Sharking delle credenziali: un nuovo tipo di frode approda in città

Negli ultimi due anni ho lavorato a molti progetti con lo scopo di aiutare le aziende a fare chiarezza su ciò che accade nei loro siti web, prendendo in considerazione gli aspetti positivi, negativi e le sfumature intermedie. Uno dei casi più insoliti a cui ho assistito riguardava un creditore del giorno di paga e la divulgazione di credenziali di online banking su larga scala.  Dopo aver discusso a lungo con i miei colleghi, abbiamo deciso di chiamare questo nuovo tipo di frode sharking delle credenziali (dall’inglese “loan shark”), ovvero usura delle credenziali.

Come funziona lo sharking delle credenziali? Analizzando i modelli di clic per l’online banking, abbiamo scoperto un outlier che rappresentava una potenziale minaccia. Un singolo dispositivo effettuava il login e controllava ripetutamente un’ampia gamma di account utente, una modalità di utilizzo dell’online banking molto differente da quella ordinaria.

Dopo diverse chiamate a proprietari di account, abbiamo identificato un elemento comune a tutti gli utenti: prestiti del giorno di paga da terze parti esterne. Dopo ulteriori domande, il dilemma è stato svelato. Nell’ambito del processo di apertura del prestito, il creditore del giorno di paga chiedeva ai richiedenti di fornire le loro credenziali di online banking. Il creditore utilizzava quindi le informazioni di login per verificare quando venivano accreditati pagamenti al cliente del prestito (ad esempio pagamenti dello stipendio e di previdenza sociale) e di conseguenza detrarre il rimborso del prestito.

I potenziali rischi, le considerazioni etiche e le questioni normative e di conformità associati a questo caso meriterebbero un’infinita serie di definizioni e aggettivi, ma ci limiteremo a definirli “concreti”. Apparentemente, questo problema specifico è il caso isolato di un dipendente eccessivamente creativo e sleale che ha sviluppato un proprio processo per ridurre al minimo le insolvenze dei prestiti. Inoltre, il rischio non era limitato alla singola banca specifica, ma interessava qualsiasi banca con clienti che avessero firmato un accordo con questo specifico creditore. Stiamo parlando di un totale di migliaia di account.

Sebbene si sia trattato di un caso isolato, una simile situazione solleva dubbi sulla divulgazione delle informazioni di login per l’online banking a terze parti, un’operazione che sta diventando sempre più comune nell’ambito di prodotti del settore tecnico e finanziario. I servizi per cui è richiesta la divulgazione delle informazioni di online banking comprendono i facilitatori di pagamento, i prodotti di salvataggio automatico e gli aggregatori di account.

L’aggregazione di account è tanto comoda quanto rischiosa

Senza eccezioni, il primo aspetto che salta all’occhio durante l’analisi dei modelli di clic su un sito web di online banking sono gli aggregatori di account.  Gli aggregatori di account sono servizi di terze parti che scandagliano le transazioni e bilanciano i dati da portali web (normalmente di online banking) in un unico pannello di gestione.  La nascita di questi servizi è associata al retail banking, ma si sono poi estesi a domini quali la gestione patrimoniale e i fondi previdenziali, nonché gli account di frequent flyer.

Il vantaggio per i consumatori è la possibilità di visualizzare le loro situazioni finanziarie e tutte le transazioni in una singola vista, indipendentemente dall’istituto presso cui sono detenuti gli account o i prestiti.  Si tratta di un servizio piuttosto efficace, soprattutto per gli utenti che effettuano acquisti da diversi fornitori in cerca del miglior prezzo e non particolarmente vincolati a una singola banca.  Tuttavia, è qui che entrano in gioco le clausole scritte in piccolo.  I tipici termini e condizioni per questi servizi sono molto vantaggiosi per l’aggregatore in quanto comprendono disposizioni per cui quest’ultimo può utilizzare, vendere, concedere in licenza, distribuire e divulgare a terze parti le informazioni aggregate ottenute o i dati condivisi, il tutto a rischio del consumatore.

Sebbene gli aggregatori di account siano in genere molto attenti alle problematiche di sicurezza, sono comunque potenziali risorse e obiettivi straordinari per gli attacker informatici. L’account di aggregazione di un consumatore contiene i dati finanziari completi dell’utente. Se stai pianificando di rubare l’identità di un utente, i servizi di aggregazione sono un ottimo punto di partenza poiché forniscono un’ampia gamma di informazioni, ad esempio i soggetti coinvolti nelle interazioni bancarie della vittima e la quantità di denaro di cui è in possesso.

Dopo aver compromesso le credenziali di online banking (ad esempio tramite phishing o malware), gli attacker devono portare a termine due operazioni: la convalida e la definizione di priorità. La convalida verifica che le credenziali e le password di login siano ancora attive.  La definizione delle priorità è principalmente determinata dai fondi disponibili nei conti compromessi (per massimizzare il ROI).

Un servizio di aggregazione di account offre un meccanismo gratuito ed estremamente efficace per raggiungere questi due obiettivi. Questa è infatti una tecnica utilizzata spesso dagli attacker. L’ulteriore vantaggio è che l’aggregatore garantisce l’anonimato poiché viene utilizzato come un proxy.

Come ridurre le perdite dovute alle frodi

È a questo punto che la situazione diventa un po’ complicata. Facciamo un esempio ipotetico per comprendere le possibili implicazioni.  Immaginiamo che un sito web di aggregazione sia stato compromesso e che gli attacker abbiano ottenuto migliaia di credenziali di online banking.  Gli attacker utilizzano le credenziali ottenute per rubare milioni di euro in un elevato numero di banche.

La domanda è: chi sarà fondamentalmente responsabile per le perdite dovute alle frodi?

(a) Le banche

(b) Il sito aggregatore di terze parti

(c) Gli utenti che hanno subito il furto di dati

Se la tua risposta è (c), è tecnicamente corretta.

Condividendo le credenziali di login con terze parti, il soggetto interessato viola effettivamente i suoi obblighi di sicurezza ed è tecnicamente responsabile di eventuali perdite dovute a frodi causate dalla divulgazione. Questa sentenza è regolata dai termini e le condizioni dei normali servizi bancari e da policy normative, come ad esempio il codice del servizio ePayments australiano.

In realtà, considerati la potenziale perdita di clienti insoddisfatti e i rischi per la reputazione associati, la maggior parte delle banche probabilmente preferirebbe effettuare il trasferimento delle responsabilità e rimborsare i clienti.

Analogamente a molti rischi informatici, la domanda principale riguarda le modalità di gestione di situazioni simili.  Personalmente, ritengo che è possibile formulare una soluzione basata su due criteri:

Visibilità

Per comprendere il rischio, dobbiamo essere in grado di rispondere a una semplice domanda: quanti clienti utilizzano effettivamente servizi di aggregazione di terze parti? È possibile fornire una risposta a questa domanda analizzando il comportamento dei visitatori del sito web e i metadati associati.

In base alla mia esperienza di collaborazione con banche nell’area Asia Pacifico, la risposta sta solitamente tra le centinaia e le decine di migliaia di clienti.

Azione

Una volta stabilita la scala, il primo passaggio logico consiste nel registrare il rischio all’interno del framework di registro dei rischi appropriato. Questo processo consentirà al business di valutare la severity del rischio confrontandola con la probabilità e il potenziale impatto (ad esempio la perdita dovuta alla frode, l’esposizione dei media, i danni al marchio, il prezzo delle azioni).

Da qui, è necessario prendere in considerazione i controlli pragmatici per ridurre il rischio a un livello accettabile per il business. La tipologia di controlli può comprendere le seguenti azioni:

  • Segmentazione dei clienti,  concentrando i controlli e il monitoraggio del rischio sui clienti che utilizzano servizi di aggregazione di terze parti.
  • Utilizzo di un’API sicura di sola lettura per gli aggregatori, per evitare lo screen scraping.
  • Blocco completo dell’attività dell’aggregatore.
  • È possibile contattare in modo proattivo i clienti che utilizzano servizi di aggregazione per illustrare i rischi e le possibili implicazioni.
  • Implementazione di una piattaforma di autenticazione basata sul rischio che richieda un secondo fattore per gli eventi di login a rischio più elevato. Considerata la natura dinamica dell’autenticazione, ciò richiamerà una modifica del processo di business per gli aggregatori.

Indipendentemente dai controlli, tutte le aziende interessate da attività simili a quelle degli aggregatori dovrebbero sviluppare un piano di emergenza per gestire i rischi. Il piano può consistere in un semplice blocco temporaneo delle attività degli account a rischio combinato con un piano di comunicazioni al cliente. Ciò che importa è che sia in vigore una strategia.

Sebbene i servizi innovativi (ad esempio gli aggregatori) introducano nuovi rischi informatici, nulla impedisce di gestire tali rischi in modo efficace. Le soluzioni di monitoraggio basate sui dati, combinate con un piano definito e del buon senso, sono la chiave per sfruttare vantaggi simili.

Leave a Reply

Your email address will not be published. Required fields are marked *

No Comments