Man-in-the-phone, nuovo attacco da contrastare

Actimize suggerisce come resistere a una nuova tipologia di sottrazione di dati sensibili.

Come informa una nota di Actimize, società specializzata in software per la gestione dei rischi transazionali nel settore finanziario facente parte del Gruppo Nice System, è in corso un nuovo attacco al sistema bancario, definito Man-in-the-Phone (MitP).

Il MitP incrocia varie tecniche di frode per ingannare i correntisti e indurli ad autorizzare telefonicamente delle transazioni finanziarie.

MitP è stato creato sulla scia di Man-in-the-Browser (MitB), il sistema con cui i criminali usano i trojan per infettare il browser degli utenti e modificare il contenuto delle transazioni, o inserire transazioni supplementari, in modo invisibile sia per gli utenti che per gli applicativi host.

Il nuovo sistema, in sostanza, sfrutta le tecniche di social engineering, tese a convincere un individuo a divulgare informazioni riservate.

Un esemplare caso di attacco MitP è quello che vede il criminale impersonare un consulente bancario che contatta il correntista per informarlo che il suo conto, i suoi assegni o carte di pagamento potrebbero essere stati violati o compromessi. Costui avvisa il cliente che per rimediare all'incidente dovrà rimanere in linea al fine di verificare alcuni dati. Contemporaneamente, il criminale chiamerà la banca e la metterà in comunicazione con il cliente, rimanendo in ascolto in linea. La banca chiederà al correntista di fornire i dati per l'autenticazione, come il numero di codice fiscale, la password, o altre informazioni personali. A questo punto, il criminale interromperà la conversazione e informerà il cliente che il problema è stato risolto. Grazie alle informazioni carpite durante la chiamata, l'autore della frode potrà continuare la conversazione con la banca e procedere a operazioni sul conto del cliente.

Actimize consiglia ai correntisti di non divulgare i dati del proprio conto e quelli personali a nessun operatore che telefoni per verificare l'esattezza delle credenziali bancarie. Gli utenti dovranno rispondere che per questo tipo di informazioni va contattata la banca.

Actimize raccomanda alle banche di combinare le azioni di profilazione cross-channel e le nuove tecnologie di rilevamento delle anomalie con un programma che migliori i processi e il training dei call center. Gli impiegati del call center devono essere formati per ascoltare in maniera più accurata e comprendere chi è all'origine della chiamata. Gli attacchi possono essere bloccati e le perdite possono ridursi se l'operatore chiede a vari livelli della conversazione telefonica, in modo casuale, ossia non statico, delle informazioni di sicurezza a conferma delle credenziali del chiamante.

CONDIVIDI

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here