0 Flares 0 Flares ×

Mebroot, un virus trojan, sarebbe stato usato per sottrarre almeno 900 mila Euro dai conti online in Italia. Probabilmente si tratta di una somma ancora maggiore, perché questo valore comprende solamente le truffe denunciate, mentre i casi in cui vi è stata denuncia (ad esempio perché la banca ha immediatamente rimborsato il maltolto) non sono compresi. Si stima che il valore totale possa essere intorno i 3 milioni di euro.

Il meccanismo è concettualmente semplice: infatti il programma (che a quanto pare è difficile da rilevare anche per gli antivirus) invia i dati di accesso a dei truffatori che li utilizzano per sottrarre denaro ai legittimi proprietari, di solito con l’intermediazione di complici più o meno ignari (ma perseguibili penalmente) di solito attirati con mail del tipo “guadagna stando a casa“.

Ci sono alcune sottolineature da fare per capire meglio il livello di rischio:

  • I conti di deposito che permettono movimenti solo da e verso specifici conti non comportano significativi rischi, dato che il denaro non può essere (facilmente) trasferito a conti diversi da quelli collegati.
  • Il token, generando password monouso, azzera completamente i rischi di attacchi di questo tipo, dato che anche se i codici di accesso vengono sottratti, questi non sono più validi per fare ulteriori operazioni.
  • Anche il meccanismo a “tripla chiave”, dove si ha una password dispositiva (che serve solo per confermare le operazioni) è discretamente sicuro, anche se un po’ meno del token, soprattutto se uno dei codici viene inserito tramite “tastierini virtuali” con i tasti disposti in modo diverso ad ogni accesso.

Ma l’aspetto che è bene sottolineare è che le banche tendono a rimborsare le somme sottratte a condizione che l’utente abbia preso tutte le adeguate precauzioni (a partire dall’uso di un antivirus aggiornato). Quindi un motivo in più per “comportarsi in modo sicuro“, che in quest’ottica quindi non serve solo ad evitare i problemi, ma anche ad avere un rimborso più sicuro e veloce in caso che i problemi non si riescano ad evitare.

Banche e Risparmio [http://banche.blogspot.com]

Comments

  1. I meccanismi a tripla passwd sono poco utili. E’ sufficiente che, dopo aver inserito la passwd di accesso, il sistema (truffa) dica che è necessario cambiare la passwd dispositiva. Comando a cui l’utente subito ubbidisce.
    Le uniche soluzioni sono:
    – token passwd monouso (soluzione descritta da te).
    – certificato personale installato sul browser: per accedere al conto oltre alla passwd si deve avere installato sul pc il certificato personale (soluzione della mia banca)

    tutto il resto è fuffa.. vedi truffe accadute ai vari sistemi che invece non suppportano queste soluzioni e che sono vittima di phishing.

    E’ assurdo che la gente stia attenta ad un euro di costo in più di un conto rispetto ad un altro.. e poi non dia importanza alla sicurezza.

    Dovrebbe essere obbligatorio per legge che i conti online diano un livello di sicurezza avanzato (token o certificato)

Comments are closed.