skip to main | skip to sidebar
13 commenti

Allerta GovCERT.ch: trojan bancario nascosto in finta fattura

Si sente spesso parlare di malware truffaldino in astratto, ma è più raro vederlo in azione concretamente. Eppure vedere gli esempi reali è fondamentale affinché il concetto rimanga bene impresso e la vigilanza resti alta perché il rischio viene percepito come reale e attuale.

In questo senso è molto utile la serie di segnalazioni diffusa online da GovCERT.ch, servizio gestito dalla Centrale d'annuncio e d'analisi per la sicurezza dell'informazione MELANI della Confederazione Svizzera, che per esempio in questi giorni sta segnalando la disseminazione via mail di false fatture in formato Word, apparentemente provenienti da una nota marca, che in realtà sono trappole che diffondono il malware Dridex dedicato al furto di credenziali di e-banking.

Se volete ricevere questi avvisi e diffonderli come promemoria periodici, seguite GovCERT.ch su Twitter (anche in italiano). Il servizio consente anche agli utenti di inviare segnalazioni e offre numerose guide per l’uso sicuro dei servizi bancari online.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (13)
Ma cosa se ne fanno delle credenziali bancarie? Io ho una nota banca, che già 5 anni fa mi ha dato il dispositivo che cambia la password ogni 30 secondi... Sia per loggarsi che per ogni transazione in denaro serve il codice e ho verificato personalmente che una volta usato il codice non si può riusarlo anche se non sono passati i 30 secondi e si deve aspettare che venga generato il nuovo codice, quindi anche un keylogger avrebbe vita difficile... Ma che razza di banche ci sono in giro?
@Marco
Il token hardware basato su chiave temporale è davvero sicuro. La contropartita è che mai potrai ricaricarti la carta di credito ricaricabile da smartphone o disporre un bonifico dall'ufficio (perchè si suppone che tu non giri con la chiave hardware in tasca, ma la tieni al sicuro in casa, magari in cassaforte, no?)
La comodità e la sicurezza non sono così facilmente conciliabili....
@Guido Beccarini.
Veramente il token RSA è fatto per essere portato con se.
Io lo tengo nel portachiavi...
Marco,

Ma cosa se ne fanno delle credenziali bancarie?

Man In the Middle. Le istruzioni della tua transazione, insieme alla password che cambia ogni 30 secondi, vengono sostituite al volo con le istruzioni dei criminali, che usano la password che tu hai fornito e bonificano i tuoi soldi verso un contro controllato da loro. A schermo vedi la transazione che credi di star facendo. Un classico elegante e senza tempo.
Appena iscritto ai loro feed [https://www.melani.admin.ch/melani/it/home/dokumentation/newsletter_inhalt/feed-rss.html], grazie Paolo!
@Paolo Però io alla banca ci accedo solo da preferito e mai cliccando su link nelle mail... E uso i DNS di google, sia al lavoro manualmente, che a casa (ho scoperto che il mio provider con il DHCP mi fornisce i DNS di google), quindi un attacco è più difficile... Devono sapere che banca ho, che connessione uso... Quelli in genere pescano nel mucchio... Poi con un attacco del genere devono emulare per bene il sito della mia banca, che chiede il codice a ogni login e per ogni transazione... Se mi loggo solo per vedere il saldo e la pagina web mi chiede il token una volta ulteriore perchè i truffatori vogliono fare un bonifico verso di loro, un dubbio mi verrebbe... Non è che faccio transazioni tutti i giorni...

@guido. Io il token lo porto appunto nel borsello e numero conto e pin li ho imparati a memoria...
Marco,

Però io alla banca ci accedo solo da preferito e mai cliccando su link nelle mail

Non tutti sono cauti come te. E comunque c'è modo di eludere anche questa tua difesa (tabnabbing eccetera).


... E uso i DNS di google

Anche i truffatori :-)


Devono sapere che banca ho, che connessione uso

Il malware lo fa in automatico per loro.


Quelli in genere pescano nel mucchio

Non tutti. Esiste anche lo spear phishing.


Poi con un attacco del genere devono emulare per bene il sito della mia banca, che chiede il codice a ogni login e per ogni transazione

No, devono solo intercettare il flusso di dati della tua disposizione e sostituirlo con il loro. L'interfaccia Web è irrilevante e resta quella della banca. Hai presente quelle app-burla che sostituiscono parole o immagini all'interno delle pagine Web? Stesso principio.



Se mi loggo solo per vedere il saldo e la pagina web mi chiede il token una volta ulteriore perchè i truffatori vogliono fare un bonifico verso di loro, un dubbio mi verrebbe

Come ho già scritto, il token non viene chiesto una seconda volta: la tua transazione, per la quale immetti il token, viene sostituita dalla loro. Usano il tuo token, insomma.
@Paolo Non mi sono spiegato... Il 99% delle volte che accedo al sito della banca è per il saldo o le comunicazioni (tacci loro, mi mandano una mail per dirmi che ci sono le comunicazioni e non mi mandano il PDF e mi obbligano a collegarmi, con tutti i rischi del caso). Mi loggo e mi chiede il token. Se i criminali mi hanno intercettato con un attacco man in the middle, io vedrò il finto sito della mia banca e loro con il token si loggheranno a loro volta. Poi io navigherò per controllare il saldo e magari vedere queste stramaletedde comunicazioni (in genere gli estratti conto) e poi mi sloggo... Se non mi chiedono una seconda volta il token, non possono fare nessuna transazione alle mie spalle, perchè i token sono usa e getta e la sessione scade comunque dopo un po', quindi non possono neanche rimanere loggati sperando che mi ricolleghi una seconda volta... Se mi chiedono un secondo token, senza che abbia richiesto una transazione monetaria allora mi insospettisco...
Una strategia poi può essere sbagliare appositamente il token la prima volta, per vedere se ci si logga comunque. In tal caso è sicuro che si è intercettati...
Anzi ne approfitto per fare un po' di pubblicità negativa alla mia banca, finendo di oscurarla, sperando che qualcuno dei suoi dipendenti ti legga...
Cara banca Sella,
perchè non mi mandi i PDF direttamente in mail, magari con dati sensibili (nome e numero di conto) oscurati? Non credi che sia più pericoloso dovermi loggare per ogni comunicazione e rischiare l'intercettazione, che spedire un PDF anonimizzato? Oppure speri che non le leggiamo?

Ecco.
Marco,

quello che fa la tua banca è corretto. Una mail in chiaro sarebbe a rischio frode e intercettazione, anche con i dati sensibili coperti. Non ci sono solo i tuoi, ma anche quelli di chi paghi e chi paga te.

Per la storia del token: ripeto, un MITM fatto bene usa il TUO token. Sostituisce la TUA transazione con la LORO, ma non la mostra sullo schermo. Non vedrai il "finto sito della tua banca" e non ti verrà chiesto un secondo token. Non funziona così.
Ok, usa il primo token per loggarsi... Poi deve chiedermi il secondo per fare la transazione, perché il primo non lo può riusare, perché la mia banca non lo consente. Come lo ottiene? Me lo deve richiedere! E li me ne accorgo... Perché per leggere l'estratto conto devo inserire solo un token per loggarmi... E per fare una transazione ne serve un altro... Ma se io invece desidero solo leggere l'estratto conto non devo inserire un secondo token...
Marco,

usa il primo token per loggarsi... Poi deve chiedermi il secondo per fare la transazione, perché il primo non lo può riusare, perché la mia banca non lo consente. Come lo ottiene? Me lo deve richiedere!

di nuovo: il trojan non è stupido. Prende il controllo solo quando invii la transazione. Ti logghi e dai il token, ma il trojan non interviene. Quando fai la transazione, il trojan sostituisce la sua alla tua e lascia che sia tu a dare il token che la autorizza. Non c'è bisogno di richiedere niente.
Si, hai ragione. Se riescono a fare un trojan abbastanza intelligente e paziente da intervenire solo durante una transazione è come dici tu... Altrimenti il sospetto ti viene... E non deve neanche essere la stessa transazione... Per esempio io ci ricarico il cellulare... Potrebbero intercettare il token e fare un bonifico, invece... Quando non ricevo l'SMS della ricarica è già troppo tardi...