Da settembre l’home-banking è cambiato: i vecchi OTP sono stati rimpiazzati da nuovi dispositivi e dall’accesso via cellulare. I nuovi sistemi sono veramente più sicuri ???
Settembre 2019 è stato un mese importante per l’home-banking e il sistema bancario italiano. Su direttiva della BCE, tutte le banche hanno adeguato i propri sistemi di home-banking eliminando i vecchi dispositivi OTP (one time password) ed introducendo l’autenticazione via telefono cellulare e apposita app. I nuovi sistemi sono più sicuri ? Potenzialmente sì, perchè la classica autenticazione a due fattori (password e dispositivo fisico) viene migliorata introducendo un dispositivo fisico di tipo diverso, come il telefono cellulare. Per molte banche si può parlare di autenticazione a 3 fattori, ovvero:
1) Una cosa che sai: utente/password e codice PIN
2) Una cosa che hai: un dispositivo fisico come OTP o il cellulare
3) Una cosa che sei: ovvero la tua impronta, il tuo volto ecc. ma anche la tua utenza telefonica, visto che il telefono cellulare è ormai un’estensione del corpo umano.
A giudicare dalle segnalazioni ricevute nell’ultimo mese e dagli interventi per somme sottratte illecitamente dai conti correnti, il passaggio ai nuovi sistemi non è immune a problemi di sicurezza. L’anello debole è di nuovo il fattore umano, proprio come già scritto nei miei articoli sulla scelta di password sicure o sull’uso corretto della posta elettronica.
L’uso di un’app nel proprio cellulare può essere protetta da diversi codici di accesso, rendendo impossibile di fatto l’uso illecito anche in caso di smarrimento o furto. Il fattore di rischio che è stato a nostro parere sottovalutato è:
che succede se qualcuno riesce a trasferire il tuo numero di cellulare (comunicato alla banca come destinatario di tutte le operazioni bancarie) in una nuova scheda SIM ? Di fatto, il tuo numero non è più “tuo” e grazie alla nuova SIM qualcuno riceverà i tuoi SMS o potrà addirittura reinstallare l’app bancaria operando direttamente nel conto corrente.
Un esempio ? La foto sopra è lo screenshot di un SMS pervenuto ad una delle nostre utenze qualche giorno fa. La truffa è organizzata meravigliosamente: si inviano a caso messaggi SMS invitando a visitare un determinato sito web per “confermare il proprio numero telefonico”. Al link risponde un sito in tutto per tutto uguale all’home-banking originale, con tanto di certificato https valido (vedere foto sotto).
Fornendo al sito le proprie credenziali bancarie di accesso, si forniranno all’hacker tutti gli elementi per tentare il colpo. Primo fattore (utente/password) e secondo fattore (numero telefonico associato al conto). A quel punto l’hacker tenterà di trasferire su un’altra SIM il vostro numero (dal numero dei casi, pare che non sia un’operazione così difficile) e il gioco è fatto.
Prudenza dunque in questa fase di passaggio: scegliete con cura l’utenza telefonica da abbinare al conto (meglio se un’utenza dedicata e poco nota) e preferite un cellulare comprato per l’occasione, dove girino poche app e dedicato solo alla banca. Se scegliete di usare il cellulare personale, installate qualche protezione in più.
