L’autenticazione a due fattori via SMS viene ampiamente utilizzata dalle istituzioni bancarie. Ovviamente, questa misura funziona meglio di una semplice password, ma non è impenetrabile. Gli esperti di sicurezza hanno scoperto 10 anni fa come può essere raggirata, quando questa misura di sicurezza stava da poco guadagnando popolarità.
Lo stesso vale per i creatori di malware. Ecco perché gli sviluppatori di trojan bancari violano con facilità le password SMS monouso. Ecco come funziona:
1. un utente apre un’app bancaria ufficiale sul suo smartphone;
2. un trojan rileva quale app sia utilizzata e sovrappone alla sua interfaccia una copia falsa (la schermata fraudolente è uguale a quella vera);
3. la vittima inserisce le credenziali d’accesso nella app falsa;
4. poi i delinquenti richiedono una transazione finanziaria al loro conto;
5. il trojan invia le credenziali dell’utente ai criminali, che se ne servono per eseguire il login nell’app bancaria vera dell’utente;
What is two-factor authentication and where should you enable it? http://t.co/WSvDc9oSvb #passwords #privacy #security
— Kaspersky (@kaspersky) June 9, 2014
6. il telefono della vittima riceve un SMS con la password monouso;
7. il trojan estrae la password dall’SMS e la invia ai cybercriminali;
8. inoltre nasconde l’SMS all’utente, questo perché la vittima non è a conoscenza delle operazioni in corso finché non controlli il suo conto corrente e le transazioni;
9. i criminali usano la password intercettata per confermare la transazione e ricevere il denaro della vittima.
Non è affatto un’esagerazione dire che ogni moderno trojan bancario sa come raggirare i sistemi di autenticazione a due fattori con SMS. In effetti i creatori di malware non hanno altra scelta: poiché tutte le banche ricorrono a questa misura di sicurezza, i trojan devono essere adattati.
Evolution of #Asacub trojan: from small fish to ultimate weapon – https://t.co/lLv0pY4lol #infosec #mobile #banking pic.twitter.com/gAM3zzy7aC
— Kaspersky (@kaspersky) January 20, 2016
Esistono molte app illegali in grado di farlo, più di quelle che potreste immaginare. Soltanto negli ultimi due mesi i nostri esperti hanno pubblicato tre relazioni dettagliate dedicate a tre diverse famiglie di malware. Ognuna più temibile dell’altra!
- Asacub: un’app di spionaggio che si è evoluta in un trojan e ha imparato a rubare denaro dalle mobile bank.
- Acecard: un trojan molto potente in grado di sovrapporre le interfacce di quasi 30 app bancarie diverse. A proposito, adesso il malware mobile sta dominando questa tendenza: al principio, i trojan prendevano di mira un’app di una certa banca o servizio di pagamento, ma adesso riescono a falsificare molte app contemporaneamente.
- Banloader: un trojan multipiattaforma di origine brasiliana, capace di introdursi nei PC e nei dispositivi mobili simultaneamente.
#Android trump card: Acecard https://t.co/yHxyACMslU #banking pic.twitter.com/DmnUAOJvSM
— Kaspersky (@kaspersky) February 22, 2016
Come vedete, l’autenticazione a due fattori non è in grado di proteggervi dai trojan bancari. Non c’è riuscita per molti anni, e adesso la situazione non sta migliorando. Ecco perché vi servono ulteriori misure di sicurezza.
La regola di base, utile ma non al 100%, è installare app solo dagli store ufficiali. Il punto è che ci sono stati abbastanza casi in cui i trojan ci sono riusciti con Play Store o anche App Store.
Ecco perché la soluzione più affidabile è installare un buon antivirus sul cellulare. Potete cominciare con la versione base di Kaspersky Internet Security. È gratis, sebbene di volta in volta dobbiate scansionare i dispositivi manualmente. La versione completa è migliore, perché acchiappa i virus al volo, però è pagamento.