La tua Banca Online è sicura?

La tua Banca Online ti da le giuste garanzie?

Ti offre tutti i servizi online che ti servono a costi convenienti?

Garantisce la giusta sicurezza ai tuoi soldi senza farti pagare un occhio della testa?

Se la risposta ad una di queste domande è no, dovresti seriamente valutare delle alternative.

Cosa dovresti cercare

Una Banca Online, a mio giudizio, dovrebbe offrire servizi avanzati come l’accesso sicuro via internet e cellulari, costi bassi e l’integrazione con programmi di gestione del bilancio familiare.

Sicurezza

Per molte persone la sicurezza non rientra tra i primi parametri di scelta di una Banca Online.
La sicurezza, invece, è a mio giudizio uno dei primi parametri da valutare quando si decide di usufruire di servizi di Internet Banking.

Come gestisce la sicurezza la tua Banca Online?

Come ho detto prima, quando si parla di Online Banking, la sicurezza non è un qualcosa in più che ci è offerto, ma assume un ruolo fondamentale nel processo di scelta.

Pochi clienti sono però in grado di fare le giuste valutazioni su questo tema.

Capire le modalità di accesso all’internet banking ed afferrare le implicazioni legate alla sicurezza sono due aspetti completamente diversi.

Password

Ogni Banca Online deve fare una scelta rischiosa. Può essere molto costoso rinnovare la propria infrastruttura Front-End [la parte di rete informatica delegata agli accessi] e così, in alcuni casi, le banche possono decidere di rimanere più esposte.

“Molte Banche in Australia – racconta John Colley, esperto di sicurezza informatica nel settore bancario – danno accesso ai propri sistemi di online banking mediante una singola password. Le password singole possono essere facilmente violate: possono essere indovinate o scoperte mediante software e poi utilizzate da hackers o truffatori per accedere agli accounts di home banking.”

Un sistema preferibile potrebbe essere il cosidetto 2QV [two questions verifications, verifica a due domande]. In questo caso la Banca, per consentire l’accesso, richiede username, password e deve rispondere ad una di alcune domande preimpostate come “qual è il nome della tua prima scuola” o “qual era il cognome di tua madre da nubile”. Per quanto la risposta a questa tipologia di domande possa essere ricavata dai social network [come ad esempio Facebook], è un metodo sicuramente migliorativo rispetto alla password singola.

Phishing

Uno dei problemi reali legati alla sicurezza è che gli utenti non proteggono in maniera adeguata i propri dati personali.

Se ti chiedessero per strada il PIN del tuo bancomat, non lo riveleresti mai. Perchè allora alcune persone rispondono ancora alle mail di phishing?

David Harley, ricercatore nel team di sicurezza di ESET, afferma che la percentuale di successo delle mail di phishing è così elevata, che non ha senso cercare altre strade di violare sistemi protetti. “Gli hackers non hanno voglia di perdere un sacco di tempo a cercare di forzare le password di accesso alla tua banca online con attacchi di forza bruta [software che tentano di indovinare la password con diverse migliaia di tentativi al secondo], preferiscono sicuramente cercare di ottenere le credenziali direttamente dalla vittima, utilizzando tecniche di ingegneria sociale.”

Purtroppo anche sistemi di sicurezza discreti sono assolutamente insufficenti se l’utente cede i propri dati in seguito ad un attacco di phishing o di altre tecniche similari.

Keyloggers

Un altro problema è posto dai “Keyloggers“, spesso entrati nel tuo pc mentre navighi sul Web. I Keyloggers moderni sono diventati più sofisticati e possono intercettare molto più che quello che digiti sulla tastiera. Anche le tastiere sullo schermo, come quella utilizzata da IngDirect, sono vulnerabili.

“Gli ultimi Trojans diffusi su internet sono in grado di catturare un print screen ogni qualvolta tu fai click sullo schermo” racconta Wing Fei Chia, responsabile sicurezza di F-Secure. “Una volta finito, il Trojan invia tutte le immagini dello schermo, precedentemente catturate, al truffatore.”

Token security

Anche un sistema di sicurezza evoluto come un token, in grado di generare a nuovo PIN a sei cifre ogni 30 secondi, non è totalmente sicuro. Stephen Howes, manager di GrIDsure, avvisa che se un token viene utilizzato inavvertitamente su un sito phishing allora il truffattore ha un margine di tempo in cui può tentare di utilizzare il codice rubato per tentare l’accesso al conto corrente online.

“Un sistema automatizzato avrà bisogno di pochi nanosecondi per tentare un accesso, per questo un token ‘da un minuto’ offre ai cybercriminali un buon lasso di tempo per poter effettuare il suo attacco.”

In caso di smarrimento del proprio token si pensa di essere comunque protetti, dato che la password è composta anche da un PIN noto solo a noi. Però, moltissime banche personalizzano il token con il proprio logo: se questo viene smarrito o rubato, il truffatore saprà subito quale Banca Online attaccare.

Cellulare per aumentare la sicurezza

Forse una delle prospettive future più interessanti nel futuro della sicurezza dell’Online Banking è l’uso del cellulare con l’invio del codice di accesso al sito via SMS in tempo reale. Questa tecnica di accesso rinforza il concetto di autenticazione a due fattori: qualcosa che sai affiancato a qualcosa che hai.

Quando fai un prelievo al Bancomat, da un lato hai la carta dall’altro conosci un PIN.

L’obiettivo è trovare qualcosa che sostituisca la carta fisica quando utilizzi l’online banking.

Oltre all’utilizzo di un token [come quello fornito da IWBank], tecnica già vista sopra, tecnologia estremamente affidabile, ma costosa per la Banca, entrano in gioco i codici via SMS. Molte Banche estere [Commonwealth Bank, St George and NAB] utilizzano questa metodologia ed altre stanno pianificando di implementarla in futuro.

“Non è forse professionale, ma può migliorare la sicurezza significativamente – afferma Chia.”

Il mio parere personale è che il token sia estremamente più sicuro. Basti pensare a quanti cellulari vengono rubati ogni giorno o casi di SIM clonate.

L’uomo in mezzo

Per quanto le banche implementino sistemi di sicurezza, gli esperti affermano che ci sarà sempre una debolezza, insita in Internet stesso.

Gli hacker si posizionano in qualche posto nascosto su internet tra te e la tua Banca cercando di intercettare le tue credenziali.

Questo tipo di attacco “man-in-the-middle” ha colpito in passato importanti istituzioni come la Bank of America.

L’utilizzo di certificati per autenticare il server della banca e crittografare le comunicazioni [controlli sempre che sia presente il lucchetto sul tuo browser?], diventano un requisito imprescindibile. Il rilascio di ulteriori certificati da installare sul pc del cliente, aumenterebbero ulteriormente la sicurezza generale della transazione.

Linkografia

Articolo tratto da PC Authority – Online Banks Exposed

Crediti Fotografici

Bank Security Guard di Brad & Sabrina