Scenario/2 Il pericolo viene dal Man in the middle

Nel 2009, il pericolo si chiama Man-in-the-middle, l’Uomo nel mezzo. Una cyber-rapina che riesce a beffare anche sistemi di autenticazione come i token con password monouso. E il perché possa accadere è facile da capire, quando si pensa a come funziona il Man-in-the-middle.

Tutto ha inizio con i Botnet. I Botnet sono una rete che collega migliaia, forse milioni di computer ignari e controllati a distanza da un criminale chiamato botmaster. Un Botnet, che può essere costituito da un numero enorme di computer, inconsapevoli o zombi, riesce a produrre identità false utilizzate poi per crimini diversi, soprattutto riciclaggio e terrorismo. Un Botnet può anche essere “affittato” da una società criminale. I Botnet iniettano nei computer della rete un virus o malware un codice maligno che non blocca il computer, forse lo rallenta solo un po'. Lo usa e basta.

Il malware o virus, infatti, rimane silenzioso nel computer anche per lungo tempo, senza arrecare danni evidenti. Ma, intanto, alacremente, continua a inviare informazioni delicate alle organizzazioni criminali, che se ne serviranno al momento opportuno. Ad esempio: il malware fa sapere ai suoi compari quali sono tutti i numeri sensibili dell’utente, compresi tutti i suoi dati bancari, codice Iban, fra tutti. I criminali se ne serviranno al momento opportuno. Quando si mettereranno di mezzo (da qui il nome di Man-in-the-middle ) tra il computer dell’utente e la sua banca. E se questi starà effettuando un bonifico sul suo conto, o su un altro o su una prepagata, ne cambieranno i dati del destinatario, verso un altro conto, controllato dalla gang, su cui la somma verrà realmente accreditata.

D'altra parte il malware che sta circolando oggi è un software raffinatissimo, come ammette lo stesso vice questore aggiunto del Compartimento di PolPostale a Bologna, Sergio Russo, per il quale questo virus resta invisibile e non bloccabile ad almeno 24 dei 35 antivirus più diffusi. Quindi a rischio potenziale ci sono tutti gli utenti, e non solo chi naviga regolarmente in siti poco affidabili, ad esempio quelli di pedo-pornografia. Da pochi mesi, sono segnalati problemi anche per gli utenti dei Mac, che si sentivano tranquilli fino ad un anno fa.

Però il diavolo, come sempre, fa la pentola, ma occorre anche il coperchio. Perché i sistemi delle banche oggi possono rilevare se c'è un bonifico “anomalo” verso conti correnti in paesi esteri. E il punto debole di questi criminali sul web è il seguente: hanno bisogno di manovalanza insospettabile sul posto, titolari di conti correnti “puliti” dove poter dirottare le somme del Man-in-the-middle. Persone al di sopra di ogni sospetto, spesso giovani studenti che usano il conto della madre, ma sempre più spesso anche liberi e affermati professionisti, imprenditori, docenti, avvocati, sono reclutate da organizzazioni di criminali, sotto la copertura di fittizie imprese straniere. Che promettono, via email, guadagni facili ed elevati semplicemente “prestando” un conto corrente alla malavita organizzata. Sono i cosiddetti "soldatini", chiamati anche "Financial managers", reclutati con annunci del tipo "vuoi guadagnare 1000 euro stando a casa?". Compito del “soldatino” è mettere a disposizione il proprio proprio conto, per gli accrediti, e a ogni versamento provvedere a ri-accreditare l’importo all’estero attraverso società di trasferimento fondi. In cambio il Financial manager si trattiene una commissione che varia dal 5 al 20%, in rapporto al rischio della transazione. Nel 2008, sono stati denunciati in Italia 370 "Financial managers".

E’ una corsa contro il tempo. Da un lato la Community del crimine si va organizzando sempre meglio: in Rete si trovano virus in grado di rubare numeri di carte di credito o password con prezzi che vanno dai 6 ai 24 euro ciascuno, mentre raggiungono i 980 euro i virus troiani capaci di spiare, silenziosi, anche per anni, tutto ciò che uno fa con il suo computer. Diciannove persone al minuto cadrebbero ogni giorno vittima del furto d'identità.

Dall’altro banche e società di e-commerce sono chiamate a controbattere. E in fretta. Innanzitutto la banca ha incominciato da qualche tempo a monitorare i suoi utenti, e, ad esempio, annota quello che fanno di solito: quante transazioni sono portate a termine e per quali importi. Per scoprire eventuali “anomalie”: trasferimenti di somme eccezionalmente elevate per lo standard del cliente. O verso paesi stranieri “a rischio”, come Russia e Romania. Poi effettua il controllo del computer del cliente. Alcuni istituti offfrono anche un servizio aperto anche ai non clienti che verifica se il pc è pulito oppure infetto. Ma la sigla magica nella lotta dei “buoni” contro i “cattivi” del web si chiama strong autentication (autenticazione forte) ed è già utilizzata da alcune banche italiane.

La strong autentication è un controllo che avviene a più livelli. Il tutto grazie alla cosidetta token card. Si tratta di una card con chip (può essere anche una carta prepagata o una carta di credito), e un tastierino numerico. Ce ne sono in commercio di diversi tipi: in Italia, è in fase di sperimentazione la token card di IW Bank, in collaborazione con Visa Europe. Questa card è stata chiamata ‘One-Time-Code Card’, ed è una normale carta di pagamento Visa con il microchip e in più un display alfanumerico di otto cifre posto sul retro. Al momento della richiesta della password da parte del sito della banca, il titolare di Visa One-Time-Code Card attiva il processo di autenticazione premendo un bottone sul retro della carta; successivamente inserisce, usando la micro-tastiera, il codice Pin. A questo punto, un codice alfanumerico monouso appare sul display di Visa One-Time-Code Card: il titolare della carta lo inserirà quindi nello spazio sul sito per autenticare la transazione oppure per accedere al proprio servizio di online banking. La sperimentazione è su un campione piccoli di utenti, circa 500 clienti IW Bank, ma Visa sta testando il prodotto anche alla Cornèr Bank in Svizzera, alla MBNA nel Regno Unito e alla Cal in Israele.

C'è poi il massiccio investimento di Poste Italiane. Per gli utenti sul portale BancoPostaOnline, nel febbraio 2009, ha iniziato la distribuzione del Kit sicurezza (Leggi qui). In questo caso la token card è la stessa prepagata di Poste e il lettore è uno apparecchio, consegnato al cliente del conto corrente insieme ai codici di accesso. Anche in queso caso, come in quello della card con lettore alfanumerico, il sistema di autenticazione è doppio, con due strumenti di identificazione, di cui uno è una carta con microchip.

Anche alla Raiffeisen Bank Italia, la card viene analizzata da un apposito lettore che genera password monouso. Alla banca austriaca, presente soprattutto in Alto Adige, c'è una novità dell'ultima ora per evitare il problema "uomo nel mezzo": un generatore di IBAN che permette di verificare se il codice digitato è corretto, ma soprattutto se lo è quello associato alla transazione appena effettuata.

A Siena, Infinita, la piattaforma online banking del gruppo Banca Monte dei Paschi di Siena fa uso della firma digitale anche per clienti privati utilizzando un generatore di password monouso con chiavetta USB che contiene tutte le informazioni utili alla connessione all'e-banking e in più c'è la possibilità di ricevere la password usa e getta con un sms sul cellulare.

Lo stesso sistema è in uso dal 2008 anche nelle banche del gruppo Credito valtellinese (Leggi qui). L'invio di una password usa e getta via cellulare è un valido strumento per evitare truffe perché è estramemente complicato per un truffatore combinare più di uno strumento di validazione in un unico istante, quello cioè dela transazione online.

Da segnalare, infine, il sistema adottato da Cariparma del gruppo francese Crédit Agricole: si chiama Securcall ed è un progetto sviluppato insieme con AliasLab e Telecom Italia. Come funziona: il cliente predispone l'operazione su internet e conferma la transazione utilizzando un canale diverso, ovvero la rete GSM. "Intercettare una sessione internet ed una comunicazione telefonica, nell'arco dei pochi istanti necessari ad eseguire una transazione bancaria, risulta estremamente complesso," ha spiegato a Of Simone Bonali, responsabile Ufficio Sicurezza Informatica di Cariparma. "I dati dispositivi del cliente, tra cui il Pin personale, sfuggono infatti ad intercettazione, perché immessi nel corso della telefonata e forniti ad un sistema IVR, cioé di un risponditore automatico della Banca." Cariparma, inoltre, ha sviluppato un sistema per l'intercettazione delle frodi che parte dalla profilazione del singolo cliente attraverso un'analisi comportamentale. Un sistema utilizzato oggi da quasi tutti i principali gruppi bancari. In pratica, si tratta di studiare per ciascun cliente uno standard di comportamento, ad esempio la frequenza dei collegamenti, il tipo di transazioni e così via. Se si verificano scostamenti rispetto allo standard, il sistema Cariparma, ad esempio, assegna uno score alla transazione, cioè un punteggio che indica il valore di scostamento, se è molto o poco diverso dallo standard. La transazione anomala è passata al setaccio dagli analisti della Banca e classificata come azione fraudolenta oppure come nuova tipologia di comportamento. In più gli attacchi mirati al codice IBAN, per le transazioni non fraudolente, vengono contrastati inviando al cliente un Sms informativo per una verifica immediata, tra quanto visualizzato all'interno del browser e le informazioni ricevute dalla Banca.

Il Gruppo Montepaschi ha organizzato, ad esempio, il servizio "Stai al sicuro" disponibile all’interno dell’offerta di Multicanalità Integrata che permette al cliente di ricevere delle notifiche via email e sms in tempo reale tutte le volte che si effettuano determinate operazioni. Questo servizio di alert con sms è oggi adottato dalla maggioranza delle banche presenti in rete. Ma a breve dovrà essere fatto un passo avanti. Banche e finanziarie in rete, da MPS a Creval, da Webank.it a Sella, stanno tutte lavorando sul breve periodo per offrire servizi che disaccoppiano i canali, cioè che utilizzano anche il cellulare per confermare una transazione inviando via sms la password mono-uso. E in più, sul medio e lungo periodo, si sta operando per mettere a disposizione di tutti dispositivi che prevedono l'uso della firma digitale con una connessione diretta quasi sempre usando una chiavetta Usb, con un secure server della banca. "Solo in questo modo" ammette Paolo Lombardi, responsabile servizio infinita Gruppo Montepaschi di Infinita-MPS che fornisce a tutti i clienti privati, oltre che alle imprese, il dispositivo Usb con firma digitale sei-OK, "si elimina alla radice il problema del Man-in-the-middle". Senza dimenticare che una sana cultura della sicurezza presso del cliente è "elemento indispensabile per ogni strategia efficace di contrasto alle frodi online, anche ad esempio per evitare i rischi di phishing, a beneficio dei livelli assoluti di sicurezza per il cliente che predilige l'accesso sui canali diretti."