Secondo una ricerca condotta da Ariel Sanchez della IOActive, il novanta percento delle applicazioni sviluppate dalle più importanti banche nel mondo presenta delle evidenti vulnerabilità. Lo studio è stato condotto analizzando quaranta applicazioni per iOS, rilasciate ufficialmente dai sessanta principali istituti bancari al mondo.
Il problema principale riscontrato dall'analista in oltre il 40% dei casi, evidenzia addirittura una vulnerabilità sfruttabile dai malintenzionati semplicemente connettendosi alla stessa rete wifi della vittima: grazie ad un attacco conosciuto nel gergo come Man in the Middle, i pirati informatici potranno avere accesso a tutti i dati relativi al conto bancario del malcapitato, senza che se ne accorga minimamente.
Si tratta per lo più da vulnerabilità causate da negligenze da parte degli sviluppatori delle applicazioni e da veri e propri difetti nel codice sorgente delle app, che potrebbero aprire le porte ai pirati informatici e mettere a serio rischio non solo i dati personali degli utenti stessi ma addirittura il conto bancario, rendendolo accessibile (ed utilizzabile) dai ladri digitali.
Circa il cinquanta percento delle applicazioni analizzate da Sanchez inoltre, risultano violabili da attacchi del tipo Cross Site Scripting (XSS), una tipologia di violazioni con la quale gli hacker, connessi alla stessa rete delle vittime, possono porsi "nel mezzo" della connessione tra utente e sito, come una sorta di gateway, ed avere accesso alle informazioni personali memorizzate nel dispositivo, oltre che poterne prendere il controllo. Inoltre oltre il settanta percento delle applicazioni testate, non dispone di un metodo alternativo di autenticazione, come ad esempio un login eseguito tramite l'inserimento di diversi dati personali.
Un altro alto fattore di rischio è rappresentato dai rapporti di errore che le app inviano agli sviluppatori, nei quali vengono inseriti una serie di dati personali sensibili che potrebbero essere utilizzati dagli hacker per sviluppare degli exploit con i quali violare le applicazioni stesse.
COME TUTELARSI – Non c'è dubbio, utilizzare le applicazioni per il mobile banking è una comodità alla quale ormai in molti non riescono più a fare a meno, e vivere con il terrore di essere intercettati da malintenzionati non è di certo una cosa piacevole. Ecco perchè, seguendo alcune semplici linee guida, sarà possibile evitare che hacker e ladri digitali possano accedere ai dati personali:
- Utilizzare connessioni sicure. La prima regola da tener presente quando si utilizzano applicazioni bancarie (mobile e non) è quella di farlo esclusivamente connettendosi a reti sicure, meglio ancora via 3G/4G. L'utilizzo di reti pubbliche, come ad esempio quelle negli aeroporti o nei locali pubblici, rende molto più vulnerabile il proprio dispositivo fisso o mobile. Il modo migliore di connettersi in mobilità è farlo tramite la rete cellulare, alla quale difficilmente i malintenzionati potranno avere accesso.
- Attivare i protocolli di sicurezza. E' essenziale al giorno d'oggi, attivare nel proprio browser e nelle proprie applicazioni (ove possibile) l'utilizzo dei certificati SSL. Si tratta di un protocollo di rete protetto e criptato, difficilmente accessibile in breve tempo.
- Non modificare lo smartphone o il tablet. Evitare di eseguire il Root o il Jailbreak al proprio dispositivo ed installare esclusivamente applicazioni delle quali si conosce la provenienza. Evitare assolutamente applicazioni crakkate.
- Disabilitare l'invio dei rapporti di crash nelle applicazioni che contengono i dati personali
PHISHING – Come se non bastasse, nello studio effettuato dall'esperto in sicurezza, si evidenzia come sempre più utenti cadano tutt'oggi nei tranelli che si nascondono dalle email di phishing, grazie alle quali vengono spinti ad inserire i propri dati di accesso ai servizi online, che diventano un vero e proprio patrimonio per i ladri informatici, pronti ad accedere agli account dei malcapitati, senza alcun rischio di essere intercettati in tempi brevi.
Anche in questo caso tutelarsi è possibile. I malintenzionati puntano a violare gli account degli utenti più "superficiali", e lo fanno ingannandoli in quelle operazioni che, nell'uso comune, le persone eseguono senza pensarci due volte. Ecco perchè, anche nel caso del phishing, è necessario seguire una serie di linee guida, che renderanno la navigazione sul web senza dubbio più sicura:
- Scoprire il vero mittente. Per verificare la reale provenienza del messaggio, è essenziale visualizzare l'intestazione (Header) della mail ricevuta. Le modalità di visualizzazione dell'header del mesasggio, variano a seconda del client email che si utilizza.
In un'intestazione email tipica, vengono visualizzate diverse righe che iniziano per "Ricevuto": l'ultima riga contenente questa voce, sarà simile a quella evidenziata di seguito:
- Verificare la corrispondenza del link. Una tecnica molto diffusa di phishing consiste nell’inserire in un’email link ingannevoli che sembrano fare riferimento a un sito web attendibile. Eseguendo un’ispezione più attenta, il link può effettivamente portare a un sito web che non ha niente a che vedere con la società da cui l’email finge di provenire, sebbene possa essere progettato per avere esattamente lo stesso aspetto.
Nei sistemi operativi più recenti, verificare i link è semplicissimo: basta posizionare il puntatore del mouse sul testo che include il collegamento ed attendere qualche secondo la comparsa di un popup nel quale è indicato il link reale corrispondente.
E' evidente in questo caso specifico, che il link visualizzato e quello effettivo non corrispondono affatto. Se gli URL presenti nell'email non corrispondono o il secondo URL non proviene da un dominio o da un'azienda familiare, è probabile che si tratti di un email a scopo di phishing.
- Fare attenzione alla forma del saluto. Sembrerà una sciocchezza, ma è così. Le email a scopo di phishing iniziano generalmente con una frase generica del tipo "Gentile cliente" o con il nome dell'account email in uso (ad esempio "Gentile mubasa") al posto del vero nome. Quasi tutte le aziende legittime specificano il nome del cliente nella corrispondenza perché, a seguito di contatti avvenuti in precedenza con il cliente, ne avevano conservato i dati.
Il web può essere un posto più sicuro, ma è essenziale non essere superficiali. Un ultimo consiglio per evitare che si diffondano i casi di phishing, è quello di segnalare tutti i propri sospetti alle autorità.
La Polizia Postale italiana è uno degli enti più attivi e preparati in Europa, e fa della collaborazione con il cittadino la sua punta di diamante: per segnalare qualsiasi caso sospetto è necessario compilare un semplicissimo form di segnalazione sul sito ufficiale (raggiungibile cliccando QUI).
