Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

TRUFFE ON-LINE

Formjacking e false app bancarie, come difendersi dalle nuove truffe milionarie

Gli attacchi di tipo formjacking hanno fruttato ricchi bottini ai criminal hacker e rappresentano una seria minaccia per le aziende. A lanciare l’allarme i ricercatori di Symantec, mentre quelli ESET segnalano una crescente diffusione delle false app bancarie che consentono di rubare credenziali attraverso codici-truffa. Ecco come difendersi

21 Feb 2019

Paolo Tarsitano


Gli attacchi di tipo fromjacking e le false app bancarie sono due serie minacce capaci di causare danni milionari alle aziende. È il nuovo allarme lanciato dagli esperti di cyber security e gli ultimi dati lo confermano. Per fortuna i nostri esperti sono in grado di fornire qualche consiglio utile alla difesa, come vedremo in questo articolo.

Sul mercato nero del Dark Web, una singola carta di credito può valere anche 45 dollari e le 380.000 rubate lo scorso anno durante un attacco informatico mirato verso la compagnia aerea inglese British Airways avrebbero fruttato ai criminal hacker un bottino di oltre 17 milioni di dollari. Numeri da capogiro (e comunque stimati) che vengono fuori dall’edizione 2019 dell’Internet Security Threat Report (ISTR) di Symantec.

Secondo gli analisti Symantec, quello del furto di dati e credenziali bancarie è il nuovo trend nel mondo del cyber crime e la compravendita illegale di informazioni e dati bancari potrebbe creare danni economici a 9 zeri per le aziende. Le stime parlano di circa dieci milioni di dollari “incassati” lo scorso anno dai criminal hacker rubando informazioni finanziarie e personali attraverso le frodi sulle carte di credito e la loro successiva vendita sul Dark Web. Basti pensare che i dati relativi a sole 10 carte di credito rubate potrebbero portare a un rendimento fino a 2,2 milioni di dollari al mese.

Formjacking: il “bancomat” dei cyber criminali

Se i dati bancari rappresentano dunque il nuovo Eldorado dei criminal hacker, il formjacking è la tecnica utilizzata per “scavare” queste vere e proprie miniere d’oro. Si tratta di una tecnica di attacco tutto sommato semplice che effettua una sorta di skimming degli ATM virtuali delle banche e degli istituti di credito accessibili on-line.

Lo skimming, lo ricordiamo, è una tecnica utilizzata dai truffatori che consiste nell’installare, nella fessura dello sportello Bancomat in cui inserire la carta di credito, un lettore di bande magnetiche (lo skimmer, appunto) che permette di copiarne i dati in essa memorizzati. Quando la vittima del truffatore inserisce la sua carta di credito nello sportello automatico, una minuscola telecamera nascosta nell’ATM registra anche il PIN e lo trasmette al truffatore.

Lo skimming degli ATM virtuali funziona in maniera analoga: i criminali informatici iniettano codice maligno nei siti web delle banche, degli istituti finanziari e, più in generale, degli operatori che forniscono servizi di e-commerce, per rubare i dati della carta di pagamento degli acquirenti.

Secondo il Threat Report di Symantec, in media sono più di 4.800 i siti web compromessi ogni mese mediante un attacco di tipo formjacking. La stessa Symantec fa sapere di aver bloccato più di 3,7 milioni di attacchi di formjacking agli endpoint nel 2018, un terzo dei quali avvenuti durante il periodo di shopping online più affollato dell’anno, cioè tra novembre e dicembre. Dalla ricerca Symantec si evince, inoltre, che sono gli endpoint degli operatori economici di piccole e medie dimensioni ad essere, nel complesso, quelli maggiormente a rischio di compromissione.

“Il formjacking rappresenta una seria minaccia sia per le aziende che per i consumatori”, ha detto Greg Clark, CEO di Symantec. “I consumatori non hanno modo di sapere se stanno visitando un rivenditore online infetto senza utilizzare una soluzione di sicurezza completa, lasciando le loro preziose informazioni personali e finanziarie vulnerabili al furto di identità potenzialmente devastante. Per le imprese, l’aumento vertiginoso di questo tipo di furti si riflette sul crescente rischio di attacchi alla catena di approvvigionamento, per non parlare dei rischi per la reputazione e la responsabilità che le imprese devono affrontare quando vengono compromesse”.

Secondo Gerardo Costabile, CEO di DeepCyber, “il formjacking è una minaccia da non sottovalutare, perché il consumatore finale ha poche armi per contrastare questo tipo di attacchi, in quanto l’infezione esula dal proprio perimetro di protezione. Analogamente, i merchant non possono sottovalutare questo tipo di attacchi, perché – oltre alle frodi – vanno a minare la fiducia generale del sistema, già abbastanza precaria per la numerosità di casi riportati dai media”.

La soluzione indicata al nostro sito dall’analista sono “i sistemi di pagamento con SMS su canale alternativo ed OTP “parlante” (ovvero con dentro le informazioni su cosa si sta “firmando” con quella One Time Password”), che restano uno dei metodi che possono ridurre il rischio o almeno consentire una maggiore consapevolezza dell’eventuale transazione anomala”.

“Sul piano aziendale”, conclude Costabile, “molto si è fatto negli anni per la sicurezza infrastrutturale ma ancora molto poco sulla parte applicativa. Recenti casi hanno dimostrato che lo sviluppo delle applicazioni web è ancora lontano da un processo olistico di sicurezza ed anche dalle statistiche degli attacchi appare chiaro che in molti casi le tecniche di molti anni fa restano ancora una minaccia attuale”.

False app bancarie: cosa sono e come proteggersi

Quella del formjacking è una seria minaccia a volte sottovalutata, fanno notare a loro volta i ricercatori ESET, che fa il paio con quella delle false app bancarie per dispositivi Android il cui obiettivo è, per l’appunto, quello di rubare credenziali o denaro dai conti bancari delle vittime. Meno sofisticate tecnicamente rispetto alle modalità più avanzate di frode, le false app bancarie presentano vantaggi strategici che le rendono comparabili a tipi di malware molto più sofisticati come i mobile banking trojan.

Le false app bancarie individuate dai ricercatori ESET nel Play Store di Google presentano alcuni vantaggi che i temuti mobile banking trojan non hanno. Innanzitutto, queste app sono pressoché identiche a quelle legittime. Se gli utenti cadono nel tranello e installano l‘app fake sullo smartphone, c’è un’alta probabilità che considerino legittima la schermata di accesso visualizzata e inviino le proprie credenziali.

Contrariamente ai trojan bancari, inoltre, le app non richiedono permessi di installazione aggiuntivi che potrebbero in qualche modo insospettire la possibile vittima. Senza dire che i mobile banking trojan più famosi sono ormai identificati da quasi tutte le soluzioni di sicurezza mobile.

A differenza dei mobile banking trojan, però, le false app bancarie offrono ai criminal hacker una platea di potenziali vittime più ristretta, in quanto si focalizzano ovviamente sui clienti di un solo istituto finanziario o servizio di e-commerce. L’unica eccezione è stata un’app spacciata da strumento bancario universale ed è stata utilizzata per truffare i clienti di 19 banche polacche.

Spesso, poi, gli autori di questi malware Android ingannano le loro vittime approfittando del fatto che la banca o l’istituto finanziario non fornisce un’app mobile ufficiale e per meglio imbastire la loro truffa “offrono” funzionalità aggiuntive come la promozione di premi bancari, regali o offerte per aumentare i limiti delle carte di credito.

“Rapinare una banca con pistola in pugno e con il passamontagna non è più conveniente”, ci fa notare invece Pierguido Iezzi, Swascan Cybersecurity Strategy Director e Co Founder. “I rischi sono troppo alti. Il mondo digital, o meglio il lato oscuro del mondo digital, permette di ottenere gli stessi obiettivi ma con rischi estremamente inferiori grazie proprio alle nuove tecniche di formjacking e delle false app bancarie”.

“La differenza sostanziale tra le due tecniche”, continua Iezzi, “è in realtà il punto di ingresso. Se il formjacking opera direttamente sul sito dell’e-commerce, le false app bancarie operano direttamente sull’utente. Altra nota sostanziale è che le false app bancarie sono un vettore, mentre il formjacking è una tecnica. Per intenderci, le false app bancarie normalmente nascondono un malware o script malevole che permettono la sottrazione dei dati dell’ignaro utente”.

L’analisi di Iezzi scende quindi nel dettaglio delle due tecniche di attacco: “il formjacking è la code injection di un JavaScript effettuata direttamente sull’e-commerce o web application target. L’injection permette di inserire stringhe di codice eseguibile malevolo all’interno di campi di input. Questa tecnica è fattibile solo in presenza di vulnerabilità del sistema target. Una vulnerabilità che è facilmente identificabile e risolta con una attività di vulnerability assessment”.

“Le app bancarie fasulle sono un “contenitore” di malware che si attiva solo se un utente scarica la specifica mobile app. Stiamo parlando di app che sono disponibili negli app store. Le tecniche utilizzate sono:

  • APP Trojan Repacking: è una tecnica estremamente diffusa. Il criminal hacker sceglie una app conosciuta. Non deve essere necessariamente di una banca. Operando a livello di app Android, è possibile decompilare l’APK originale, inserire uno codice malevolo e ricompilarla. A questo punto viene ripubblicata direttamente negli store con un nome estremamente simile all’originale;
  • Trojan APP: in questo caso viene creata e pubblicata una app completamente nuova. Stiamo parlando di app IOS e Android. L’app in questione è relativa a funzionalità, utility e servizi che sono a supporto di altre applicazioni.

La pubblicazione negli app store rappresenta per gli utenti una minaccia costante e dall’altra parte la vera “sfida” per i criminal hacker è l’attività di “marketing”. In questo caso le tecniche di social engineering sono di grande aiuto per ingannare l’utente e scaricare l’app fasulla. Le tecniche sono le stesse di sempre:

  • phishing;
  • SMS;
  • ADV;
  • Mobile Adware.

Ecco quindi come operano le false app bancarie?

  • Overlays: se l’utente accede ad uno specifico sito, il malware presente nella falsa app sovrappone una pagina identica;
  • Redirection: opera a livello di processo. Se l’utente accede ad uno specifico sito, viene reindirizzato su un sito clone;
  • KeyLogging: legge tutti gli input di battitura sulla tastiera;
  • Form Grabbing: è estremamente simile al Keylogging;
  • Injection: è usata principalmente dal Trojan Bancario BackSwap. Quando l’utente apre l’home banking inserisce un codice eseguibile JavaScript malevolo direttamente nella barra degli indirizzi. La particolarità di BackSwap è che ha una serie di codici precompilati e ready to use per diverse applicazioni bancarie.

È evidente quindi”, conclude la sua analisi Iezzi, “che è necessario ed indispensabile che:

  • i fornitori di servizi internet (parlo degli owner degli e-commerce o web application) devono dotarsi di strumenti di sicurezza preventiva (Vulnerability Assessment, Network Scan, Penetration Test ecc.) e sicurezza proattiva (Web Application Firewall…);
  • gli utenti devono prestare massima attenzione alle applicazioni che scaricano sul proprio dispositivo”.

Per stare al sicuro dai malware bancari che imperversano sui dispositivi Android, gli esperti di ESET consigliano infine di:

  • tenere aggiornato il proprio dispositivo e utilizzare una soluzione di sicurezza mobile affidabile;
  • evitare gli store non ufficiali, se possibile; tenere sempre disabilitata sul proprio dispositivo l‘opzione “installazione di app da fonti sconosciute”;
  • prima di installare un’app da Google Play, controllare sempre le valutazioni degli altri utenti, il contenuto delle recensioni, il numero di installazioni e le autorizzazioni richieste; prestare attenzione al comportamento dell’app anche dopo i primi utilizzi;
  • scaricare sempre e solo applicazioni bancarie e altre applicazioni finanziarie collegate al sito Web ufficiale della banca o del servizio finanziario.
@RIPRODUZIONE RISERVATA

Articolo 1 di 5