Trojan bancario: una minaccia sempre più pericolosa, soprattutto nel mobile

Scopri come funziona un banking trojan, e come proteggere il tuo conto di e-banking

Ti ricordi Ursnif, il trojan bancario che nel 2018 – dopo quasi dieci anni dalla creazione della sua prima versione – è tornato a fare danni e ha compromesso la sicurezza dei conti online di migliaia di risparmiatori? Ursnif è solo uno dei tanti malware bancari, una delle minacce informatiche più recenti e pericolose. Altri nomi di trojan bancari famosi sono Acecard, Banloader, Asacub, Lokibit e Lotoor, ma l’elenco potrebbe riempire facilmente un intero post.
Perché ci sono così tanti trojan bancari? Cosa sono esattamente e come funzionano? Ma soprattutto, come si fa a proteggere il proprio conto bancario online dal malware? In questo post rispondiamo a queste domande, facendo luce su alcune verità scomode della cybersicurezza, ad esempio la scarsa protezione della verifica in due passaggi (2SV).

Che cos’è un trojan bancario?

Un trojan è un tipo di virus che cerca di installarsi nel sistema passando inosservato alle misure di sicurezza. Deve il suo nome al famoso cavallo di Troia, lo stratagemma utilizzato da Ulisse per introdursi nella città di Troia, altrimenti inespugnabile. Secondo il mito, il cavallo era un’enorme scultura di legno che fu lasciata dai Greci davanti alle porte della città come simbolo di resa. Al suo interno si nascosero Ulisse e altri soldati. I troiani videro il cavallo, credettero che i Greci si fossero arresi e lo portarono dentro le mura della città, dove iniziarono a festeggiare la loro presunta vittoria. Durante la notte, quando i soldati erano tutti addormentati o ubriachi di vino per i festeggiamenti, Ulisse e i suoi soldati uscirono dal cavallo e aprirono le porte della città, consentendo all’esercito greco di penetrare e distruggere la città rivale.

I virus trojan seguono lo stesso principio del cavallo di Ulisse: nascondono la minaccia, a volte addirittura facendola apparire come un regalo, proprio come la grande scultura di legno del mito. Infatti, alcuni trojan vengono inoculati nei computer durante l’installazione di freeware, ovvero software gratuiti reperibili online (su Internet, gratis è una parola da prendere con le pinze). In altri casi, il trojan si mimetizza come un file di Office o un PDF allegato a un’email ingannevole. I messaggi di phishing vengono utilizzati sempre più spesso per diffondere i trojan.

Una volta installato, il trojan bancario può creare una backdoor nel sistema informatico della vittima o connettersi al server del criminale e scaricare il virus (payload)che verrà poi utilizzato per hackerare il conto bancario online. Vediamo come funziona un tipico trojan bancario e cosa può fare sul sistema infetto.

Come funziona un attacco con trojan bancario

Come abbiamo visto, il trojan bancario è solo l’inizio dell’attacco e serve ad aprire le porte del computer al malware vero e proprio, ad esempio uno script che si installerà nel sistema. Ecco cosa succede durante un tipico attacco con trojan bancario:

1. L’utente apre l’app di e-banking.
2. Il trojan rileva l’app di e-banking utilizzata e ne sostituisce l’interfaccia con una skin quasi identica a quella originale (i trojan più evoluti sono in grado di emulare più di 30 interfacce).
3. L’utente inserisce le credenziali nell’interfaccia fraudolenta, che le registra e le invia all’hacker.
4. L’hacker utilizza le credenziali per accedere al conto della vittima e richiedere una transazione.
5. L’app di ebanking richiede il secondo passaggio di verifica (2SV) e invia un SMS o un’email all’utente con una password monouso.
6. Il trojan intercetta il messaggio con il codice di sicurezza e lo invia all’hacker. In questo modo, la vittima non riceve la notifica del messaggio e non si rende conto della violazione dell’account.
7. L’hacker inserisce il codice di sicurezza e conferma la transazione, rubando denaro alla vittima.
8. Nei giorni successivi, se la vittima non controlla il proprio conto, l’hacker realizza il massimo delle transazioni consentite dalla banca e svuota il conto della vittima.

La verifica in due passaggi non basta

Come si vede da questo esempio, la maggior parte dei trojan bancari di ultima generazione è in grado di aggirare l’ostacolo della verifica in due passaggi, perché entrambi sono basati su fattori di autenticazione della stessa categoria e sono reperibili dall’hacker con lo stesso virus, direttamente dal terminale della vittima.

Per sventare questo tipo di attacchi, bisogna ricorrere all’autenticazione a due fattori basata su dati biometrici (impronta digitale o scanner facciale) o token di sicurezza. Vediamo come proteggere il nostro conto online dagli attacchi con trojan bancari.

Consigli di sicurezza per conti bancari online

Come abbiamo appena visto, la verifica in due passaggi è utile, ma può non essere sufficiente contro questo tipo di attacchi. Se vogliamo proteggere il nostro conto bancario online e, in generale, i nostri account, dobbiamo aggiungere più livelli di sicurezza ai nostri sistemi informatici (computer desktop e smartphone). Ecco i nostri consigli di sicurezza contro banking trojan:

• Installa un antivirus per desktop e smartphone
• Utilizza sempre la verifica in due passaggi e, quando disponibile, l’autenticazione a due fattori. Ti consigliamo di utilizzare un token di sicurezza, se la tua banca lo permette.
• Applica il blocco app con password o impronta digitale alla tua app di ebanking.
• Modifica la password del tuo conto di ebanking una volta al mese. Crea una password efficace.
• Non scaricare app e programmi non verificati.
• Imposta l’aggiornamento automatico del sistema operativo per approfittare delle patch di sicurezza.
• Fai molta, moltissima attenzione a link e allegati di email e SMS. Potrebbero essere tentativi di phishing.
• Ricordati che la tua banca ha già i tuoi dati personali e le credenziali di accesso al conto. Se ricevi un messaggio in cui ti viene richiesto di verificarli, quasi sicuramente si tratta di un’email fraudolenta.
• Quando ti connetti dal browser, digita personalmente l’indirizzo del sito web della tua banca.

Regola numero uno: diffidare e fare attenzione

“Timeo Danaos et dona ferentes”, temo i greci anche quando portano doni. Sono le parole del sacerdote troiano Laocoonte, pronunciate di fronte all’imponente cavallo di legno lasciato fuori dalle mura dai greci. Se solo i troiani l’avessero ascoltato, il giorno dopo sarebbero stati ancora vivi e Troia non sarebbe caduta. Invece furono proprio loro a peccare di ingenuità e lasciar entrare il nemico nella città.

La morale della favola è che l’errore umano è la causa principale dei problemi di cybersicurezza. Quando qualcosa sembra troppo bello per essere vero, come un software gratuito o una vincita inaspettata comunicata per email, quasi sicuramente è un tentativo di truffa, magari proprio con un trojan bancario.

Buona navigazione e attenzione ai cavalli di troia!