OTP, mobile home-banking e sicurezza

Da settembre l’home-banking è cambiato: i vecchi OTP sono stati rimpiazzati da nuovi dispositivi e dall’accesso via cellulare. I nuovi sistemi sono veramente più sicuri ???

BNL HelloBank BNL Gruppo BNP Paribas la invita a convalidare urgentemente il suo recapito telefonico al seguente link:
https://bnl-hellobanking.com

Settembre 2019 è stato un mese importante per l’home-banking e il sistema bancario italiano. Su direttiva della BCE, tutte le banche hanno adeguato i propri sistemi di home-banking eliminando i vecchi dispositivi OTP (one time password) ed introducendo l’autenticazione via telefono cellulare e apposita app. I nuovi sistemi sono più sicuri ? Potenzialmente sì, perchè la classica autenticazione a due fattori (password e dispositivo fisico) viene migliorata introducendo un dispositivo fisico di tipo diverso, come il telefono cellulare. Per molte banche si può parlare di autenticazione a 3 fattori, ovvero:

1) Una cosa che sai: utente/password e codice PIN

2) Una cosa che hai: un dispositivo fisico come OTP o il cellulare

3) Una cosa che sei: ovvero la tua impronta, il tuo volto ecc. ma anche la tua utenza telefonica, visto che il telefono cellulare è ormai un’estensione del corpo umano.

A giudicare dalle segnalazioni ricevute nell’ultimo mese e dagli interventi per somme sottratte illecitamente dai conti correnti, il passaggio ai nuovi sistemi non è immune a problemi di sicurezza. L’anello debole è di nuovo il fattore umano, proprio come già scritto nei miei articoli sulla scelta di password sicure o sull’uso corretto della posta elettronica.

L’uso di un’app nel proprio cellulare può essere protetta da diversi codici di accesso, rendendo impossibile di fatto l’uso illecito anche in caso di smarrimento o furto. Il fattore di rischio che è stato a nostro parere sottovalutato è:

che succede se qualcuno riesce a trasferire il tuo numero di cellulare (comunicato alla banca come destinatario di tutte le operazioni bancarie) in una nuova scheda SIM ? Di fatto, il tuo numero non è più “tuo” e grazie alla nuova SIM qualcuno riceverà i tuoi SMS o potrà addirittura reinstallare l’app bancaria operando direttamente nel conto corrente.

Un esempio ? La foto sopra è lo screenshot di un SMS pervenuto ad una delle nostre utenze qualche giorno fa. La truffa è organizzata meravigliosamente: si inviano a caso messaggi SMS invitando a visitare un determinato sito web per “confermare il proprio numero telefonico”. Al link risponde un sito in tutto per tutto uguale all’home-banking originale, con tanto di certificato https valido (vedere foto sotto).

Screenshot del sito di phishing https://bnl-hellobanking.com
Esempio di sito phishing per furto di dati bancari: https://bnl-hellobanking.com

Fornendo al sito le proprie credenziali bancarie di accesso, si forniranno all’hacker tutti gli elementi per tentare il colpo. Primo fattore (utente/password) e secondo fattore (numero telefonico associato al conto). A quel punto l’hacker tenterà di trasferire su un’altra SIM il vostro numero (dal numero dei casi, pare che non sia un’operazione così difficile) e il gioco è fatto.

Prudenza dunque in questa fase di passaggio: scegliete con cura l’utenza telefonica da abbinare al conto (meglio se un’utenza dedicata e poco nota) e preferite un cellulare comprato per l’occasione, dove girino poche app e dedicato solo alla banca. Se scegliete di usare il cellulare personale, installate qualche protezione in più.