Apprendo dalla newsletter di ANSSAIF che è in atto una nuova tattica di phishing che colpisce chi ha attivo il servizio di avviso SMS sugli utilizzi di Bancomat e carta di credito. Un SMS avvisa che c’è qualche problema e indica un numero di telefono da chiamare. Ovviamente al telefono risponde il truffatore, che si fa dare i dati sulla carta di credito o bancomat. È interessante come un meccanismo di sicurezza venga trasformato in un vettore di attacco. Non è la prima volta, e in effetti non è strano. Nonostante l’apparenza, non è il meccanismo di sicurezza ad essere il problema, ma la fiducia che viene posta nel meccanismo, e in particolare nel canale da cui ci arriva. Dovunque c’è un meccanismo “debole” di fiducia, lì è possibile l’attacco. In effetti, dovrebbe essere chiaro che l’SMS, come l’email, serve solo a fornire notizia di un problema, e non a dare indicazioni su cosa fare. Se quando riceviamo un SMS o un’email, per contattare la banca usiamo i nostri canali abituali tralasciando le informazioni contenute nel messaggio, il phishing non funziona. Il servizio SMS di avviso sulle operazioni effettuate con carta di credito continua comunque ad essere la migliore protezione, al momento, contro abusi e clonazioni. Per il Bancomat ovviamente la cosa è meno semplice, dato che una volta che i soldi sono stati ritirati non si torna indietro, ma almeno permette di contenere i danni.
-
Qui sopra il lago di Soraga, Val di Fassa (Trentino, Italia)
Questo sito ospita pensieri e considerazioni personali, che possono o meno essere collegati alle mie competenze professionali. Per contatti professionali potete fare riferimento al mio profilo Linkedin o al sito di Partners4Innovation
Rapporto Clusit 2021
