Olimpo Informatico

[Zeus News]

Leggi l'articolo Il furto automatico del PIN della carta di credito
Vi siete mai imbattuti in un caso di furto automatico di PIN di validazione acquisti online?


 

 

Segnala un refuso

[{Wiz}]

Escluderei l'autofill. Anche ci fosse, il messaggio sarebbe arrivato sul telefono della vittima mentre il form da "autofillare" sarebbe stato sul dispositivo del truffatore.
A naso la chiave sta nel "La vittima è stata attirata con l'inganno": come è stata ingannata? Probabilmente l'inganno è stato più profondo di quanto appare a prima vista, e il tutto si ridurrebbe ad una app installata sul telefono.
L'alternativa, è che il pin otp non sia in realtà casuale, ma generato in modo riproducibile. Capita che idioti datisi alla sicurezza informatica usino stratagemmi per semplificare le applicazioni: un otp richiede una coda da gestire e sbattimento nel coding. Magari l'otp è generato partendo dal numero di carta e ora della transazione, o vaccate del genere. Partendo dai dati della transazione si può analizzare il tutto e vedere se c'è una relazione tra le cose, e potrebbe anche venire fuori qualcosa di tragico.

[algi]

Il tutto per non voler utilizzare la prima,piú semplice e sicura forma di sicurezza a due fattori di numeri primi detenuti uno da una parte e l'altro dalla seconda parte.Piú 'comodo' per le banche che possono cosí addossare la colpa al cliente invertendo l'onere della prova.
Ma...i Mammasantissima di Silicon Valley insegnan cosí...

[SverX]

[{Wiz}]

Queste truffe non funzionano così. Il form in cui l'utente mette i dati è un semplice modulo per collezionare numeri di carte, ma non è collegato al circuito delle carte di credito e non esegue vere richieste come farebbe un sito di commercio elettronico. Sarebbe troppo difficile da gestire e rischioso (dal punto di vista del truffatore).
La transazione per cui è stata mandata la otp viene generata più o meno automaticamente da sistemi che si trovano altrove, sotto diretto controllo di chi attacca. Quindi la otp deve essere inserita nell'altro sistema, controllato dal truffatore.
Se noti l'articolo dice anche che c'è stata una seconda transazione fraudolenta, anche questa generata dal sistema sotto controllo di chi attacca.
Quindi le opzioni rimangono il monitoraggio dei sms ricevuti tramite app, oppure una falla nella generazione delle otp.

[SverX]

Wiz, potresti avere ragione, potrebbe non essere quello che è apparso il vero gateway di pagamento, ma semplicemente la pagina successiva del sito di phishing, che ti chiede comunque di digitare l'OTP ricevuta per la transazione che il truffatore sta eseguendo con i dati appena ricevuti, OTP che viene quindi mandata a chi 'di dovere' per completare il giro.

la sostanza però non cambia, è avvenuta una auto-digitazione della OTP (autofill), o qualcosa di ben più grave forse, ma difficile da verificare senza poter verificare il dispositivo

[{Wiz}]

E' probabile che ci fosse una seconda pagina per inserire la otp per simulare una procedura standard, ma che fosse coinvolta attivamente nel giro della truffa lo ritengo poco probabile, considerando la sequenza di eventi descritta nell'articolo.
Si parla di una seconda transazione, non generata dall'utente. Se l'utente non ha generato una transazione non avrebbe alcun modo di inserire l'otp e i truffatori di ottenerla. C'è la possibilità che abbiano tentato di usare due volte la stessa otp (e qua ci sarebbe una falla nel sistema), però l'articolo dice che la seconda transazione è stata negata perchè nel frattempo la carta era stata bloccata, quindi del tempo era passato (anche se indicato "subito dopo"). La carta potrebbe anche essere stata bloccata da controlli automatici, ma a questo punto se la transazione ha generato sospetti tanto da bloccare automaticamente una carta mi chiedo come la società possa negare il rimborso (ma qua non è il mio campo).
Una cosa che mi piacerebbe sapere è se l'addebito è stato per lo stesso importo dichiarato durante l'"acquisto", oppure era un importo diverso.
Insomma, sono tutte ipotesi. Rimango dell'idea che sul telefono ci sia una app spia, e riterrei probabile che possa essere la stessa che ha indotto l'utente a eseguire il primo pagamento. Ma come giustamente dici non si può dare risposta senza analizzare il telefono. Quanto descritto è solo il paragone con altri casi simili su cui ho dovuto mettere mano. Poi i truffatori sono sempre all'avanguardia e se ne inventano una ogni giorno, e c'è un sacco di gente pronta ad abboccare nei modi più meravigliosi.

[janez]

Sarà che sono malfidato e che sono affetto da dietrologia...
Confesso che sulla modalità con cui la faccenda potrebbe essere stata attuatata non ci capisco nulla, e che anche molti dei commenti precedenti per me sono abbastanza oscuri, credo dovrò rileggermeli qualche altra volta.
Ma personalmente mi colpisce una questione "laterale" rispetto al fatto: tutte le banche stiano spingendo la clientela all'utilizzo delle App piuttosto che all'uso dello SMS, che viene pesantemente disincentivato, con incessante opera di dissuasione.
Pubblicità continua ed insistente con pop-up a video sui loro siti, mail a tutto spiano, pagamento di quota se si sceglie SMS invece che App.

Se il contenuto dell'articolo, veritiero o meno che sia, cominciasse ad essere divulgato in maniera capillare sarebbe una bella spinta pubblicitaria a favore della scelta delle banche.

A mio malfidato parere l'utilizzo delle App è preferito perché consente di catturare e tracciare meglio informazioni sulle abitudini e i comportamenti della clientela consentendo alle banche stesse di entrare in possesso di informazioni rivendibili ai soliti mostri, consentendo anche a loro di entrare (ancora di puù) nel grande businnes del traffico di informazioni personali.

[{Wiz}]

La questione di base è che non esistono sistemi di autenticazione unici sicuri ed efficaci al 100 per cento. Quello che si può fare è aggiungere fattori al processo, con l'intento di rendere più complicata la vita di chi attacca. Più complicata, ma non impossibile: un sistema sicuro al 100 per cento non lo si può ottenere, si può solo lavorare per avvicinarcisi quanto più possibile.
Entrambe le opzioni di cui si è parlato hanno pro e contro. Citando solo i punti più immediati, gli SMS sono semplici, non richiedono interventi speciali da parte degli utenti, ma costano e sono insicuri perchè il traffico viaggia in chiaro. Le app possono avere crittografia end-to-end e non costano nulla (escluso il costo di sviluppo e manutenzione), ma richiedono che gli utenti le installino.
Ci sono poi pro e contro che non sono gli stessi per l'utente e la banca (o chi per essa): una tra tante, come janez fai giustamente notare, l'app può acquisire dati dell'utente e può spacciare pubblicità, cosa vantaggiosa per la banca e svantaggiosa (che lo comprenda o meno) per l'utente.
Una questione chiave che viene sempre trascurata e che qua cade a pennello, è ciò che i buoni Ferguson e Schneier dicono da una vita: spesso, purtroppo, quello che viene venduto come sicurezza è invece principalmente uno scarico di responsabilità da parte della banca verso l'utente.
In questo caso la banca dice chiaramente "hai inviato l'otp, quindi paghi". L'otp, ciò che viene venduto come un vantaggio per l'utente in termini di sicurezza, viene in realtà usato contro l'utente stesso, per negargli un rimborso. Trovo sia questa la cosa più tragica di ciò che è accaduto. Il trovare una falla nella generazione della otp sarebbe un bel ribaltone.

[SverX]

guarda, magari oggi le cose sono diverse, ma una volta (io ci ho lavorato venti anni fa...) le OTP erano 'pre-generate', quindi non hanno a che vedere con la transazione in sé, ma vi vengono accoppiate al momento dell'utilizzo. Però, ripeto, oggi potrebbe essere diverso e potrebbe anche essere un processo fallato, per quanto ne dubito seriamente.

[{Wiz}]

Quello delle otp pregenerate era un sistema usato da alcune banche tempo fa (es: banca sella - dicendo 20 anni fa penso ti riferisca proprio a questa, dato che a quel tempo non c'era molta varietà in italia). Non so se ora usino ancora quel sistema, non mi è più capitato di lavorarci.
Le otp per la verifica al volo di operazioni estemporanee seguono altre logiche: le possibilità sono molte e dipendono dalle circostanze in cui vengono implementate. Alcune anche se chiamate OTP di fatto non lo sono perchè permettono di essere utilizzate più volte: esempio quelle generate con chiave segreta più marca temporale, tipo google authenticator (ma almeno loro non le definiscono otp) o le chiavette che generavano continuamente un codice visualizzato su display.
Una OTP ideale è generata in modo del tutto casuale, non predicibile o ricostruibile in alcun modo, e non è riutilizzabile: alcune implementazioni però lasciano a desiderare, dato che l'ingegno spinto da pigrizia trova quasi sempre soluzioni fortemente bacate.

[Gladiator]

Arrivo solo ora su questo thread e ho letto delle belle analisi e considerazioni su un aspetto molto critico e preoccupante, vorrei solo aggiungere i miei 2 cents sul tema dell'autofill.
Essendo l'immissione del codice OTB ricevuto la seconda fase di autenticazione di una transazione di un sistema di sicurezza basato su due fattori e completamente dipendente dalla consapevolezza di chi sta operando la transazione, direi che l'utilizzo di una qualsivoglia funzione di autofill dell'OTP sarebbe da evitare come la peste e, anzi, da inibire totalmente altrimenti la consapevolezza va a farsi benedire come pure la sicurezza di tutta l'operazione, o mi sbaglio?

[SverX]

@Wiz: sì, era Banca Sella, forse era addirittura l'unica al tempo ('98 o '99) a fornire sistemi di pagamento on-line. Le OTP comunque sono per definizione a singolo uso e infatti i numeri generati dalle 'chiavette' non sono formalmente OTP.