Tutti gli home banking sono a rischio, se usi Facebook

Cassandra Crossing/ Tutti gli italiani che possiedono account Facebook e conto corrente con home banking sono in pericolo: vi spiego perché.



[ZEUS News - www.zeusnews.it - 12-04-2021]

homebanking

I 24 inarrestabili lettori sanno che Cassandra ama fare sintesi estreme; le sintesi infatti spesso rivelano fatti importanti, assai più di pagine e pagine di informazioni, che al contrario possono nasconderle.

A beneficio di chi non è ancora riuscito a riconoscersi quale vittima di furto di dati personali, e quindi potenziale vittima dello svuotamento del conto corrente, è necessario dire che da poche settimane è certo e dimostrato che praticamente tutti gli utenti Facebook italiani (oltre il 90%) hanno i loro dati personali, e in particolare il numero di cellulare, nei "migliori" database utilizzati dai criminali informatici. Insisto, praticamente tutti. Insisto di nuovo, è certo. Insisto ancora; se il vostro numero non c'era già prima, ora probabilmente c'è ed è "merito" di Facebook.

Se volete verificare la cosa, malgrado una strana decisione "censoria" dell'Autorità Garante della Privacy, difesa qui (con poca convinzione) dall'ottimo Guido, potere usare il servizio gestito da Troy Hunt HaveIBeenPwned. Inserite il vostro numero di cellulare, completo del prefisso internazionale +39 e senza spazi o altro, e vedrete se il vostro numero di telefono è stato compromesso; se sì, scorrendo la pagina dei risultati, vedrete di chi è la colpa.

Veniamo adesso al nocciolo della questione; tutti coloro che, oltre a un cellulare, hanno anche un conto corrente telematico (cioè con l'home banking), e che sfruttano gli SMS come secondo fattore di autenticazione, sono in serio pericolo. Se invece usano l'app della banca come secondo fattore, sono un po' meno in pericolo, ma non di tanto; ci vorrebbe un altro articolo per spiegare il perché, quindi procediamo occupandoci solo di chi usa gli SMS.

Ricevere sul proprio cellulare un SMS per recuperare la password di un account qualsiasi, o per autorizzare l'esecuzione di un bonifico telematico, è un metodo comunissimo. Molto comune è purtroppo diventato un attacco detto di SIM Swap, usato principalmente per impossessarsi del numero di cellulare della vittima, e così telefonare e ricevere SMS al suo posto. Tutte le banche ne sono perfettamente a conoscenza; troppo poche hanno emesso avvisi specifici per la propria clientela, come questa.

Non è purtroppo difficile; con un po' di ingegneria sociale è facile, per un criminale informatico, convincere non voi ma l'help desk di certi operatori telefonici "poco attenti" di essere il titolare della vostra SIM, e chiedere semplicemente la portabilità del vostro numero telefonico su un'altra SIM dell'operatore. Non c'è bisogno che sia il vostro operatore o un operatore famoso; il criminale ne sceglierà uno vulnerabile e voglioso di nuovi clienti (o con un dipendente corrotto).

Sondaggio
Quale tra queste tecniche diffusamente utilizzate dagli hacker ti sembra la più pericolosa?
1. Violazione di password deboli: l'80% dei cyberattacchi si basa sulla scelta, da parte dei bersagli, di password deboli, non conformi alle indicazioni per scegliere una password robusta.
2. Attacchi di malware: un link accattivante, una chiave USB infetta, un'applicazione (anche per smartphone) che non è ciò che sembra: sono tutti sistemi che possono installare malware nei PC.
3. Email di phishing: sembrano messaggi provenienti da fonti ufficiali o personali ma i link contenuti portano a siti infetti.
4. Il social engineering è causa del 29% delle violazioni di sicurezza, con perdite per ogni attacco che vanno dai 25.000 ai 100.000 dollari e la sottrazione di dati.
5. Ransomware: quei programmi che "tengono in ostaggio" i dati dell'utente o un sito web finché questi non paga una somma per sbloccarli.

Mostra i risultati (2434 voti)
Leggi i commenti (7)

Da quel momento in poi il criminale riceverà tutte le telefonate e tutti gli SMS destinati a voi, perché a tutti gli effetti si sarà appropriato del vostro numero telefonico, e il vostro cellulare si scollegherà in maniera irreversibile dalla rete telefonica. Dal quel momento in poi il criminale sarà in grado di impossessarsi dei vostri account (di qualsiasi servizio) utilizzando il vostro numero di telefono e gli SMS di verifica.

Ovviamente si tratta di attacchi mirati: quindi prima della fase di SIM swap il criminale si sarà preparato su di voi, conoscerà i vostri account, il vostro conto corrente, l'indirizzo di casa, un sacco di altri dati personali, soprattutto quelli relativi alla posta elettronica. Se ha violato il vostro account principale di posta, quello che avete comunicato alla banca, manca solo la mazzata finale.

La mazzata finale è appunto il SIM swap; dopodiché lo svuotamento del vostro conto corrente e l'abuso delle vostre carte di credito sono a portata di mano del criminale.

Cosa si può fare? Prima di tutto, tenete pochi soldi sul conto corrente telematico, solo quelli per l'operatività ordinaria, e utilizzate un secondo conto corrente, rigorosamente senza home banking, dove tenere i vostri soldi e altri beni. Vi costerà 50 o 100 Euro l'anno, ma sono soldi ben spesi.

Seconda cosa: se potete, attivate una seconda SIM, da tenere insieme alla prima in un cellulare dual-SIM. Date questo nuovo numero alla banca e non usatelo mai, e dico mai, per telefonare o per altri motivi. Usatelo solo per altre cose riservate ed importanti, come l'account della SPID, della firma digitale e poco altro. Non telefonate, non datelo agli amici più cari, non scrivetelo da nessuna parte.

Terzo: entrate immediatamente in modalità "allarme rosso" se vedete che il vostro cellulare si scollega dalla rete GSM senza motivo, particolarmente in una zona di segnale forte. Se non riuscite a ricollegarlo subito, nemmeno facendolo ripartire, bloccate immediatamente l'operatività del conto corrente, perché potreste essere stati oggetto di un riuscito attacco di SIM swap. Se è così, sappiate che lo sta facendo un criminale che ha pianificato attentamente cosa fare e che, probabilmente in pochi minuti, farà tutto quello di male che è in grado di farvi.

Informatevi prima su come fare a bloccare e sbloccare l'operatività del conto corrente, e tenete a portata di mano il numero di telefono da chiamare e tutti i dati necessari. Controllate di poterlo fare senza disporre del vostro numero di telefono, e che chi controlla il vostro numero di telefono principale non possa a sua volta sbloccarla.

Ricordate: il vostro avversario è un professionista e voi siete dei dilettanti; prendetevi in anticipo tutti i vantaggi possibili. E ricordatevi di ringraziare Facebook (o LinkedIn) per il rischio aggiuntivo che da ora in poi correrete.

Anche in questo caso, tuttavia, vale il sempreverde avviso di "V" (in V for Vendetta): "Di chi è la colpa? Sicuramente ci sono alcuni più responsabili di altri che dovranno rispondere di tutto ciò; ma ancora una volta, a dire la verità, se cercate il colpevole... non c'è che da guardarsi allo specchio."

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Approfondimenti
Il portafogli digitale UE: documenti, password e sistemi di pagamento
Furto dati Facebook, le cose da sapere
Facebook, trafugati i dati di oltre mezzo miliardo di utenti
4 italiani su 10 pagano i riscatti del ransomware
Facebook, niente foto negli ospedali
Incendio tra le nuvole? Ho il backup
e-privacy: lasciateci la faccia
Utenti app finanza non si preoccupano dei dati personali
Come perdere mezzo miliardo: non serve smarrire la password del wallet Bitcoin
Il lato umano del ransomware
Freelance esperti di contenuti digitali, Immobiliare, Finanza
Campagna malware ancora in corso colpisce Linux, soprattutto in Italia
I principali trend per la sicurezza informatica del 2021
Furto dati Ho Mobile: il punto di vista giuridico e le ripercussioni sulla privacy
Ho-mobile, rischio sicurezza per due milioni e mezzo di utenti
Il phishing evolve verso il machine learning
Attacchi informatici nell'era della pandemia
Ransomware blocca ospedale, muore una paziente
Truffatori informatici si attaccano a tutto: anche a Black Lives Matter
Il ransomware che si spaccia per l'app Immuni
Scontanti e scontenti
Il chip che realizza la crittografia perfetta a prova di hacker
Libra, la criptovaluta di Facebook, ufficialmente al via con il wallet Calibra
Lo strano bug di Android che visualizza gli Sms quando si fanno ricerche nel web
Il link che infetta il Pc senza nemmeno dover cliccare
Home banking

Commenti all'articolo (ultimi 5 di 27)

@Maary79 In effetti anche a me il login dura 2/3 minuti e se resta inattivo per quel lasso di tempo scade ed è necessario riaccedere.
21-4-2021 19:29

Ah, ok ho capito, il sistema è simile anche per la mia banca, l'accesso dura pochi minuti, se non fai nulla devi rifare il login (da pc), anche dopo aver immesso i codici per fare un'operazione, si deve essere veloci da smartphone a mettere il pin (nel mio caso) altrimenti si deve rifare tutto perchè esce.
21-4-2021 14:30

@Maary79 OTP nel senso di One Time Password. Provo a spiegarmi: per accedere all'app della banca installata sullo smartphone sono sufficienti i due codici segreti oppure l'impronta digitale - poi ogni eventuale operazione va nuovamente confermata con l'impronta digitale - mentre per accedere al sito web tramite un browser servono i due... Leggi tutto
20-4-2021 18:56

Aspetta, in che senso OTP?
19-4-2021 19:31

@Maary79 Anche nel mio caso chiede i 2 codici segreti in caso di cambio telefono ma, in realtà, per ottenere l'OTP poi non è necessario inserirli nuovamente e quindi è abbastanza chiaro che l'app ha abbinato o il numero di telefono o il device ma non ho ancora capito quale dei due o se ha abbinato entrambi.
19-4-2021 19:18

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
I tuoi sogni sono a colori o in bianco e nero?
A colori
In bianco e nero
In 3d, anche senza occhialini
Un po' come capita

Mostra i risultati (1692 voti)
Settembre 2021
Windows 10, l'update di settembre impedisce di stampare
Truffatori scavalcano le difese informatiche nella maniera più semplice
Apple svela gli iPhone “più Pro” di sempre
Ripristinare il vecchio menu Start in Windows 11
Uno spot mette Windows 11 KO
L'auto elettrica di Apple
Microsoft non bloccherà Windows 11 sui PC non supportati
Windows 11, svelata la data di lancio
Agosto 2021
La barra di Windows 11 è di proposito peggiore di quella di Windows 10
Violati i server TIM, password degli utenti a rischio
Windows 11, disponibile la prima ISO ufficiale
Microsoft: disabilitate il sistema di stampa di Windows (di nuovo)
Google taglia gli stipendi a chi sceglie il telelavoro
Gli iPhone scansioneranno tutte le foto alla ricerca di pedopornografia
Due parole sull’attacco informatico “terroristico” alla Regione Lazio
Tutti gli Arretrati
Accadde oggi - 22 settembre


web metrics