Home banking: nuovi malware in arrivo?

giovedì 22 dicembre 2016


Lo scenario è piuttosto inquietante perché sembra che il 2017 possa essere l’anno dei grandi attacchi a sistemi attraverso i quali i clienti gestiscono i propri conti correnti. Per il momento sembra ci siano stati pochi casi isolati, ma le modalità di questa nuova forma di truffa informatica potrebbero rivelarsi molto pericolose.

Sostanzialmente si tratta di un particolare tipo di virus informatico che verrebbe veicolato secondo le consuete strategie di phishing: messaggi, soprattutto di posta elettronica, che inducono l’utente ad aprire un file o a seguire un link che porta all’installazione del malware. Con questa tecnica i cosiddetti ransomware, virus che cifrano il contenuto di un dispositivo per poi chiedere un riscatto, hanno fatto milioni di vittime in tutto il mondo, portando nelle tasche dei criminali un bottino quantificabile in miliardi di dollari.

I nuovi strumenti messi a punto dai criminali hanno due differenti modus operandi. In un caso il virus viene creato per le app di home banking per tablet e cellulari di specifici istituti di credito. Esso dirotta la sessione internet della vittima su un sito clone di quello della banca. Quando l’utente inserisce username e password il sito mostra un messaggio di errore, ma a questo punto il criminale è in possesso delle credenziali. Lo stesso virus attacca poi il sistema di generazione della cosiddetta “One Time Password”, che serve per disporre i trasferimenti di denaro e che alcune app hanno integrato al loro interno. Così facendo il malware riesce a generare le password “usa e getta” ed a trasmetterle in tempo reale ai criminali che possono così operare sul conto corrente della vittima.

Il secondo tipo di virus, cha ha già avuto un certo “successo” all’estero, agisce sui dati che l’utente inserisce quando effettua le operazioni dispositive. Praticamente modifica il contenuto dei campi beneficiario e Iban, cambiandoli nel momento in cui l’utilizzatore conferma l’operazione inserendo la password usa e getta. Il risultato finale è un bonifico effettuato a un destinatario diverso da quello legittimo. Tutto questo senza che la vittima possa rilevare il cambio di dati, perché sulla schermata gli appaiono quelli che ha caricato. Il virus in questione sembra abbia due diverse funzionalità: una è quella di backdoor, che apre un canale nascosto che permette al criminale di accedere da remoto al dispositivo, l’altra è quella di consentire al delinquente di agire sul browser usato per la navigazione e sui dati in transito. Grazie alla doppia manipolazione l’utente rischia di accorgersi della truffa quando ormai è troppo tardi.


di Alessandro Curioni