SOMMARIO
Connessioni Wireless e Bluetooth a rischio. Applicazioni-esca sempre connesse al web. Virus troiani e malaware. iPhone sbloccati che diventano facili prede per i malintenzionati. Operare via mobile sul proprio conto in banca (a volte) rischia di non essere sicuro come sembra. Ecco quali rischi si corrono, come smascherare eventuali problemi e come prevenire truffe e furti di dati personali
I 5 pericoli per chi accede al conto corrente dal telefonino
C’è chi rende necessario avere in tasca, oltre al telefonino, anche il token, cioè la chiavetta che produce OTP, password temporanee per l’autorizzazione di operazioni dispositive e di pagamento, tipo Intesa Sanpaolo. E chi invece il token lo trasforma in mobile e lo inserisce all’interno dell’applicazione stessa, come UniCredit. In più, per operare sul conto corrente via smartphone, servono ben 3 codici di accesso, mentre tutti i dati sono crittografati.
Ma resta il problema tecnologico. Perché connettersi alla rete da un telefonino di ultima generazione non è lo stesso che farlo dal proprio Pc di casa. E anche se l’applicativo di mobile banking sviluppato dalla banca è sicuro, non è detto che il cellulare sul quale è installato riesca a garantire al 100% la sicurezza dei dati che vengono scambiati.
Meglio dunque essere informati sui rischi ai quali si va incontro accedendo al conto in mobilità. Per preservare i conti correnti, e i relativi risparmi, da sorprese poco piacevoli.
Of ha analizzato i 5 punti critici in cui può incappare l’ignaro utente che fa banking dal cellulare. Ecco a cosa è bene prestare attenzione e quali accortezze è meglio prendere quando si usa il telefonino per entrare in banca.
Connessioni wireless
Le connessioni wireless ora vanno molto di moda. Soprattutto perché consentono di navigare senza intaccare il traffico dati 3G del cellulare, e quindi senza spendere. E i telefonini di ultima generazione le trovano in automatico e le visualizzano direttamente sul display. Ma, per un malintenzionato, possono trasformarsi in un mezzo per recuperare i dati sensibili degli ignari utenti che si collegano alla rete. Il fatto è che quando ci si collega ad un wi-fi pubblico, (gratuito e senza password), non ci si preoccupa di capire chi fornisce la connessione o quale sia il motivo per cui viene messo a disposizione un accesso a internet gratuito. Questo perché non si ha la percezione del pericolo. Ma è proprio su questa percezione che gioca il malintenzionato. Che può creare una rete Wi-Fi pubblica senza protezione, fornire la connettività e nel frattempo analizzare tutto il traffico di rete che viene fatto da chi si connette. Compresi tutti i codici di accesso alla sezione personale di home banking, trasmessi in chiaro. Sui treni, nelle città, nei parchi, ovunque è possibile trovare reti Wi-Fi aperte che potrebbero essere delle esche ben mascherate. Cosa fare allora per non cadere vittima di malintenzionati? L’idea di fondo è quella di non fidarsi mai di una connessione Wi-Fi gratuita. Soprattutto se non si sa chi fornisce il servizio.
Privilege escalation
I software di mobile banking che si interfacciano con le banche sono generalmente più sicuri, grazie ai 3 livelli di protezione e ai dati crittografati. Ma, si sa, chi ha in tasca uno smartphone, utilizza innumerevoli altri servizi e applicazioni, molti dei quali si autenticano sulla rete di continuo e in modo automatico. Il malintenzionato, quindi, può sfruttare i dati di autenticazione di altri servizi per tentare quella che viene chiamata Privilege escalation. Così ad esempio, può capitare che l’hacker scopra i dati di accesso alla casella di posta elettronica, ne prenda possesso e la utilizzi poi per recuperare i dati di autenticazione all’home banking o ad altri servizi che contengono dati sensibili. Molti infatti sono gli utenti che utilizzano le stesse credenziali per numerosi servizi, mentre le banche hanno ancora attivi sistemi che comunicano il codice utente dell'internet banking via e-mail. E per un hacker di livello medio, non è difficile riuscire a recuperare le informazioni necessarie.
Il trucco è imparare a scegliere la password accuratamente. Meglio dunque utilizzare codici sempre diversi per ogni servizio (soprattutto se si tratta di accedere al proprio conto in banca), e ricordarsi di non utilizzare password o codici che contengano informazioni personali facilmente rintracciabili, tipo cognome, anno di nascita, codice fiscale, nome di moglie o fidanzata ecc.
----
Bluetooth
La tecnologia Bluetooth è ancora più diffusa della connettività Wi-Fi. Perché si può trovare sui cellulari della old generation così come sui nuovissimi pda, smartphone e via dicendo. Ma ha il problema di non essere molto sicura. L'unica “sicurezza” esistente, infatti, è data dall’utilizzo di un codice di pairing che stabilisce la legittimità della connessione tra due dispositivi. Ma questo codice è utilizzato solo per stabilire la prima connessione ed è facilmente intercettabile. Sono tantissimi infatti gli attacchi che si possono inoltrare via Bluetooth, e tutti possono provocare l’intera compromissione del dispositivo senza che l’utente se ne accorga. Per ovviare alle insicurezze delle implementazioni bluetooth si può comunque ridurre il rischio di attacchi rendendo il dispositivo non visibile a tutti e associabile ad un solo cellulare alla volta. Spegnendolo quando non utilizzato, e riattivandolo solo quando necessario.
Virus, worm e trojan
I cellulari di vecchia generazione, quelli che consentivano solo di effettuare e ricevere telefonate e inviare sms (e tutt’al più ascoltare la radio), avevano un sistema operativo dedicato a operazioni embedded (incorporate). Gli smartphone next generation, dall’iPhone in avanti, invece, sono caratterizzati da sistemi operativi paragonabili a quelli di computer desktop e notebook. Anzi, a volte sono vere rivisitazioni di quegli stessi sistemi operativi.
iPhone, per esempio, ha iOS che è una rivisitazione del MACOS. Gli Windows Phone hanno un sistema operativo basato su windows 7. I cellulari Android invece derivano dallo storico Linux.
Questo vuol dire che tutte le presunte o reali vulnerabilità conosciute sui sistemi operativi attuali e passati, possono essere ereditate dai loro derivati che girano sugli smartphone.
Partendo dai virus Trojan (cavalli di troia), che possono infettare il telefonino allo stesso modo in cui infetterebbero un Pc. E che hanno la caratteristica di non dare nessuna noia nell’utilizzo del dispositivo. In questo modo, dunque, l’utente non ha nemmeno la possibilità di accorgersi che tutti i suoi dati sensibili vengono spediti ad un hacker. Questa operazione, inoltre, è ancora più semplice su smartphone che non su Pc, grazie soprattutto alla nuova concezione che vuole l’utente “always on”, cioè sempre connesso alla sua nuvola di applicazioni. Quindi chi possiede uno smartphone ha anche un piano tariffario flat che gli permette di essere sempre connesso senza spendere un patrimonio. E questo costringe il dispositivo ad effettuare traffico continuo, mentre l'utente non si accorgerà che qualcosa a livello più basso sta lavorando con i suoi dati personali.
Come risolvere il problema? Se proprio non si può rinunciare ad essere sempre reperibili e localizzabili grazie a internet e Gps connessi giorno e notte, l’unica accortezza da prendere è prestare attenzione ai siti che si naviga. Ma per chi vuol star tranquillo, ci sono software antivirus ad hoc creati dalle grandi softwarehouse che si occupano di sicurezza.
Masochismo
Anche i più smanettoni, quelli convinti di conoscere ogni trucco della tecnologia, ogni servizio e funzionalità dei loro dispositivi mobili sono a rischio frodi. Soprattutto quelli un po’ più esperti. Magari, proprio quelli che hanno imparato a sbloccare il proprio iPhone tramite una operazione chiamata Jailbreak che rende possibile l'installazione sul telefonino di software non ufficiali (cioè non espressamente approvati da iTunes e dunque non venduti sull’AppStore) provenienti da fonti parallele. Lo sblocco, infatti, rende lo smartphone molto più vulnerabile. Innanzitutto perché le applicazioni non ufficiali, non essendo state controllate da nessuno, possono essere infette da virus. In secondo luogo perché, con questa operazione, si rende standard una password per l'accesso da remoto al dispositivo sbloccato. Questo vuol dire che ogni volta che qualcuno esegue lo sblocco, l’iPhone si trova ad avere un accesso da remoto con password pubblica. Tutti possono quindi accedere al dispositivo senza difficoltà e, con gli strumenti giusti, scaricarsi i dati che servono o monitorare in tempo reale quello che l’utente digita sulla tastiera (keylogging).
Se proprio si vuole correre il rischio di effettuare il jailbreak, dunque, si può tentare di proteggere dispositivo e dati sensibili, modificando la password di accesso remoto. Anche se l’operazione non è così facile per l’utente medio. Certo, rimane comunque l'incognita del software non controllato. Ma in questo caso ci si può solo fidare del buon senso.
Torna alla homepage dello speciale
© Riproduzione riservata