Allarmati per le notizie recenti di attacchi informatici alle banche svizzere? Tranquilli: il malware Retefe di cui si parla in queste notizie è una vecchia conoscenza dei servizi di sicurezza informatica e le banche si sono già premunite da mesi per contrastarla. Lo dice MELANI, la Centrale d'annuncio e d'analisi per la sicurezza dell'informazione, in risposta a questo articolo di Trend Micro, che parla di un'operazione denominata, con grande sforzo creativo, Emmental.

L'attacco in realtà non prende di mira i siti delle banche, ma i dispositivi utilizzati dagli utenti per effettuare transazioni bancarie via Internet e in particolare la cosiddetta autenticazione a due fattori: in pratica il sito della banca, oltre a chiedere all'utente qualcosa che sa (la password), gli chiede anche qualcosa che ha (per esempio il telefonino, al quale viene inviato un ulteriore codice usa e getta di autenticazione). Se non vengono forniti entrambi i fattori di autenticazione, il sito della banca rifiuta l'accesso.

La tecnica criminale descritta da Trend Micro non si basa sulla consueta infezione del computer della vittima con malware-spia persistente: usa invece un malware che altera la configurazione del computer, specificamente i parametri DNS che indirizzano il traffico dell'utente, e poi si cancella senza lasciare tracce. Questi parametri vengono modificati in modo che quando l'utente digita il nome di un sito attendibile (per esempio la propria banca), il computer lo porti al sito dei truffatori, che è realizzato a immagine e somiglianza di quello della banca e che usa un certificato SSL di provenienza illecita per sembrare ancora più credibile.

A questo punto il sito-trappola invita l'utente a installare un'app Android, dicendo che si tratta di un generatore di codice di sessione. Invece l'app cattura gli SMS provenienti dalla banca e li dirotta su un computer o un telefonino gestiti dai truffatori. In questo modo i criminali ottengono il primo fattore di autenticazione (login e password) tramite il falso sito e il secondo fattore attraverso l'app. Hanno quindi tutto quel che serve per violare il conto della vittima.

La difesa contro questo attacco piuttosto sofisticato è in realtà semplice: basta non installare app che non provengono da Google Play. MELANI sottolinea inoltre che le banche svizzere non chiedono mai ai propri clienti di fornire informazioni di connessione o di installare un'app su uno smartphone, ricorda la necessità di installare un antivirus, di attivare e aggiornare regolarmente un firewall, di aggiornare il sistema operativo e il browser insieme a tutti gli altri software installati, e di fare attenzione alle mail di origine sconosciuta che contengono allegati o link.