Un hacker ci ha spiegato l'unico modo sicuro per usare l'online banking

Vincent Haupert guarda il suo smartphone e controlla i dati di trasferimento nell’app della Sparkasse [la sua banca]. Destinatario: ufficio delle imposte. Importo: 10 centesimi. Tutto come desiderato. Inserisce uno dei suoi TAN (ovvero un codice che si utilizza una sola volta per transazione e che viene fornito sotto forma di liste di codici dall'istituto bancario) nella app della banca e infine la app annuncia che l’operazione è stata eseguita con successo. Ma quando poi Haupert esamina il saldo del suo conto, vede che l’app gli ha addebitato circa 100 volte in più di quello che aveva indicato. Per l’esattezza 13 euro e 37 centesimi, e per di più il destinatario era un altro. C’è solo una spiegazione: qualcuno ha hackerato lo smartphone e manipolato il trasferimento.

Segui Motherboard Italia su Facebook e Twitter. Quello che sembra l’incubo peggiore per chiunque abbia un conto online è, invece, parte di un esperimento. Haupert, infatti, studia da anni presso l’università di Erlangen-Norimberga i punti deboli delle app bancarie. L’hacker che è riuscito a manipolare l'operazione è lui stesso.

Dopo aver reso pubblico il suo esperimento nell’autunno del 2015, Haupert ha avuto diversi scontri con gli sviluppatori di Sparkasse. In seguito, la banca ha aggiornato l’app in modo che l'hack di Haupert non funzionasse più, e ha inviato diversi comunicati di stampa vantandosi dell'efficienza dei suoi tecnici. Haupert, a sua volta, ha di nuovo studiato l’app e ha trovato un'altra breccia. O almeno, questo è ciò che ha affermato al Chaos Communication Congress 2015. Da allora, Haupert è considerato un esperto di sicurezza dell’online banking. Infatti, dà consigli alla polizia federale tedesca e scambia opinioni con i programmatori che stanno lavorando alle app delle banche. In una lunga chiacchierata con Motherboard, l’hacker ci ha spiegato quali sono le cose che un cliente dovrebbe fare per risultare il più protetto possibile.

Motherboard: Tu usi l’online banking?

Vincent Haupert:

Certo, non solo è molto comodo ma è anche molto sicuro — se lo si fa in maniera corretta. E in più ti eviti la fila in banca. Quando ho vissuto in Brasile, per esempio, usavo praticamente solo l’online banking.

Ma faresti volentieri a meno dell’app della Sparkasse, giusto?

Tutte le procedure TAN fatte via app forniscono una possibilità di attacco per gli hacker —indipendentemente da quale sia la tua banca. E comunque non sono le app i punti deboli: quelle, in parte, sono programmate in maniera piuttosto solida. È il sistema operativo dello smartphone ad essere il problema. Se, infatti, è infetto da un malware, qualsiasi app può incrinarsi.

Quindi tu come fai l’online banking?

Io seguo la procedura con il token mobile. Per usarla è necessario un piccolo dispositivo in cui si inserisce la propria carta di credito. Il dispositivo è simile a una calcolatrice. Di solito, l’IBAN del destinatario e l’importo della transazione vengono trasmesse alla app tramite un codice criptato. Prima di concludere il versamento, inoltre, è possibile controllarne i dettagli e, poiché il dispositivo lavora offline, la possibilità di infezione da malware è praticamente eliminata.

È quindi il modo più sicuro?

Sì, perché il processo non può essere manipolato e puoi a malapena copiare il numero della carta. Ma il processo TAN è sicuro se lo si fa bene: è necessario, ad esempio, confrontare i dettagli del pagamento sullo schermo del generatore TAN con quelli della fattura originale. E questo non succede sempre.

Quanto sono sicuri i nuovi metodi come il QRcode o fotoTAN, in cui il TAN è generato da un codice matrix a schermo?

Se veramente sono coinvolti due dispositivi, è sicuro. Anche se, se si esegue la scansione dello schermo del computer con uno smartphone, in teoria, rimane la possibilità che un utente malintenzionato abbia infettato entrambi i dispositivi con software dannosi, ma è piuttosto improbabile.

Alcune banche offrono dei dispositivi proprietari per fotografare il codice e generare il TAN. Poiché il dispositivo non ha interfacce in cui è possibile manipolare il processo, la sicurezza è simile a quella del token mobile.

Se è facile aumentare la sicurezza con la procedura con il token mobile, perché molte banche promuovono le app?
Le banche amano giustificarsi con il fatto che finora non ci sono stati danni del genere. Le procedure TAN basate su app rappresentano un mercato relativamente piccolo. Secondo uno studio, solo il 5-8 percento dei tedeschi utilizza questo metodo. Un quarto usa le vecchie liste TAN e poco meno di un terzo usa il token mobile o il token via SMS. Ovviamente, per un hacker, il gioco non vale la candela. Gli attacchi di social engineering come le email di phishing sono ancora il miglior metodo. Qui, i truffatori fingono di essere un rappresentante del servizio clienti o un parente per ingannare le vittime nel fare trasferimenti agli account degli aggressori stessi. E ovviamente anche le migliori procedure di TAN in questi casi non servono a niente. Perché dici “ancora”?
Perché un nuovo regolamento dell’UE sancirà la fine delle liste TAN e del token via SMS. La commissione europea ha pubblicato la direttiva nella Gazzetta Ufficiale a marzo, e entrerà in vigore 18 mesi dopo, il 14 settembre 2019. A quel punto le banche dovranno modificare le procedure TAN e rischiano di finire solo con processi basati sulle app. E questo è un vantaggio per gli hacker. E perché le banche non passano alla procedura con token mobile?
In passato le banche regalavano i token mobile, ed è per questo che oggi molte persone li usano. Oggi non è più così e i token hanno un prezzo aggiuntivo. Questo spaventa i clienti. Inoltre, le banche credono che il token mobile sia scomodo e temono che potrebbero perdere clienti se proponessero quello come unico modo.

Detto questo, le banche non pubblicizzano la sicurezza del processo a token mobile perché così facendo metterebbero in cattiva luce le app. E chi vuole la versione meno sicura di una cassaforte quando si tratta di soldi?

Lascia stare il cash, passa alle criptovalute. Così le emozioni forti le vivi per le oscillazioni e non per i tentativi di hacking.

C’è una differenza se uso uno smartphone con iOS o con Android?
Il problema generale è che le banche si rivolgono a molti dispositivi con sistemi operativi diversi tra di loro. Per Android esistono diverse versioni perché i produttori come Samsung o Huawei adattano il sistema operativo ai propri dispositivi. I produttori dovrebbero pertanto aggiornare la sicurezza dell’app regolarmente. Ma questo succede spesso troppo tardi. Quindi è meglio usare un iPhone per pratiche del genere?
iOS è un po’ meglio. Non perché sia più sicuro o meno vulnerabile ma perché Apple può chiudere le lacune in maniera più veloce. E questo perché la società offre solo pochi dispositivi diversi e fornisce sempre lo stesso software.

Con la maggior parte delle banche che impone una password di 5-6 cifre, un’altra vulnerabilità dell’online banking è il login. Quanto è insicuro?
Chiunque acceda al mio conto bancario può facilmente scoprire quanto guadagno, dove vivo, dove faccio acquisti, cosa e dove ordino su internet. Tutto questo può facilmente creare un profilo completo di me. Tuttavia, la maggior parte dei conti bancari è ben protetta in questo senso: dopo che sbagli PIN un po’ di volte, l’accesso viene negato e devi sbloccarlo con un TAN. La situazione è diversa se qualcuno ottiene la mia password. Questo può succedere se un truffatore copia il sito della mia banca e io vi accedo. Pertanto, si dovrebbe sempre inserire l’URL del sito della banca da soli, senza fare affidamento a eventuali collegamenti esterni nelle mail. Come potrebbero migliorare i login le banche?
Un’autenticazione a due fattori, come fa Google con alcuni dei suoi prodotti. Qui, l’utente ha bisogno di un secondo elemento oltre la password. Qualcosa come un codice che viene visualizzato per pochi secondi sullo smartphone. E non conosco nessuna banca che lo offre. Ma sempre per la nuova direttiva UE, le banche, in futuro, dovranno chiedere un TAN per il primo accesso e gli accessi a lunga distanza l’uno dall’altro.

Questo articolo è apparso originariamente su Motherboard DE.