, bisogna prestare particolare attenzione ai tipici indizi di phishing e a non trasmettere dati sensibili senza pensarci a sconosciuti, anche se questi agiscono come fornitori di servizi affidabili (supporto IT, fornitori di servizi contabili, ecc.).