È piuttosto evocativo il nome scelto da Trend Micro per mostrare tutte le debolezze dei sistemi di online banking attuali, ossia Operation Emmental.

Come il popolare formaggio svizzero - spiega l'azienda nel documento che illustra i pericoli - i sistemi di autenticazione sono pieni di buchi.

Un recente ondata di attacchi informatici ha mostrato come non sia complicato aggirare anche i sistemi apparentemente più sicuri, come l'autenticazione a due fattori che ultimamente va diffondendosi sempre di più.

Spunti di approfondimento:

Twitter, l'autenticazione a due fattori ora si paga

La chiavetta USB per accedere in sicurezza a Facebook

Hacking massiccio delle poste USA, sospetti sulla Cina

Il Fappening travestito da malware

L'attacco inizia con un messaggio di phishing ben confezionato e personalizzato: si rivolge al cliente di una specifica istituzione finanziaria e ha l'aspetto di una comunicazione ufficiale; il linguaggio e le tecniche di social engineering sono in questo caso molto curate.

Il fine, però, è lo stesso di tutti i messaggi di questo tipo: convincere il destinatario a cliccare su un link; chi casca nella trappola scaricare un file eseguibile per Windows che non soltanto si istalla immediatamente ma cancella ogni propria traccia dal registro e si nasconde quindi nei file di immagine.

Scopo di questo eseguibile è impedire l'autenticazione con la banca: quando l'utente cerca senza successo di accedere all'online banking, il malware gli suggerisce di scaricare una nuova versione dell'app Android per l'autenticazione via SMS.

Chi obbedisce riceve effettivamente il codice via SMS, proprio come se il sito della banca fosse finalmente tornato a funzionare in modo normale; il problema è che anche l'hacker che sta dietro a tutto questo riceve lo stesso codice, e può così accedere al conto.

Tom Kellerman, di Trend Micro, ritiene che dietro un attacco così sofisticato ci siano degli informatici appartenenti a Paesi dell'ex blocco sovietico; i bersagli di costoro finora sono stati istituti bancari di Svizzera, Germania, Svezia, Austria e Giappone.

Tutto ciò secondo Trend Micro dimostra che l'autenticazione a due fattori, resa obbligatoria in Europa da una direttiva della UE, non può essere considerata un sistema assolutamente sicuro; anzi, la falsa sicurezza che induce può essere estremamente pericolosa. Occorrono invece sistemi più avanzati.

Per Pierluigi Paganini, di Bit4id, bisogna andare oltre i "due fattori" e iniziare ad adottare tecniche come l'utilizzo di più codici di autenticazione delle transazioni o di lettori di schede; si tratta di soluzioni più complicate di quelle attuali, ma che garantiscono un maggior grado di sicurezza.

Nel frattempo, però, gli "attacchi Emmental" sono destinati a moltiplicarsi. Ne è convinto Kellerman, il quale ritiene che «vedremo infestazioni su larga scala di hacker che violeranno le istituzioni finanziarie stesse anziché limitarsi a borseggiare gli utenti che eseguono transazioni dallo smartphone».