Ho come l’impressione di aver già scritto di questo problema, ma non trovo il post. Alla peggio, questo sarà un aggiornamento. Da un po’ di tempo pare che i trojan specializzati nella raccolta di credeziali bancarie abbiano incluso nel loro arsenale l’attacco all’autenticazione a due fattori che sfrutta il cellulare per mandare all’utente un TAN (Transaction Authentication Number) da inserire sul sito web per confermare una transazione. L’idea è di impedire che qualcuno che abbia rubato le credenziali dell’utente, non avendo il cellulare, non possa inseire il TAN (anche se questo sistema non proteggerebbe da un man-in-the-middle). SpyEye sembra che abbia preso di mira gli utenti tedeschi: la pagina di phishing con un trucco si fa dare il numero del cellulare, al quale poi invia un trojan che, se installato, raccoglie gli mTAN (mobile TAN) che arrivano al cellulare. Se si considera che chi arriva sulla pagina di phishing è già “nell’ordine di idee” di farsi ingannare, è facile che il trucco possa riuscire. Come dire che la protezione dal phishing, più che da strumenti tecnici, consiste nel fatto che gli utenti abbiano indicazioni chiare su qual’è l’unico comportamento corretto, e quell’unico comportamento deve essere sempre l’unico proposto dai fornitori di servizi. E da questo siamo ancora molto lontani. Senza educazione e comportamenti coerenti ad esempio da parte delle banche, gli strumenti tecnici non sono efficaci.
-
Qui sopra il lago di Soraga, Val di Fassa (Trentino, Italia)
Questo sito ospita pensieri e considerazioni personali, che possono o meno essere collegati alle mie competenze professionali. Per contatti professionali potete fare riferimento al mio profilo Linkedin o al sito di Partners4Innovation
Rapporto Clusit 2021
