Se guardi indietro un po’… gli SMS erano considerati indistruttibili e assolutamente sicuri. C’erano banche che lo fornivano come unico 2FA per i propri clienti.
In alternativa esisteva un token che mostrava un codice diverso ogni 10 secondi.
Se l’utente accedeva a un sito web falso, il reclamo era limitato al saldo del rispettivo conto.
Poi è successo l’incredibile, l’inimmaginabile.
L’utente ha effettuato l’accesso a un sito Web falso e gli è stato chiesto di fornire tutti i tipi di dati del cellulare incluso nel contratto online come parte di un “controllo di sicurezza”.
Con questi dati rubati i truffatori sono riusciti a creare una carta d’identità falsa per potersi identificare, ad esempio, in uno Swisscom Shop.
Successivamente è possibile ottenere un duplicato del cellulare tramite la compagnia telefonica (parola chiave: multi-SIM).
Impostare quindi tutti gli SMS da inviare all’altro cellulare.
Così:
1. Accedi al sito web della banca reale con i dati ottenuti tramite il sito web falso.
2. Poiché ora tutti gli SMS vengono inviati all’altro cellulare, il conto titoli e tutti i conti possono ora essere liquidati in tutta tranquillità.
Con questa procedura di login “sicura” si sono verificati isolati crediti giganteschi fino a circa un quarto di milione di franchi.
Ciò non era possibile con le altre procedure di accesso finora comuni, dalla lista dei graffi a quella con il token, perché si poteva accedere solo al rispettivo saldo del conto.
Le banche ora hanno spinto CrontoSign: per alcune banche è l’unica procedura di accesso per i clienti.
Ora i truffatori dovranno rubare la lettera di attivazione per integrare un altro apparecchio nell’online banking della vittima.
Questo obiettivo è stato raggiunto adesso? In questo caso i danni sarebbero altrettanto giganteschi che nel caso degli SMS.
Glotzologo
