Partiamo per esempio da come avviene la truffa più comune.
Mettiamo qualche punto di base: segue noiosa parte didattica, non dite che non vi avevo avvertiti.
Dal 19/09/2019 tutte le banche europee usano per accesso a “dati sensibili a rischio frode” (occhio che non c’entra nulla il concetto di dati sensibili per la privacy) e per autorizzare i movimenti di conto (bonifico per esempio) la 2FA (two factor authentication) o autenticazione a 2 fattori. È un obbligo di legge.. . Chi non lo fa, è passibile di multa, perde tutte le controversie con i clienti di default ed è pure un po’ coglione (secondo me).
2FA = un’autenticazione basata su almeno 2 fattori a scelta tra:
1) conoscenza: qualcosa che so ->password, pin
2) possesso: qualcosa che ho ->sms del cellulare (ho il cellulare), Token generatore di codici (dismesso per motivi che vediamo dopo), carta magnetica
3) inerenza: qualcosa che sono -> biometria, impronta digitale, riconoscimento facciale (di Apple, non di Samsung….. per motivi tecnici), scansione vene della mano (si esiste… l’ho pure provata, ma non si usa per i clienti… ma fa ridere scriverlo qui)
Inoltre per autorizzare le operazioni, l’autorizzazione deve essere univocamente legata all’operazione e quindi, per esempio di un bonifico, nell’algoritmo che genera il codice che ricevete via SMS o l’autorizzazione tramite pus sul cellulare viene usato un pezzo di IBAN del destinatario e il timestamp (ora, minuti e secondi) per far si che quella stessa password non possa essere usata per fare altro (in questo caso si dice che è monouso e tempovariante e “univocally linked to the operation”)
Ci siamo fino a qui? Rompo troppo le palle? Può darsi… ma in genere fino a qui ai corsi mi seguono, solo che ho le slide dietro e mi vedono in faccia così è dura…
Ora veniamo alla truffa…
Ti chiama un call center e ti dice: “sono Francesca della tua banca… dammi le password che poi ti aggiorno i dati”
Voi gliele date (compresi i codici monouso che vi arrivano mentre siete al cell con lei), lei vi ruba i soldi…
E voi qui subito ridete e mi dite: e che sono coglione io che gli do’ i dati? Solo un demente glieli da…
Mmmm no… non è vero ed è più complesso perchè Francesca lavora per gente brava…. Cattiva ma brava
E allora??
Allora:
Facciamo il caso che voi sul vostro meraviglioso smartphone (non entriamo ora in modello e marca) installate un gioco dallo store (ok… lo dico… si da quello di Google che fa cagare come controlli… l’ho detto…) e nel gioco (ma in uno famoso non in quelli con 5 download) dentro c’è un logger che manda a Francesca degli screenshot del vostro telefono mentre voi leggete il vostro saldo sul sito della banca
Poi vi chiama Francesca, che ha davanti gli screenshot, e vi dice:
Ciao, sono Francesca della Banca X. Sono proprio della Banca X e te lo dimostro: tu hai 4 conti con questo iBan, hai 2 carte che finiscono con queste 4 cifre, ieri hai fatto la spesa all’esselunga e hai speso 134,5€ e la settimana scorsa hai pagato un hotel da 87€… ok ok, smetto
Ho reso l’idea??
Francesca poi vi dice:
Ti hanno truffato! Hai un addebito fraudolento di 1000€ e io sono qui per salvarti! Dammi le password per dimostrare che sei tu e io ti storno tutto e blocco tutto!!!
Voi a sto punto siete sicuri che siete lucidi e non gli date niente?
Si… forse… boh… un bella percentuale di persone non lo è
E quando vi arriva l’ultimo SMS dalla Banca (mentre siete al cell con Francesca che vi è entrata nel Internet Banking) che dice “password per operazione da 1000€”, forse… magari… voi gliela date perchè è lo storno che lei vi ha promesso e non leggete che invece è il bonifico da 1000€ che lei si sta facendo
Quindi hanno usato una vulnerabilità dello smartphone, non per fare la frode ma per accentuare la parte più vulnerabile della catena: VOI.
È uno dei casi, ma ora è molto di moda… troppo…
Mi fermo e torno a lavorare ma se non pensate che sia noioso o inutilmente allarmista (mi piacerebbe poter dire importi e casi reali, ma non posso… per contratto) continuo…
Pubblicità progresso finale: MAI USARE UN CELLULARE ROOTED o Jailbroken (ma JB è passato di moda oggi)
Alcune banche se usi un cell rooted non ti fanno installare la loro app, per tutelarsi ma non basta… non usate l’app e andate sul sito o fate altro.. io ho solo detto un caso di 1 frode..