Phishing, arriva la password ‘usa e getta’
Una delle tipologie di truffa online più diffuse al momento è sicuramente il cosiddetto “phishing”. Il sistema è tanto semplice quanto astuto: il truffatore invia migliaia di email fasulle, che ricalcano in modo molto fedele comunicazioni provenienti da eBay, PayPal, banche online e anche dalle poste. Queste email richiedono all’utente la comunicazione, tramite un sito anch’esso fasullo ma ben riprodotto, di dati personali tra i quali username, password, numeri di carta di credito che vengono poi utilizzati per accedere ai conti personali dei malcapitati. Ma di recente è stato introdotto un nuovo sistema di sicurezza che… dà i numeri.
Prodotto dalla RSA security, società leader mondiale in tema di sistemi di autenticazione e crittografia, il ‘token‘ altro non è che un minuscolo portachiavi elettronico che ogni 60 secondi genera una password nuova; oltre ai tradizionali username e password, dunque, la banca fornisce anche il token: per collegarsi ai servizi online proposti dalle banche sarà necessario inserire username, password e anche la chiave numerica generata dal token in quel momento. La password temporanea non è utilizzabile da sola e quindi lo smarrimento del token non comporta alcun rischio, nè è utilizzabile per più di un’operazione. In Italia, per il momento, l’unica banca che ha adottato questo sistema per tutelare i propri clienti è Unicredit Banca, che propone come alternativa al token anche una carta con 40 codici numerici monouso.
Insomma, con questi nuovi sistemi di sicurezza sembra sempre più difficile per un truffatore carpire tutti i dati necessari per accedere ai conti ed effettuare operazioni non autorizzate. Resta comunque una buona norma non comunicare mai i propri dati personali qualora si ricevano email che li richiedono, per il semplice fatto che nessuna banca o servizio online invia richieste di questo tipo tramite email.
Link: www.rsasecurity.com, www.unicreditbanca.it, www.anti-phishing.it
(0 voti)
Loading ...
Io utilizzo la carta da 40 codici e devo dire che si va da dio, certo bisogna sempre averla dietro, però meglio questo fastidio che il conto in rosso
Quella delle carte con i 40 codici l’ho scoperta scrivendo questo stesso articolo. E mi chiedo se questa innovazione introdotta da Unicredit verrà adottata anche da altre banche che offrono servizi online. Oltre a questo, sono curioso di vedere se e in quanto tempo i soliti ‘furbetti’ riusciranno ad eludere anche questo sistema di sicurezza che appare molto ben congegnato. Chissà…
/n.
Il sistema a codici usa e getta è stato introdotto molti anni fa dalle banche quando si sono avviati i primi servizi telefonici. Allora funzionava che tu telefonavi al numero automatico della banca e da una card digitavi un numero di quattro cifre, quindi lo cancellavi perché non si poteva riutilizzare. Unicredit non ha fatto altro che riprendere una tecnica esistente.
Ad ogni modo il problema delle password e dei rischi di phishing è sempre molto alto e la norma da seguire sempre è quella di mettere sempre nei favoriti i siti che si usano, soprattutto se si tratta della propria banca. Così anche in seguito a comunicazioni anziché arrivarci dall’email uno lancia il bookmark.
Ci sono ovviamente altre soluzioni. Io sono il software architect di PassPackun servizio di gestione online delle password, gratuito ma con elevati standard di sicurezza (per ovvie ragioni
Ho introdotto una tecnologia anti-phishing basata su un messaggio scelto dall’utente che il server mostra quando ci si connette basandosi sull’IP dell’utente stesso.
In altre parole, normalmente l’utente deve autenticarsi con il server, ma il server non deve autenticarsi con il cliente. Questo non va ed il nostro sistema cerca di sovvertire questo paradigma.
Devo dire che ciò è reso facile dal particolare meccanismo di PassPackche usa un account per accedere ai propri dati cifrati ed una chiave per la decifratura degli stessi.
Quindi l’utente di fa riconosce, poi PassPackmostra il Welcome Message e si fa riconoscere dall’utente, e infine questi verifica che il messaggio sia giusto e inserisce la sua Packing Key.
Le banche, che hanno problemi di sicurezza non inferiori a quelli di PassPack, dovrebbero dotarsi di sistemi di antiphishing adeguati. Eppure al momento mi risulta che ci siano pochissime banche nel mondo ad adottare una politica adeguata, la Bank of America e qualcun’altra. Troppo poco.
Tante belle cose,
Francesco
http://www.passpack.com
Ciao Francesco, grazie per il tuo commento. Molto interessante PassPack, bella l’idea del server che deve autenticarsi con l’utente. Quello che non ho capito è questo: cioè si tratta di un sistema per ricordarsi le password online senza scriverle su un foglio o sul palmare, giusto? Ma allara esattamente in che cosa consiste l’anti-phishing? O magari ho capito male e il tuo software va implementato nei sistemi d’accesso delle banche?
A presto
/n.
Cerco di spiegarlo semplicemente.
Supponi che tu ti registri su PassPack.
Per farlo dovrai scegliere uno UserID ed una Pass (che ti serve per accedere al tuo account) e, in uno step immediatamente successivo, una Packing Key (che ti serve per cifrare/decifrare i tuoi dati sul browser).
Nella pagina dei settaggi puoi, in seguito, decidere un Welcome Message basato sull’IP da cui ti colleghi. Supponiamo quindi che tu scelga “benvenuto in questo paspacco”.
La prossima volta che ti colleghi, il sistema dopo averti riconosciuto, cioè dopo che tu hai digitato UserID e Pass, ti mostra la scritta.
Può mostrarla solo a te perché ti ha autenticato e può mostrartela solo se ti colleghi da un IP che hai abilitato, quindi con quel messaggio si fa riconoscere da te.
A questo punto, e solo a questo punto, procedi digitando la tua Packing Key che è la cosa veramente importante.
Le statistiche dicono che i sistemi a doppia chiave comunque hanno problemi, vedi il caso della Bank of America i cui utenti anche se non vedono la foto danno comunque l’ok e procedono e così, PassPack ha un sistema di training, cioè ti costringe a fare una operazione inattesa ogni volta in maniera che tu ti abitui al messaggio e la prima volta che non lo vedi ti salta all’occhio.
L’IP è indispensabile perché altrimenti un phisher ben organizzato potrebbe mostrarti un sito finto, attendere che tu inserisca UserID e Pass, quindi aprire lato server una connessione al PassPack vero, inserirli e leggere il Welcome Message, per poi passarlo a te e ci avrebbe fregato.
Ma non lo può fare perché il suo IP non è il tuo e quindi PassPack il messaggio non glielo passa.
Detta così sembra complicato (lo è) ma se lo provi (è del tutto gratuito) scopri che dal tuo punto di vista è del tutto trasparente.
Tante belle cose,
Francesco
http://www.passpack.com
Mi sono registrato e ho provato a dare un’occhiata. Sostanzialmente, da quanto ho capito, l’unicità del tuo sistema sta nel fatto che viene mostrato un messaggio che io stesso personalizzo se accedo al mio account attraverso un IP prestabilito.
Il phisher non potrebbe mostrarmi il messaggio perchè non ha modo di arrivarci, visto che non ha il mio stesso ip evidentemente. bene. ma gli ip cambiano!
questo significa che se io provo a disconnettermi e a riconnettermi il messaggio non mi verrà mostrato perchè è cambiato il mio ip, giusto? Il fatto che manca il messaggio deve fungere da campanello di allarme e allora, nel dubbio, controllo l’url della pagina per capire se sono su passpack oppure su un sito di phishing.
cioè sostanzialmente il tutto sarebbe un artifizio per rendere più evidente il fatto che non sono sul sito giusto qualora stessi inserendo i miei dati in un sistema di phishing.
è così oppure sbaglio?
/n.
Esatto.
Si tratta di una sorta di trucco per costringere l’utente a porre attenzione alla connessione. A verificare che sia connesso via SSL all’indirizzo giusto. Ed il fatto che ci siano i quadrati neri serve per forzare l’apprendimento. Dopo un po’ la gente spesso decide di saltare il passaggio iniziale ma sarebbe bene non farlo.
L’utilizzo ottimale di PassPack è quello di aprire un tab nel browser e caricarci il sistema per tenerlo aperto per recuperare i dati che servono.
Considera che PassPack funziona anche in assenza di linea per cui uno potrebbe aprirlo, fare le operazioni che vuole, staccare Internet, continuare ad usarlo offline, magari mettere anche il PC in stand-by, ecc. ecc. Gli serve la linea, ovviamente, se ha bisogno di salvare il pack.
Per quanto riguarda gli IP è vero che in alcuni casi cambiano e per questo si può attivare la “net mask”, cioè la famiglia di IP.
Ma spesso non cambiano.
La mia connessione fastweb di casa, per esempio, mi fa uscire sempre con lo stesso IP, e così avviene nella maggioranza degli ADSL. Per non parlare delle reti CDN (per esempio delle aziende o dei grandi enti).
Insomma, si fa quel che si può.
Ciao, F
Beh mi pare un sistema molto interessante. Spero che sistemi analoghi vengano presi in considerazione anche da chi del phishing è vittima molto spesso, per esempio Poste Italiane.
L’unica pecca di questo sistema, secondo me, è che l’utente (come giustamente hai riconosciuto anche tu) tende ad abituarsi alla pagina e clicca senza controllare. Forse ci vorrebbe un qualche meccanismo di traning più complesso, che costringa l’utente a porre attenzione sempre. Che ne so.. magari con giochi, immagini o qualsiasi cosa possa attirare l’attenzione.
Complimenti comunque per il tuo lavoro, non è escluso che nei prossimi giorni io ne parli direttamente con un articolo.
/n.