FBI: utenti del mobile banking nel mirino dei cybercriminali

Cresce l’utilizzo dell’ebanking a causa della pandemia e gli hacker ne approfittano.

In una dichiarazione rilasciata lo scorso 10 giugno, il Federal Bureau of Investigation (FBI) ha informato che i cybercriminali stanno prendendo di mira gli utenti dell’e-banking. A causa della pandemia, sempre più persone preferiscono evitare di recarsi presso una filiale fisica della propria banca e i cracker hanno trovato vari modi per approfittarne.

Secondo il corpo investigativo dell’FBI, l’utilizzo del mobile banking è aumentato del 50% dagli inizi del 2020. Non c’è dubbio sul fatto che questo incremento dell’utenza dell’online banking continuerà ad attirare sempre di più l’attenzione degli hacker.

Sempre secondo la nota agenzia americana, i cybercriminali utilizzano soprattutto due tattiche per attaccare gli utenti delle banche online:

• Cercano di infettare le app con trojan bancari.
• Provano a ingannare le potenziali vittime facendogli installare app di banking fasulle.

L’obiettivo funzionale di questi attacchi è portare gli utenti a condividere inconsapevolmente i propri dati di accesso alla banca online.

Che cos’è un trojan bancario per app?

Innanzitutto, questo tipo di virus ha bisogno di venire installato su un dispositivo mobile. Poi, quando l’utente apre un’app di ebanking, il trojan si attiva. Quelli più sofisticati sono in grado di ridirigere l’utente verso un portale di accesso falso, imitando il design di varie piattaforme di ebanking. Quando l’utente digita i dati di login nei relativi campi, il trojan li registra e li invia al suo proprietario, ovvero l’hacker. Contemporaneamente, l’utente viene rinviato verso il portale di online banking corretto. A volte, questi portali falsi sono talmente ben fatti da eseguire l’accesso sul sito legittimo per conto della vittima, cosicché l’utente non si rende conto di niente.

Come funzionano le app di banking false

I cybercriminali sviluppano app di mobile banking contraffatte il cui scopo è ingannare gli utenti e portarli a inserire i dati di accesso. In questo tipo sofisticato di phishing, invece di utilizzare un sito web finto, gli hacker usano un’app che assomiglia il più possibile a quella della banca dell’utente. Quest’ultimo, se non presta abbastanza attenzione, può non accorgersi della differenza e inserire le proprie credenziali, che ovviamente verranno inviate all’hacker.

Come nei casi di URL spoofing, lo spoofing di app mostra un messaggio di errore che dice che i dati inseriti non sono corretti e chiede all’utente di controllarli e riprovare. A volte, con questo semplice trucco l’utente finisce per divulgare più di una delle sue password. Questo succede perché ognuno di noi ha tantissimi account da gestire e capita di eseguire l’accesso facendo poca attenzione, magari mentre camminiamo o siamo su un autobus, e se la prima password inserita non è corretta pensiamo “Avrò inserito quella di un altro account per sbaglio” e proviamo con un’altra.

Va da sé che, in questo modo, gli hacker possono raccogliere i dati di accesso di molti siti e servizi web utilizzati dagli utenti, e possono approfittarne non solo per derubarli ma anche per commettere frodi con il loro profilo. L’FBI afferma che solo nel 2018 i principali app store hanno trovato circa 65.000 app fasulle. Questa cifra da sola basta per considerarle come la tipologia di frode su smartphone più diffusa.

E tu, come proteggi il tuo account di e-banking?

Software antivirus

Un comodo antivirus consente agli utenti di riconoscere le app fasulle e quelle che contengono malware. Proteggere i tuoi dispositivi intelligenti con un antivirus veloce e potente è il modo migliore per ridurre al minimo le possibilità di infettarti o cadere nel tranello delle app contraffatte. Ormai, non c’è un utente di Internet che possa permettersi il lusso di non installare un antivirus sullo smartphone, e questo è particolarmente vero per chi sa di non essere un asso della tecnologia o di non avere le competenze giuste per riconoscere tutte le trappole dei cybercriminali del 2020.

Buone abitudini relative all’uso delle password

Ahh, le password… non finiremo mai di parlarne! In realtà le norme di utilizzo corretto sono poche e semplici, ma il nostro ultimo sondaggio sulle password mostra che molte persone continuano a crearle e utilizzarle nel modo sbagliato, ad esempio riutilizzando la stessa password per più siti web.

Questa pratica è sbagliatissima perché aumenta i potenziali danni che un cracker può fare. Tanto per fare un esempio, se dovesse scoprire la password, potrebbe entrare sul tuo sito di e-banking, nel tuo profilo di LinkedIn e fare acquisti su Amazon con la tua carta di credito. Per questo, ti consigliamo di utilizzare una password diversa per ogni account online che hai e di cambiarle tutte ogni tre mesi.

A questo punto, normalmente, è quando si solleva la principale obiezione: come faccio a ricordare così tante password, soprattutto se devo modificarle ogni due o tre mesi? Semplice, utilizza un password manager, ovvero uno strumento di gestione delle password che le salva e le inserisce al posto tuo, mentre tu dovrai ricordare solo la password maestra (una specie di chiave passe-partout come quelle degli hotel di tanti anni fa).

Autenticazione a più fattori

I tuoi account online ti consentono di utilizzare l’autenticazione a due fattori? Fantastico! Attivala subito. Questa tecnologia aumenta moltissimo il livello di sicurezza degli account, perché richiede ai cracker di fare un doppio lavoro. Se da un lato è possibile che riescano a indovinare una delle tue password, è molto improbabile che riescano a bypassare anche il controllo dell’impronta digitale o a generare un codice monouso come quello che ricevi via SMS, il tutto in un intervallo di tempo molto breve, dato che il secondo livello di sicurezza ha sempre una scadenza.

Infine, un altro vantaggio dell’autenticazione a più fattori è che quando la tua app di mobile banking rileva un’attività insolita – ad esempio un tentativo di accesso non riuscito al secondo livello di autenticazione – ti informa subito e puoi intervenire modificando nuovamente la password indovinata.

Conclusioni

Come sempre, insomma, è una questione di tempo e risorse: più ne schieriamo contro gli hacker, più possibilità abbiamo di uscire vittoriosi dagli scontri cibernetici a cui inevitabilmente saremo sempre più esposti, soprattutto se utilizziamo un’app di e-banking.

Più in generale, i truffatori si adattano ai cambiamenti e alle nuove tendenze ed è per questo che dobbiamo farlo anche noi utenti. Infine, se pensi di aver compromesso la sicurezza del tuo account bancario online per errore o di aver scaricato un’app di mobile banking contraffatta, chiama subito il servizio di assistenza della tua banca e chiedi cosa devi fare. Quando parliamo di e-banking (e quindi del tuo denaro), la prudenza non è mai troppa.

Buona navigazione e buon accesso sicuro al mobile banking!