PDA

Visualizza versione completa : Nuove sofisticate forme di phishing


realtebo
14-07-2006, 13.36.07
I password-token forniti dagli istituti di credito per i servizi di e-banking salvano dai phisher? Non sempre: girano le prime aggressioni che neutralizzano questo fattore di sicurezza aggiuntiva

Los Angeles (USA) - Gli esperti di Secure Science Corporation hanno descritto nelle scorse ore un nuovo tipo di attacco utilizzato nelle operazioni di "phishing", le truffe telematiche che solitamente colpiscono gli utenti dei servizi di e-banking.

L'attacco in cui si sono imbattuti i ricercatori è studiato per neutralizzare la sicurezza aggiuntiva fornita dai password-token, i dispositivi prodotti da RSA ed altre imprese che, sincronizzati coi server centrali della banca, forniscono una nuova password ad intervalli regolari.

Alcuni phisher sono infatti riusciti a creare pagine-trappola dove gli utenti ignari vengono spinti ad inserire tutti i dati necessari all'autenticazione bancaria: numero di conto, password personale e codice numerico generato dal token. Attraverso un sofisticato script, i phisher si connettono in tempo reale alla banca della vittima e sfruttano il codice generato dal token prima che diventi inefficace. In questa finestra temporale, che può durare anche solo pochi secondi, i truffatori sarebbero in grado di trasferire fondi o effettuare qualsiasi altro tipo di operazione bancaria.

"Questo tipo di attacchi può essere utilizzato per rendere inefficace qualsiasi tipo di sistema di sicurezza a doppia chiave", dicono gli esperti di F-Secure. I tecnici di Symantec sono più ottimisti: "È molto difficile che questo tipo di attacchi sofisticati, almeno per il momento, possano diventare estremamente diffusi". C'è solo una banca che finora è stata attaccata in questo modo e si tratta dell'americana Citibank. Quando gli attacchi "in tempo reale" prenderanno piede, avverte però Zulfikar Ramzan di Symantec, "i password-token diventeranno quasi inutili".

realtebo
14-07-2006, 13.37.17
AGGIUNGO UN FLAME DEL TUTTO PERSONALE:

il moderatore che circa 15gg mi ha cancellato un post 'per motivi di sicurezza' dove esponevo questa tecnica come funzionale per attacchi alle banche, adducendo motivi di sicurezza e altro, ora sappia che avvertire non è minacciare