Los Angeles (USA) – Gli esperti di Secure Science Corporation hanno descritto nelle scorse ore un nuovo tipo di attacco utilizzato nelle operazioni di “phishing”, le truffe telematiche che solitamente colpiscono gli utenti dei servizi di e-banking.
L’attacco in cui si sono imbattuti i ricercatori è studiato per neutralizzare la sicurezza aggiuntiva fornita dai password-token , i dispositivi prodotti da RSA ed altre imprese che, sincronizzati coi server centrali della banca, forniscono una nuova password ad intervalli regolari.
Alcuni phisher sono infatti riusciti a creare pagine-trappola dove gli utenti ignari vengono spinti ad inserire tutti i dati necessari all’autenticazione bancaria: numero di conto, password personale e codice numerico generato dal token. Attraverso un sofisticato script, i phisher si connettono in tempo reale alla banca della vittima e sfruttano il codice generato dal token prima che diventi inefficace. In questa finestra temporale, che può durare anche solo pochi secondi, i truffatori sarebbero in grado di trasferire fondi o effettuare qualsiasi altro tipo di operazione bancaria.
“Questo tipo di attacchi può essere utilizzato per rendere inefficace qualsiasi tipo di sistema di sicurezza a doppia chiave”, dicono gli esperti di F-Secure . I tecnici di Symantec sono più ottimisti: “È molto difficile che questo tipo di attacchi sofisticati, almeno per il momento, possano diventare estremamente diffusi”. C’è solo una banca che finora è stata attaccata in questo modo e si tratta dell’americana Citibank . Quando gli attacchi “in tempo reale” prenderanno piede, avverte però Zulfikar Ramzan di Symantec, “i password-token diventeranno quasi inutili”.