1.     Lo scenario

Nell’affrontare la questione della sicurezza dobbiamo notare che la diffusione sempre maggiore dell’utilizzo dispositivo dei sistemi telematici, sia web che su telefono mobile, ha creato per gruppi criminali organizzati una crescente opportunità di frode nei confronti dei clienti.

Le tecniche di frode sono diventate sempre più sofisticate ed efficaci, contribuendo in maniera notevole alla diffidenza del cliente verso l’utilizzo di strumenti “a distanza” percepiti come carenti dal punto di vista della sicurezza.

Questa percezione è alimentata dalle frequenti notizie che trapelano sulla stampa di frodi andate a buon fine, che disincentivano il cliente all’uso dispositivo degli strumenti telematici, creando quindi un danno economico notevole alla Banca.

2.     Le contromisure correnti

Una contromisura adottata largamente negli ultimi anni dalle banche contro attacchi di “phishing” è quella del token One Time Password (OTP). Lo strumento è efficace nel confermare l’autenticazione del cliente, superando tutti gli inconvenienti dell’utilizzo di password statiche, facilmente intercettate, con diverse modalità di attacco, dai frodatori.

Il token OTP, limitandosi all’autenticazione del cliente, non fornisce però strumenti di alcun tipo per la autenticazione della transazione in corso, tipicamente bonifici o comunque trasferimenti di danaro che rimane esposta ad attacchi del tipo Man-in-the-middle (MitM) e Man-in-the-browser (MitB).

L’incapacità del token OTP a fronteggiare attacchi del tipo MitM/MitB è nota da tempo (vedi, p.e. Schneier) ,  l’unica vera contromisura è l’autenticazione della transazione. Oggi, come dettagliato nel seguito,  la maturazione degli strumenti di malware rende effettivo questo tipo di attacco.

 

3.     I casi di frode emergenti

Recentemente sono esplosi casi di attacco molto sofisticato, del tipo Man-in-the-Browser, dove un software malizioso, iniettato attraverso un virus della famiglia “Zeus”, “Spy-Eye” o loro derivati, infetta il PC del cliente. Un problema rilevante è dovuto al fatto che questo malware non viene intercettato neanche dagli antivirus più professionali, se non nel 23% dei casi. Si stima che siano infetti oltre 100.000 PC, su scala nazionale.

Il MitB lascia l’utente libero di effettuare la transazione, ma ne intercetta importo e IBAN di destinazione, modificandoli a proprio piacere. La One Time Password richiesta al cliente viene quindi utilizzata dal MitB per confermare la transazione fraudolenta.

Il token OTP quindi non solo non dà alcuna sicurezza, ma, al contrario, lascia il cliente convinto della securizzazione della transazione, mentre in realtà ha solo confermato l’identità del cliente, che viene utilizzata in tempo reale dal software attaccante per portare a compimento la frode.

 

Schema di funzionamento di un tipico attacco Man-In-The-Browser

 

 

Risulta chiaro che la minaccia è di grande rilevanza, in quanto il cliente è convinto di essersi correttamente autenticato (e questo è vero), ma anche di aver confermato con una one time password il bonifico (e anche questo è vero, ma il bonifico confermato è quello fraudolento, disposto dal MitB).

4.     Le contromisure per attacchi di tipo MitB

Esistono alcuni schemi efficaci di contromisura per evitare il rischio di operazioni fraudolente tramite attacco MitB.

Una possibile contromisura è quella che usa un canale out-of-band, come, ad esempio un SMS o una chiamata su telefono del cliente, per confermare la transazione.

Questo tipo di contromisura richiede la conoscenza del telefono mobile del cliente ed è vincolata al fatto che il telefono sia sotto copertura di rete. Queste condizioni possono non verificarsi, per cui i sistemi con messaggi out-of-band, al di là del costo di TLC per transazione, possono essere inefficaci in diversi casi d’uso e comportare quindi una pressione sul call-center non prevedibile a priori, e comunque costosa.

Il sistema più affidabile e meno costoso è invece quello della “firma” di uno o più elementi della transazione vera, quella cioè che vuole effettuare il cliente, tramite un dispositivo hardware o software (su telefono mobile), che genera un codice di controllo verificabile dalla Banca e impedisce al MITB di effettuare variazioni fraudolente sul contenuto della transazione. Il sistema è altrimenti conosciuto come TDS (Transaction Data Signing) ed è, allo stato dell’arte, quello più sicuro e meno costoso per garantire una protezione totale. Non richiede inoltre che il telefono mobile sia sotto copertura di rete o connesso ad Internet.

Di seguito riportiamo uno schema di funzionamento del sistema basato su TDS.

 

 

Il precedente è un esempio efficace delle svariate contromisure che si possono mettere in campo per fronteggiare il fenomeno del MitB. E’ volutamente semplificato, a dimostrazione di come tali contromisure che hanno una ovvia urgenza, possano essere realizzate con un effort relativamente modesto. Emerge con certezza come i token OTP non possano essere impropriamente utilizzati al di là delle loro native funzioni di sistemi di autenticazione con password dinamica.

Emerge con forza la necessità di adottare una nuova generazione di token che, oltre alle funzioni OTP, abbiamo la funzionalità di Challenge/Response a supporto del Transaction Data Signing.

 

Leave a Reply