L'hacking di Emmental e i buchi nell'autenticazione a due fattori

Una nuova ondata di attacchi sfrutta il falso senso di sicurezza degli utenti.



[ZEUS News - www.zeusnews.it - 26-11-2014]

operation emmental

È piuttosto evocativo il nome scelto da Trend Micro per mostrare tutte le debolezze dei sistemi di online banking attuali, ossia Operation Emmental.

Come il popolare formaggio svizzero - spiega l'azienda nel documento che illustra i pericoli - i sistemi di autenticazione sono pieni di buchi.

Un recente ondata di attacchi informatici ha mostrato come non sia complicato aggirare anche i sistemi apparentemente più sicuri, come l'autenticazione a due fattori che ultimamente va diffondendosi sempre di più.

L'attacco inizia con un messaggio di phishing ben confezionato e personalizzato: si rivolge al cliente di una specifica istituzione finanziaria e ha l'aspetto di una comunicazione ufficiale; il linguaggio e le tecniche di social engineering sono in questo caso molto curate.

Il fine, però, è lo stesso di tutti i messaggi di questo tipo: convincere il destinatario a cliccare su un link; chi casca nella trappola scaricare un file eseguibile per Windows che non soltanto si istalla immediatamente ma cancella ogni propria traccia dal registro e si nasconde quindi nei file di immagine.

Scopo di questo eseguibile è impedire l'autenticazione con la banca: quando l'utente cerca senza successo di accedere all'online banking, il malware gli suggerisce di scaricare una nuova versione dell'app Android per l'autenticazione via SMS.

Sondaggio
Qui sotto trovi in ordine alfabetico i 20 marchi più pregiati nel 2014, secondo la celebre classifica compilata da Millward Brown. Secondo te qual è il più pregiato? Confronta poi il tuo voto con questo link.
Amazon
Apple
AT&T
China Mobile
Coca-Cola
GE
Google
IBM
Industrial and Commercial Bank of China
McDonald's
Marlboro
Mastercard
Microsoft
SAP
Tencent
UPS
Verizon
Visa
Vodafone
Wells Fargo

Mostra i risultati (2532 voti)
Leggi i commenti (5)

Chi obbedisce riceve effettivamente il codice via SMS, proprio come se il sito della banca fosse finalmente tornato a funzionare in modo normale; il problema è che anche l'hacker che sta dietro a tutto questo riceve lo stesso codice, e può così accedere al conto.

Tom Kellerman, di Trend Micro, ritiene che dietro un attacco così sofisticato ci siano degli informatici appartenenti a Paesi dell'ex blocco sovietico; i bersagli di costoro finora sono stati istituti bancari di Svizzera, Germania, Svezia, Austria e Giappone.

Tutto ciò secondo Trend Micro dimostra che l'autenticazione a due fattori, resa obbligatoria in Europa da una direttiva della UE, non può essere considerata un sistema assolutamente sicuro; anzi, la falsa sicurezza che induce può essere estremamente pericolosa. Occorrono invece sistemi più avanzati.

Per Pierluigi Paganini, di Bit4id, bisogna andare oltre i "due fattori" e iniziare ad adottare tecniche come l'utilizzo di più codici di autenticazione delle transazioni o di lettori di schede; si tratta di soluzioni più complicate di quelle attuali, ma che garantiscono un maggior grado di sicurezza.

Nel frattempo, però, gli "attacchi Emmental" sono destinati a moltiplicarsi. Ne è convinto Kellerman, il quale ritiene che «vedremo infestazioni su larga scala di hacker che violeranno le istituzioni finanziarie stesse anziché limitarsi a borseggiare gli utenti che eseguono transazioni dallo smartphone».

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (ultimi 5 di 6)

"...tutto comincia con una mail di phishing..." Ma dai? :shock: Vuoi dire che possono ingannare gli utonti con questa nuovissima inusitata impensabile raffinatissima trovata mai sentita prima nell'universo creato di una mail con un falso link da cliccare? :shock: :shock: No, non lo credo assolutamente possibile,... Leggi tutto
30-11-2014 04:46

> A furia di misure e contromisure, prima o poi qualcuno che conta si soffermerà a pensare che forse sarebbe meglio affrontare le cose da punti di vista differenti da quello informatico... Cosa intendi? La formazione o altro?
28-11-2014 12:08

{iceomass}
Sembra che nessuno si renda conto che tutte queste misure di sicurezza inducono una escalation che fa aumentare i costi e rende sempre più complicato fare cose semplici, proprio come accade nel settore militare con le misure, le contromisure, le contro-contro misure, ecc. A furia di misure e contromisure, prima o poi qualcuno che... Leggi tutto
27-11-2014 14:40

dal telefonino l'home banking non è sicuro va ammesso. forse ad averno solo uno per fare quello.
26-11-2014 17:29

Accesso alla banca da cellulare, cliccare sui link che ti arrivano dalle email... come al solito il peggior buco di sicurezza sta tra sedia e tastiera (o schermo nel caso dei dispositivi touch)
26-11-2014 16:41

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Quale tra le invenzioni presentate alla Electrolux Lab Competition 2013 ti piacerebbe avere?
3F, l'aspirapolvere mutaforma
Breathing Wall, il muro che respira
Nutrima, la bilancia che ti dice se il cibo è fresco
OZ-1, la collana che assorbe i cattivi odori
Kitchen Hub, la dispensa intelligente
Mab, gli insetti che puliscono la casa
Global Chef, cucinare in telepresenza
Atomium, la stampante 3D per i cibi

Mostra i risultati (1086 voti)
Febbraio 2023
La verità sul “massiccio attacco hacker” di cui tutti parlano
L'Internet Archive adesso ospita anche le calcolatrici scientifiche
Facebook e Messenger scaricano intenzionalmente la batteria dello smartphone
Gennaio 2023
Windows 11, tre metodi per aggirare l'account Microsoft
Libero e Virgilio Mail offline da giorni, verso la risoluzione
Pesci da compagnia fanno acquisti sulla Switch all'insaputa del padrone
Il ritorno del Walkman
Invecchiare al tempo della Rete
Apache contro Apache
Cessa il supporto a Windows 7. Microsoft: “Non passate a Windows 10”
Lo smartphone con schermo e-ink da 6,1 pollici
Dicembre 2022
WhatsApp dal nuovo anno non funzionerà più su 47 smartphone
LastPass, la violazione è molto più grave del previsto
Netflix, giro di vite sulla condivisione delle password
Digitale terrestre: si spegne la TV in definizione standard
Tutti gli Arretrati
Accadde oggi - 7 febbraio


web metrics