Il canale Internet pone delle problematiche relative alla sicurezza delle operazioni che tramite esso avvengono e che, per tale motivo, potrebbero essere percepite dall’utente finale come segno di scarsa affidabilità dei servizi stessi, circostanza che può contribuire in larga misura a diminuire la percezione di affidabilità di un servizio che viene offerto in rete.
Nell’analisi dello scenario dei possibili attacchi mirati al furto dell’identità elettronica degli utenti dei servizi on-line di una banca, una prima distinzione va fatta tra attacchi fisici e attacchi informatici.
Gli attacchi fisici consistono principalmente in atti deliberati di manomissione delle strutture hardware che gestiscono la memorizzazione, il flusso e l’archiviazione delle credenziali digitali dell’utente, o in atti di furto e/o estorsione delle informazioni riservate.
Per attacchi informatici all’identità elettronica si intendono invece tutti quegli attacchi portati, tramite software eseguito da remoto, alle infrastrutture informatiche della banca, del cliente o della rete telematica che li connette, finalizzati a carpire le credenziali digitali dell’utente dei servizi on-line. A differenza dei precedenti non è necessaria la presenza fisica del frodatore nel luogo in cui la frode effettivamente avviene.
Le fasi durante le quali può essere lanciato un attacco, sia esso fisico o informatico, riguardano l’intero ciclo di utilizzo dell’identità elettronica dell’utente, anche se convenzionalmente si considerano tre fasi cui corrispondono tre differenti luoghi in cui le credenziali possono essere reperite: identificazione, autenticazione e autorizzazione.
La fase di identificazione corrisponde all’associazione delle credenziali digitali all’utente, che ne conserva la memoria; la fase di autenticazione corrisponde allo scambio di informazioni che avviene sulla rete telematica di connessione tra l’utente e la banca, circa l’identità di chi si sta accreditando; la fase di autorizzazione corrisponde alla verifica da parte della banca della correttezza dei dati di identificazione trasmessi dall’utente e alla successiva associazione a quest’ultimo dei privilegi di accesso alle operazioni on-line, sulla base di un archivio elettronico conservato dalla banca stessa.
Gli attacchi informatici che si rivolgono al cliente mirano quindi a reperire le informazioni di identificazione memorizzate dal singolo utente e sono portati in modalità molto massiva, nella speranza di estendere al massimo il numero dei possibili frodati. Gli attacchi che mirano invece a intercettare le comunicazioni tra utente e banca fanno uso di appositi strumenti software in grado di frapporsi nel flusso di informazioni che viene scambiato, con la finalità di monitorarne i contenuti ed eventualmente dirottare o duplicare i dati di identificazione che transitano.
Da ultimo, gli attacchi che mirano agli archivi informatici delle banche sono tipicamente progettati per permettere all’hacker di penetrare all’interno dei data base degli istituti di credito, sfruttando vulnerabilità proprie o artatamente indotte nei sistemi informativi degli stessi.
L’ampia varietà delle azioni illecite attraverso le quali si può realizzare, con modalità sempre più insidiose e sofisticate, il furto dell’identità elettronica dovrebbe indurre coloro che offrono servizi e prodotti su rete a porre particolare attenzione ai processi operativi e tecnologici che presidiano le fasi della identificazione, autenticazione e autorizzazione dei propri utenti; la qualità e l’affidabilità dei servizi offerti su rete, infatti, tende sempre più a essere percepita e valutata dall’utente in relazione al grado di protezione assicurato alle proprie credenziali di autenticazione e quindi, in sostanza, alla tutela della sua identità elettronica.
Di seguito si illustrano alcune tipologie di attacco tramite cui può realizzarsi il furto di identità elettronica a danno di utenti operanti on-line, nonchè alcune semplici cautele per evitare di rimanere vittime di condotte fraudolente.
Social engineering.
Tra le forme di attacco mirato all’identità elettronica dell’utente assume sempre maggiore rilevanza nel contesto informatico la c.d. social engineering, ovvero quella particolare tecnica psicologica che sfrutta l’inesperienza e, nella maggior parte dei casi, la buona fede degli utenti per carpire informazioni utili a portare successivi attacchi tecnologici ai sistemi.
Al di là dell’accezione apparentemente positiva della denominazione, la social engineering è una delle tecniche di attacco potenzialmente più dannose per la vittima.
Questo attacco ha di solito lo scopo di acquisire informazioni al fine di compiere azioni non consentite dai sistemi di controllo (quali avere accesso a locali o a dati riservati di pertinenza dell’azienda della vittima). L’attacco è di solito condotto mediante un’impersonificazione, ovvero una sostituzione di identità o, nelle forme più sofisticate, con una pseudo-impersonificazione. In sostanza il soggetto che attacca si presenta, per esempio mediante contatto telefonico, alla vittima prescelta – che ha accesso a informazioni utili all’attaccante o che svolge attività di controllo – e adotta, con finalità diverse, i seguenti comportamenti o atteggiamenti:
- assertivi: l’attaccante si finge un’altra persona in possesso dell’autorità necessaria a poter derogare alle regole (impersonificazione) e porta il suo attacco usando come elemento di coercizione la minaccia implicita di danni che potrebbero derivare alla vittima o alla società se non viene soddisfatta la propria richiesta;
- empatici e spesso allusivi: l’attaccante induce la vittima ad attribuirgli un’identità o un’autorità che in realtà non è quella corretta (pseudo-impersonificazione);
- esplicitamente complici: l’attaccante induce la vittima a violare le regole di controllo nella convinzione che sia bene farlo (manipolazione);
- candidamente corruttivi: l’attaccante propone scambi tra quanto a lui interessa e benefici per la vittima.
Le prime tre modalità hanno in comune il fatto che l’attaccante costruisce situazioni nelle quali la vittima percepisce come lecita o conforme alle regole aziendali l’azione che è indotto a eseguire. Pertanto, questa tipologia di attacco ha buone probabilità di avere successo, considerata anche la frequente presenza di ulteriori circostanze favorevoli all’attaccante come:
- scarsa conoscenza da parte della vittima delle responsabilità e dei ruoli aziendali, delle regole e delle prassi operative soprattutto in condizioni non ordinarie o di emergenza;
- scarsa preparazione della vittima in tema di gestione della comunicazione (in modo particolare delle fasi conflittuali e delle interviste);
- sottovalutazione da parte della vittima delle conseguenze delle violazioni. Contromisure
La possibile difesa da questa tipologia di attacco consiste nell’adozione di sistemi di formalizzazione delle richieste secondo gli standard aziendali e di controllo dell’autenticità dell’interlocutore.
Considerato, inoltre, che gran parte dei danni è spesso causata dalla superficialità e da comportamenti non accorti all’interno dell’azienda, al fine di contenere i rischi di questo tipo di attacco può essere utile effettuare alcuni interventi, quali:
- stabilire norme volte a prevenire l’indebita pubblicizzazione, comunicazione o diffusione di dati e informazioni inerenti all’azienda, sia sul posto di lavoro, sia al di fuori dello stesso, anche in contesti non lavorativi;
- prevedere l’obbligo di segnalare qualsiasi contatto dall’esterno di natura sospetta;
- attuare un piano di formazione nei confronti di tutti i dipendenti e dei collaboratori esterni in merito a questo tipo di attacco, alle sue possibili conseguenze e alle relative contromisure;
- svolgere una specifica attività di formazione nei confronti della struttura di help-desk / customer–care.
Phishing.
Il phishing si può considerare una forma particolare di social engineering consistente nella creazione e nell’uso fittizio di e-mail e siti web ideati per apparire come e-mail e siti web istituzionali di organizzazioni finanziarie o governative, con lo scopo di raggirare gli utenti Internet di tali enti e carpire loro informazioni personali riguardanti il proprio account, quali le proprie password per accedere a servizi di home banking o il proprio numero di carta di credito. Tali informazioni vengono catturate dai phishers e vengono successivamente riutilizzate per scopi criminali, come frodi finanziarie o furti di identità.
Le e-mail apparentemente provengono da una banca o da una società emittente carte di credito e vengono composte utilizzando il logo, il nome e il layout tipico dell’azienda imitata. Tali e-mail invitano il destinatario a collegarsi tramite un link a un sito Internet del tutto simile a quello della banca e a inserirvi, generalmente attraverso una finestra pop up che si apre dallo stesso link, le informazioni riservate.
Tipicamente, le e-mail di phishing contengono false dichiarazioni finalizzate a creare l’impressione che ci sia una minaccia immediata o un rischio di disabilitazione per l’account della persona cui sono destinate. Esempi in tal senso possono essere rappresentati da falsi annunci circa transazioni non andate a buon fine o false comunicazioni circa l’utilizzo da parte di un terzo della propria carta di credito o ancora circa un aggiornamento del data base aziendale da effettuare a opera degli utenti, pena l’annullamento del privilegio di accesso. Di più basso livello allarmistico, ma comunque molto diffuse, sono le e-mail che riguardano false attività promozionali, alle quali sarebbe possibile accedere solo comunicando i propri dati personali. Sono noti inoltre casi in cui le e-mail di phishing fanno riferimento a promesse di remunerazione immediata a seguito della trasmissione delle proprie credenziali.
Da un punto di vista tecnico le e-mail sono in formato HTML e contengono un collegamento nascosto al sito web contraffatto, che si presenta come se si riferisse al reale sito istituzionale (offuscamento dell’URL).
Lo strumento della posta elettronica è usualmente utilizzato dai truffatori con la logica dello spamming, secondo la quale migliaia di persone vengono inserite tra i destinatari, non curandosi dell’effettiva affiliazione dell’utente. La conseguenza di tale modalità di invio, però, è quella di dover utilizzare un testo del messaggio piuttosto generico, non specificato sul particolare profilo dell’utente che si sta tentando di adescare, fatto che costituisce un punto di debolezza di questo tipo di trappola.
Per limitare la diffusione del fenomeno l’Associazione Bancaria Italiana ha evidenziato due decaloghi comportamentali da valutare al fine di contrastare l’espansione del fenomeno del phishing, uno rivolto alle banche e uno ai rispettivi clienti.
Il decalogo per le banche include provvedimenti che possono essere valutati dagli istituti al fine di ridurre per quanto possibile l’incidenza del phishing tra i propri clienti, potenziando il livello di comprensione del fenomeno. A tal fine potrebbe risultare opportuno:
- definire e divulgare policy per il contatto del cliente via e-mail, con particolare attenzione a comunicare se e in quali occasioni verranno richiesti via posta elettronica i codici personali di accesso ai servizi on-line;
- predisporre l’help desk clienti e i call center per fornire informazioni circa eventuali attacchi subiti o in corso.
Da un punto di vista tecnico gli istituti di credito potrebbero valutare l’opportunità di:
- individuare meccanismi di monitoraggio delle transazioni per evidenziare comportamenti anomali;
- fornire strumenti di autenticazione maggiormente sicuri rispetto all’utilizzo di una singola password per l’accesso alle operazioni dispositive on-line.
Per quanto riguarda i clienti, nel relativo decalogo si sottolinea la necessità di:
- individuare l’autenticità di e-mail e siti che sembrano provenire da banche;
- mantenere aggiornati i software di protezione dei sistemi dai quali si effettuano le transazioni on-line;
- monitorare costantemente le operazioni dispositive effettuate.
Si evidenzia infine l’opportunità che l’utente acquisisca piena consapevolezza dell’importanza dei dati di accesso ai servizi on-line.
Pacman
Nostradamus
Magical Cat Adventure
Snake