Articolo
7marzo

Mobile Banking: conti violati ed email phishing

mobilebanking

Le applicazioni bancarie per il mobile banking presentano vulnerabilità in termini di sicurezza dei dati nelle transazioni.
Perché? E, soprattutto, come tutelarsi?

Aumenta il rischio di email phishing, le email inviate ai correntisti, ma vi sono anche altri tipi di attacchi ai dati di conti correnti e carte di credito, gli attacchi di tipo XSS, Cross Site Scripting, grazie ai quali i criminali informatici riescono a raccogliere e  manipolare le informazioni riservate.

Molto pericoloso, inoltre, è il cosi detto “Man in the Middle”, un attacco messo a punto dagli hacker per accedere a tutti i dati relativi al conto bancario dell’utente senza che questi se ne accorga, perché in grado di leggere i messaggi tra due parti secondo una modalità invisibile, e quindi senza destare alcun sospetto.

Uno studio completo ed approfondito di questo fenomeno ci viene fornito da IOActive, che ha analizzato quaranta applicazioni ufficiali per iOS, riguardanti i sessanta principali istituti bancari del mondo.

hacker


Le cause

Lo studio evidenzia che le cause sono da ricercare, in particolare, tra le negligenze da parte degli sviluppatori delle app, e tra difetti nel codice sorgente, che potrebbero aprire un varco ai pirati informatici, che riuscirebbero così addirittura ad utilizzare il conto corrente.

Un altro fattore di rischio è rappresentato dai rapporti di errore che le app inviano agli sviluppatori, perché questi rapporti contengono dati personali sensibili che possono facilmente essere intercettati e utilizzati per violare il sistema ed accedere al conto digitale.

Le precauzioni più utili da adottare

Utilizzare solo connessioni sicure.
Evitare di collegarsi a reti wi-fi pubbliche, come quelle negli aeroporti o locali pubblici, minimizza il rischio di attacchi.
Ancor meglio sarebbe servirsi di connessioni via 3G/4G, poiché la rete cellulare è più sicura.

Accedere tramite il protocollo di sicurezza.
E’ ormai fondamentale attivare all’interno del browser e nelle applicazioni il protocollo di rete protetto e criptato (l’url inizia con https:// invece di http://), più sicuro perché è risultato essere difficilmente accessibile in tempi rapidi.

Solo app di cui si conosce la fonte.
Installare sul dispositivi mobile solo applicazioni di cui si conosce la provenienza, evitando di scaricare applicazioni crakkate.


Non solo mobile: il fenomeno phishing

Lo studio di IOActive rivela inoltre che molti utenti ancora cadono nei tranelli delle email di phishing, e inseriscono i propri dati di accesso ai servizi online.
Anche in questo caso, però, è possibile seguire accorgimenti per minimizzare i rischi.

  • Scoprire il mittente dell’email
    E’ sempre bene fare attenzione e osservare chi ci sta scrivendo, visualizzando l’intestazione della mail ricevuta.
  • Verificare la corrispondenza del link.
    Attenzione ai link ingannevoli presenti nel testo dell’email.
    Ingannevoli perché, a prima vista, sembrano rimandare ad un sito web attendibile.
    Oggi verificare i link è semplice: basta posizionare, per pochi secondi, il puntatore del mouse sul testo che include il link, e comparirà un pop-up nel in cui è visibile il link reale.