Negli ultimi giorni si è avuta notizia di un intenso attacco di Phishing che ha preso di mira i clienti di Banca Stato alcuni dei quali sono caduti nell’inganno cedendo agli hacker le credenziali di accesso ai propri conti online.
Molti commentatori sui social si sono scagliati contro la Banca rea, a loro dire, di non aver tutelato adeguatamente i propri clienti, ad esempio, impedendo la clonazione del sito di Banca Stato.
In questo articolo vedremo perché queste critiche sono prive di fondamento. Il Phishing è un attacco di ingegneria sociale che colpisce l’utente non la Banca, ne consegue che l’unico a potersi difendere è l’utente stesso.
La banca deve mettere a disposizione sistemi di MFA, Multi-factor authentication, ossia sistemi che affianchino alla digitazione di username e password anche un ulteriore codice ricevuto via SMS, mail o tramite app sul telefono; le possibilità di offrire sicurezza all’utente finale da parte della banca si fermano qui.
Per capirlo cominciamo con l’analizzare un attacco di Phishing dal punto di vista di un hacker.
Il primo passo che deve fare l’hacker è creare il sito malevolo clonando il modello originale e questo passo è semplice perché basta ricopiare il sito originale attraverso tool gratuiti come HTTrack, oppure, letteralmente, fare copia e incolla delle pagine grazie alle opzioni per sviluppatori presenti in ogni browser.
Quando noi visitiamo un sito siamo portati a pensare che il sito sia ciò che vediamo, in realtà un sito internet è un semplice documento di testo. Quando noi digitiamo un indirizzo, ad esempio passounosecurity.ch il nostro browser, il programma che usiamo per navigare, riceve dal web-server un documento di testo con tutte le informazioni necessarie per comporre la pagina internet che vogliamo visualizzare. Ricevuto il documento è il nostro computer, il nostro browser a costruire ciò che noi vediamo.
Proprio per questo motivo alla domanda:
“Può la Banca impedire la clonazione del proprio sito?”
La risposta è: No, Banca Stato e nessuna organizzazione può impedire la clonazione di un sito perché per una questione tecnica le informazioni necessarie a visualizzare una pagina web sono pubbliche e disponibili a tutti.
Copiato il sito l’hacker deve installarlo su un web-server connesso alla rete internet e questo gli darà la possibilità di creare il link malevolo da inviare tramite le mail di phising. E questo ha dato adito ad altre dubbi. Perché la Banca non ha bloccato i link al sito clone?
In questo caso la risposta è duplice. Da un lato la Banca, anche fosse a conoscenza di un sito clone non può autonomamente bloccarlo, deve rivolgersi all’attività giudiziaria che potrà ordinare il blocco del sito clone; dall’altra il sito clone potrà essere reso irraggiungibile dalla Svizzera, ma non da altri paesi, quindi eventuali clienti che si trovassero all’estero potrebbero cadere lo stesso nella trappola. Inoltre molto spesso questi siti web sono ospitati in paesi con in quali la collaborazione giudiziaria e difficile o comunque estremamente lenta.
Senza dimenticare un particolare: l’unico modo per venire a conoscenza di un sito clone è che alla ricezione della mail un utente riporti alla banca il tentativo di truffa e questo non impedisce che nello stesso lasso di tempo la mail sia arrivata ad altre migliaia di persone.
Per chiudere un attacco di Phishing in questo caso non è un attacco a Banca Stato, non è Banca Stato ad essere stata hackerata, l’attacco era indirizzato agli utenti e quindi gli unici a potersi difendere sono gli utenti stessi; come?
1) essere sempre diffidenti;
2) imparare a riconoscere i link malevoli (https://passounosecurity.ch/come-riconoscere-i-link-pericolosi/);
3) non aprire mai il proprio conto da un link in una mail;
4) abilitare i sistemi di autenticazione a più fattori.
