FRODI ON LINE: KEYLOGGER E REDIRECTOR Denominazione

FRODI ON LINE: KEYLOGGER E REDIRECTOR
Denominazione: Codice malevolo diffuso presso le postazioni dei clienti di home-banking per
l’acquisizione a scopi illegali delle credenziali digitali.
Tipologia: Spyware, Frode on line
Risorse minacciate: Dati di accesso (user ID e password) dei clienti di Internet banking, numeri di
carta di credito, identità elettronica del cliente.
INFORMAZIONI TECNICHE
È stato rilevato nelle ultime settimane l’intensificarsi di una modalità di furto di identità elettronica,
che presenta un livello di insidiosità che potrebbe interessare nel tempo un numero crescente di
istituti di credito e i relativi servizi di home-banking.
Il furto delle credenziali digitali avviene attraverso la diffusione presso le postazioni dei clienti di
opportuno codice malevolo in una forma di spyware cui viene genericamente dato il nome di
crimeware. Le differenti tipologie di crimeware rivolte ad utenti bancari, si possono suddividere in
due macrocategorie, i keylogger e i redirector.
Keylogger
Tipologia di codice malevolo scritto per sottrarre le credenziali digitali nel momento in cui queste
vengono digitate dall’utente sul proprio PC. I keylogger per il furto di identità elettronica hanno
specifiche componenti che monitorano le azioni che vengono effettuate dal PC infetto, in modo da
riconoscere l’attivazione delle connessioni ai siti web delle istituzioni finanziarie, di ecommerce e di
webmail. Le informazioni carpite vengono inviate al frodatore tramite posta elettronica facendo uso
di un motore SMTP integrato nel codice stesso dello spyware.
Redirector
Tipologia di codice malevolo scritto per reindirizzare il traffico Internet del computer infetto verso
indirizzi IP differenti da quelli che si intendeva raggiungere. I dati personali in questo caso vengono
archiviati presso il server che ospita il sito fraudolento e che riceve le connessioni reindirizzate.
Sono stati segnalati nel contesto italiano redirector che alterano i file di sistema del computer
infetto e altre informazioni a livello di DNS, in modo che il traffico Internet diretto verso alcuni siti
di home-banking, codificati nello stesso spyware, venga reindirizzato su un DNS malevolo che, una
volta interpellato, associa l’indirizzo IP di un sito contraffatto alla richiesta che gli viene inoltrata.
Sulla base delle segnalazioni ricevute in merito a casi di infezione riscontrati nel panorama
nazionale, l’elenco dei siti di home-banking per i quali viene effettuato il reindirizzamento
contempla sempre più massivamente nomi di banche italiane.
L’insidia maggiore in tale tipo di attacco consiste nel fatto che il nome del sito che si intende
raggiungere potrebbe anche risultare correttamente digitato nella barra del browser.
I dati reperiti dai frodatori vengono poi da loro riutilizzati per accedere ai conti on-line dei clienti
Internet ed effettuare operazioni dispositive a favore di terzi, anche secondo le modalità che sono
state riportate nella precedente scheda di segnalazione sui bonifici anomali.
I codici malevoli in questione, inoltre, spesso sono realizzati in modo da disabilitare le connessioni
effettuate dal PC contaminato verso i siti Internet delle principali aziende produttrici di software
anti-virus, con lo scopo di rendere più difficoltosa la rilevazione e la rimozione dell’infezione.
CONSIGLI: come proteggersi dal crimeware – Decalogo per i clienti
È stata rilevata negli ultimi mesi la comparsa nel contesto nazionale di una nuova modalità di furto
dell’identità elettronica, legata alla diffusione presso le postazioni dei clienti di home banking di
codice
malevolo in forma di spyware (una tipologia di virus informatico).
Tali virus, denominati crimeware per le finalità criminali che ne sono alla base, sono in grado di
reperire le informazioni personali disponibili sui PC contaminati e trasmetterle al frodatore, che in
seguito le riutilizza per scopi illeciti.
Alcuni accorgimenti possono rivelarsi utili per contrastare la diffusione di tale fenomeno
fraudolento. In particolare può risultare utile quanto segue:
1. Proteggete dalle epidemie informatiche il PC dal quale effettuate operazioni di home-banking
tramite l’installazione di un software anti-virus. Alcune aziende producono inoltre uno
specifico software anti-spyware, che potete addizionalmente installare sul PC.
2. Effettuate scansioni periodiche e tenete costantemente aggiornato il vostro software antivirus (ed eventualmente l’anti-spyware) verificando costantemente la disponibilità delle
connessioni verso il sito dell’azienda che lo produce.
3. Tenete costantemente aggiornata la protezione del sistema operativo e degli applicativi
presenti sul PC, mediante l’installazione delle cosiddette patch (letteralmente “toppe”, con
riferimento alle vulnerabilità che vanno a proteggere), che vengono rilasciate dalle rispettive
aziende produttrici. Fate riferimento esclusivamente agli aggiornamenti ufficiali, disponibili
gratuitamente sui siti Internet delle stesse aziende.
4. Proteggete il traffico dati in entrata e in uscita dal vostro PC mediante l’installazione di
opportuni strumenti di filtraggio delle comunicazioni, denominati firewall.
5. Durante la navigazione in Internet, limitate la possibilità che vengano eseguite attività da
remoto senza la vostra autorizzazione e consentite l’installazione dal web dei soli programmi
di cui è possibile verificare la provenienza.
6. Spesso l’avvenuto contagio si traduce anche in una modifica non richiesta delle impostazioni di
sistema e in un peggioramento delle sue prestazioni generali (es: rallentamento, apertura di popup non richiesti). Monitorate opportunamente tali cambiamenti come indici di sospetta
infezione.
7. Diffidate di qualsiasi messaggio (proveniente da posta elettronica, siti web, contatti di instant
messaging, chat o peer-to-peer) vi rivolga l’invito a scaricare programmi o documenti di cui
ignorate la provenienza.
8. Prestate attenzione se riscontrate anomalie rispetto alle abituali modalità con cui vi viene
richiesto l’inserimento dei dati personali sul vostro sito di home-banking.
9. Verificate l’autenticità della connessione con la vostra banca, mediante il controllo accurato
del nome del sito. Ove presente, è opportuno inoltre cliccare due volte sull’icona del lucchetto
(o della chiave) presente in basso a destra nella finestra del browser, per verificare la correttezza
dei dati relativi al certificato del sito cui ci si sta connettendo.
10. Controllate regolarmente gli estratti conto del vostro conto corrente per assicurarvi che le
transazioni riportate siano quelle realmente effettuate. In caso contrario contattate la vostra
banca.