Banche

Archived Posts from this Category

Anti-phishing: unicredit banca

Scritto da il 19 Mag 2009 | Archiviato in: Banche

Inauguriamo oggi una serie di articoli in cui andremo ad esaminare cosa fanno gli istituti bancari per contrastare il fenomeno del phishing e tutelare i propri utenti/clienti, sia da un punto di vista informativo sia da uno più propriamente attivo.

Nei mesi scorsi il gruppo unicredit, come tutte le banche italiane, è stato vittima insieme ai propri clienti di parecchi attacchi di phishing. Giusto per riassumere brevemente il meccanismo: l’accante crea un sito che assomiglia in tutto e per tutto al sito ufficiale della banca, poi fa partire una massiccia campagna di spam con cui inonda le caselle email di mezzo mondo in maniera assolutamente casuale. L’obiettivo è di indurre veri clienti della banca a inserire user name e password sul finto sito e usarli poi per effettuare vere transazioni a proprio vantaggio.
La vita media dei siti di phishing è spesso limitata a poche ore dato che in genere vengono rapidamente segnalati, eppure in queste ore riescono a fare danni.
Andiamo quindi ad esaminare cosa fa unicredit da un punto di vista attivo e informativo.

Informazioni

Al momento in cui scrivo sulla home page del sito non sono presenti elementi grafici particolarmente evidenti che rimandano alle informazioni lasciate a disposizioni degli utenti ma il link è comunque ben visibile. Le pagine relative al phishing sono ben scritte e i consigli offerti sono chiari e pratici: per esempio si consiglia di bloccare l’account effettuando deliberatamente quattro tentativi di accesso sbagliando la password. I numeri verdi per ottenere informazioni ed eventualmente far bloccare l’account sono ben evidenti nella parte di destra, non altrettanto gli orari in cui è possibile chiamare questi numeri o come riuscire a farlo dall’estero.

Sicurezza attiva

Che succede se un malintenzionato entra in possesso della mia username e password? Cosa può farne utilizzando i servizi unicredit?

Non molto ma neanche pochissimo. Per accedere alle informazioni sul sito di unicredit basta infatti avere username e password quindi il malintenzionato potrebbe scorrazzare in lungo e largo e curiosare tra tutti i miei estratti conto. Potrebbe quindi riuscire ad avere anche il numero dell’eventuale carta di credito associata al conto ma non riuscirebbe comunque a fare la cosa più importante: per trasferire denaro e per tutti gli ordini esecutivi occorre infatti una seconda password, numerica, che viene generata ogni pochi secondi da un gadget (unicredit pass) poco più grande di un portachiavi che viene dato a tutti i correntisti della banca. A mio modesta parere sarebbe meglio (anche se leggermente più scomodo) se la seconda password venisse richiesta già all’accesso al conto.