Comprare un prodotto su Internet, effettuare un bonifico online o verificare il conto in banca sono azioni che ci hanno reso la vita più facile. Tuttavia non siamo gli unici a beneficiare del Web; le stesse tecnologie hanno reso la vita più facile anche ai cybercriminali, offrendo loro nuovi modi per rubare i soldi agli utenti. Rubare le informazioni di pagamento e utilizzarle per mettere a punto il colpo è uno dei metodi più efficaci per portare a casa un veloce bottino. Sebbene le banche cerchino di proteggere i propri clienti, gli attacchi contro gli utenti sono piuttosto frequenti. Hackerare un intero sistema bancario richiede molto tempo e denaro, e il rischio di essere catturati è incredibilmente alto, perciò è molto più conveniente attaccare utenti singoli, dato che molte persone usano computer con vulnerabilità facili da sfruttare. Rubando un piccola quantità di denaro da diversi conto online compromessi, un cybercriminale ha infatti buone probabilità di non essere scoperto. Senza considerare che gli attacchi contro i singoli clienti vengono in buona parte condotti con metodi automatici e appena richiedono il coinvolgimento di un operatore.
Il Trojan bancario è da molti anni uno dei malware più popolari. Sono molti gli utenti che non aggiornano le proprie applicazioni e questo rappresenta una grande opportunità per i cybercriminali. Ma come agisce un Trojan bancario? Un Trojan infetta il computer e cerca di ottenere le informazioni di pagamento; alcuni Trojan sono persino capaci di realizzare operazioni bancarie al posto dell’utente.
Per esempio, il Trojan bancario ZeuS inietta una propria schermata simile all’originale, che l’utente dovrà compilare; ciò consente di ottenere le informazioni di pagamento dell’utente (numero di carta di credito, CVC2/CVV2, nome completo, indirizzo ecc.).
Carberp, un altro programma dannoso molto diffuso nel cyberspazio russo, dopo aver iniettato il suo codice nel browser, salva i dati della carta di credito (numero di carta) presenti nella pagina principale del sistema bancario online e poi sollecita immediatamente all’utente l’inserimento di informazioni aggiuntive (CVV2, dati personali, ecc.).
La “web injection” non è l’unica tecnica utilizzata dai Trojan per ottenere informazioni di pagamento. Per esempio, l’ultima variante del malware Carberp menzionato poc’anzi può modificare on-the-fly il codice di iBank 2, un popolare sistema bancario online, intercettando i dati di pagamento.
Superando ogni ostacolo
Alcune banche cercano di rendere più difficile il compito dei cybercriminali introducendo sofisticate varianti di autenticazione come i token – piccoli dispositivi USB che contengono password usa e getta che vengono richieste ogni volta che si realizza un pagamento online. Gli sviluppatori del Trojan Lurk hanno trovato un modo ingegnoso per scavalcare questo sistema di protezione e ottenere l’autorizzazione al pagamento:
- Un utente dà inizio ad una operazione di pagamento all’interno del sistema bancario online e inserisce le informazioni principali.
- Il Trojan intercetta le informazioni di pagamento e aspetta che il sistema solleciti il token.
- Il sistema bancario online chiede all’utente di fornire il token. L’utente inserisce il token USB nella porta hardware.
- Il Trojan intercetta l’azione e fa partire una “schermata blu” con la quale si avverte l’utente che si sta creando un dump di memoria per l’analisi, e si chiede all’utente di non spegnere il computer fino al termine dell’operazione.
- Mentre l’utente attende la fine dell’operazione (con il token inserito della porta USB) i cybercriminali, che ora hanno accesso all’account dell’utente, completano la transazione di pagamento, trasferendo i soldi dell’utente al proprio account.
Sistemi di protezione per le transazioni bancarie
Una volta che un malware bancario si è introdotto in un computer, deve trovare il modo di intercettare i dati di pagamento. Per farlo, in genere, i Trojan usano le seguenti tecniche:
- “Web injection” (modificando i contenuti di una pagina web prima che vengano mostrati all’utente);
- Dirottando e manomettendo le sessioni HTTP/HTTPS (un classico esempio è l’attacco “man-in-the-middle”);
- Falsificando il modulo di autenticazione o ridirezionando l’utente ad una pagina di phishing fatta su misura;
- Catturando schermate del desktop;
- Mediante keylogger.
Capire il modus operandi di queste minacce, ci permette di creare sistemi di pagamento sicuri:
- Un utente apre nel browser il proprio sito di home banking.
- La soluzione antivirus individua la risorsa ed effettua una scansione del sistema operativo alla ricerca di vulnerabilità critiche. Un esempio è la tecnologia Safe Money, disegnata per proteggere i dati di pagamento – tecnologia incorporata nei nostri prodotti antivirus.
- Allo stesso tempo, il modulo anti-phishing controlla la URL comparandola con il database di fonti attendibili. La soluzione integrata che protegge le informazioni di pagamento richiede a una base conosciuta le informazioni del nome di dominio.
- La soluzione antivirus controlla il certificato usato per stabilire una connessione sicura.
- Se il certificato è tra quelli contenuti nel database di certificati attendibili, la soluzione antivirus autorizza l’operazione e stabilisce una connessione HTTPS sicura con l’URL richiesta. I processi nel browser vengono monitorati dal software antivirus che fa in modo che non vengano manipolati da altre applicazioni.
- L’utente inserisce i dati di pagameto (carta di credito, CVV2/CVC2, dati personali, ecc.) usando la tecnologia Tastiera Sicura che garantisce che ogni tasto premuto sulla tastiera venga trasferito al browser in maniera sicura.
La soluzione ottimale a ogni problema
Le banche e i sistemi di pagamento online cercano sempre di offrire formule per proteggere i propri utenti. Sofisticati sistemi di autenticazione a più fattori, l’uso di dispositivi alternativi (token, chipTAN, ecc.), vari messaggi di avviso di possibili frodi, tutte queste misure vengono adottate per proteggere i conti in banca degli utenti. Tuttavia, i cybecriminali continuano a inventare nuovi e sofisticati metodi per mettere le mani su queste informazioni e sui codici di autorizzazione per le transazioni.
Ecco perché è molto importante implementare una protezione a 360°, proteggendo il canale di comunicazione e il computer dell’utente, nonché assicurarsi che sia connesso al server giusto. Questo è esattamente il principio base su cui è stata creata la tecnologia Safe Money, inclusa in Kaspersky Internet Security. Si tratta di una soluzione onnicomprensiva contro tutti i problemi relativi al furto di denaro, offrendo una protezione a prova di proiettile contro ogni attività pericolosa esercitata dai malware bancari.