È ufficiale oramai: dal 14 settembre scorso il PSD2 (Payment Services Directive 2) è ufficialmente e pienamente – con l’attuazione dell’ultima parte della direttiva – in vigore. In breve, dobbiamo dire addio al vecchio sistema del token e abbracciare in pieno l’era dei bonifici dal palmo di una mano, dell’open banking e dei nuovi sistemi di autenticazione, teoricamente pensati per rafforzare la sicurezza dei nostri conti correnti.
Certamente le nuove regole non sono state digerite in maniera uniforme da tutti gli istituti bancari: non esiste una vera e propria guida all’adozione e quindi si è creato una sorta di sistema di misure di sicurezza a doppia velocità, in attesa – con il beneplacito della Banca d’Italia – del completo adeguamento anche dei ritardatari.
Indice degli argomenti
PSD2 e open banking: le novità in tema sicurezza
Cosa ha comportato per l’utente, in concreto, il PSD2? In primis si è palesata la necessità e obbligatorietà di un doppio fattore indipendente di autenticazione (la arcinota strong authentication o Strong Customer Authentication in questo caso) da effettuare con PIN più codice usa e getta e il limite per questo di poter compiere una sola operazione per password generata.
La procedura impone alle banche di verificare l’identità dell’utente e l’autenticità delle operazioni di pagamento attraverso l’utilizzo di due o più fattori tra loro indipendenti che facciano riferimento alle categorie:
- della “conoscenza”, qualcosa che solo l’utente conosce, ad esempio il PIN);
- del “possesso” (qualcosa che solo l’utente possiede, ad esempio l’OTP, one time password, generata dal proprio cellulare);
- della “inerenza” (qualcosa che solo l’utente è, ad esempio l’impronta digitale, gadget oramai onnipresente nella maggior parte degli smartphone).
Fino a qui tutto coerente con la richiesta di maggiore sicurezza, ma il fare affidamento così massiccio sui dispositivi personali come gli smartphone ha generato qualche perplessità, soprattutto tra coloro che di cyber security si occupano quotidianamente.
PSD2 e open banking: pericolo mobile malware
Il cellulare è diventato quasi l’estensione, nel bene o nel male, naturale del nostro corpo. Ma nonostante la nostra dipendenza da questo device, può capitare a tutti di dimenticarlo incustodito, rendendolo, statisticamente, più facilmente a rischio di violazione di una chiavetta “old school” di generazione OTP.
C’è poi sicuramente da tenere bene a mente il fenomeno legato all’incremento esponenziale di malware progettati specificatamente per sottrarre password e codici, i cosiddetti keylogger. Questi sono studiati per raccogliere silenziosamente tutti gli input, di fatto rendendo inutile la SCA.
Ma questi sono solo la punta dell’iceberg: la vera minaccia è rappresentata dai mobile banking trojan, un’evoluzione naturale delle vecchie, ma ancora attive, campagne di mail phishing e social engineering che venivano usate per i tradizionali trojan banker.
Ora questo sistema si è evoluto per includere i remote access trojan (RAT), malware che permettono all’attaccante di accedere alle funzionalità del dispositivo bersaglio. Tra queste, c’è non solo la possibilità di registrare e intercettare le telefonate, utilizzare le telecamere o installare software, ma anche quello di intercettare e inviare gli SMS (il tramite solitamente usato per inviare le OTP). Anche in questo caso, di fatto, vengono bypassate le tecniche di SCA che gli istituti finanziari hanno implementato.
Le modalità di distribuzione dei mobile banking trojan sono molteplici:
- app trojan repacking: è una delle tecniche più usate. Si sceglie un’app conosciuta del mondo banking, si scarica l’app (APK) e si decompila. Viene modificato il codice inserendo il Trojan Banker. A questo punto viene ripubblicata o direttamente negli store ufficiali o in store “alternativi”, con un nome molto simile all’originale per ingannare gli utenti;
- trojan app: viene sviluppata una vera e propria app relativa a funzionalità che potrebbero essere utili o servizi a supporto di altre applicazioni. Anche in questo caso viene pubblicata direttamente negli store come per l’app repacking;
- e-mail: uno dei sistemi più antichi che comunque non va mai fuori moda. Rimane il vettore più usato. L’unica evoluzione sono le tecniche di social engineering utilizzate;
- SMS: uno dei vettori preferiti dai trojan banker per due motivi. Il primo perché l’SMS è lo strumento naturale dei dispositivi mobile. Il secondo è perché alcuni trojan banker possono inviare loro stessi SMS dal dispositivo infetto;
- ADV: sono gli annunci pubblicitari malevoli. Praticamente cliccando sull’annuncio l’utente viene inviato direttamente sulla pagina civetta oppure il click di fatto autorizza il download del software trojan. La particolarità di questo vettore di diffusione è che i criminal hacker possono scegliere su quali dispositivi verrà visualizzato l’annuncio;
- mobile adware: l’utilizzo delle reti pubblicitarie di publisher è sicuramente una delle novità, insieme alla tecnica dell’app store indicato precedentemente. La tecnica utilizzata si basa su una forte componente di social engineering, prevedendo anche modelli di ricompense per installazione o altre modalità similari.
Attacchi SIM Swap: ritornano le frodi telefoniche
Non sono solo i trojan a mettere a rischio la sicurezza dei sistemi di mobile banking. Un altro sistema sempre più utilizzato dagli attori malintenzionati è il cosiddetto SIM Swap o SIM Scam (letteralmente scambio SIM o frode della SIM) un mix di frode della vecchia e nuova scuola.
Il tutto ha inizio quando lo scammer (termine più adatto rispetto a criminal hacker in questo caso) acquista nel Dark Web le credenziali e le copie dei documenti di riconoscimento della vittima prescelta, debitamente monitorata attraverso spyware.
Sfortunatamente questi sono disponibili e reperibili con relativa facilità nei meandri più oscuri della rete – e spesso non costano più di qualche centinaio di euro.
Una volta ottenuti questi dati, il truffatore si reca allo sportello di supporto per la telefonia mobile e compila la scheda per lo smarrimento della SIM, facendosi rilasciare un duplicato della stessa.
Una volta compiuto questo step, alla vittima rimangono poche chance per difendersi, considerato che lo scammer è di fatto in grado di intercettare il traffico telefonico e telematico e il malcapitato si trova all’improvviso senza alcun servizio sul proprio device.
Il malintenzionato può effettuare, una volta ottenute le credenziali, liberamente tutti i bonifici nei limiti consentiti dal contratto, mentre la vittima sta ancora cercando di comprendere l’accaduto in relazione al malfunzionamento del suo dispositivo mobile.
Conclusioni
Insomma, anche se il PSD2 sembra la strada giusta per molti aspetti, soprattutto legati all’open banking, sul fronte sicurezza ci sono ancora aree potenzialmente critiche da colmare.
Negli ultimi anni la tenuta delle varie app legate agli istituti finanziari è finita sotto la lente d’ingrandimento, adesso la nuova direttiva ha posto ancora più fattori di stress e carico su queste soluzioni.
La speranza è che, una volta superate le ruggini dovute all’adozione forzata e in alcuni casi frettolosa, i provider si attivino per aumentare esponenzialmente la cyber security delle loro soluzioni.
