Nuove sofisticate forme di phishing

realtebo · 14-07-2006, 13.36.07

I password-token forniti dagli istituti di credito per i servizi di e-banking salvano dai phisher? Non sempre: girano le prime aggressioni che neutralizzano questo fattore di sicurezza aggiuntiva

Los Angeles (USA) - Gli esperti di Secure Science Corporation hanno descritto nelle scorse ore un nuovo tipo di attacco utilizzato nelle operazioni di "phishing", le truffe telematiche che solitamente colpiscono gli utenti dei servizi di e-banking.

L'attacco in cui si sono imbattuti i ricercatori è studiato per neutralizzare la sicurezza aggiuntiva fornita dai password-token, i dispositivi prodotti da RSA ed altre imprese che, sincronizzati coi server centrali della banca, forniscono una nuova password ad intervalli regolari.

Alcuni phisher sono infatti riusciti a creare pagine-trappola dove gli utenti ignari vengono spinti ad inserire tutti i dati necessari all'autenticazione bancaria: numero di conto, password personale e codice numerico generato dal token. Attraverso un sofisticato script, i phisher si connettono in tempo reale alla banca della vittima e sfruttano il codice generato dal token prima che diventi inefficace. In questa finestra temporale, che può durare anche solo pochi secondi, i truffatori sarebbero in grado di trasferire fondi o effettuare qualsiasi altro tipo di operazione bancaria.

"Questo tipo di attacchi può essere utilizzato per rendere inefficace qualsiasi tipo di sistema di sicurezza a doppia chiave", dicono gli esperti di F-Secure. I tecnici di Symantec sono più ottimisti: "È molto difficile che questo tipo di attacchi sofisticati, almeno per il momento, possano diventare estremamente diffusi". C'è solo una banca che finora è stata attaccata in questo modo e si tratta dell'americana Citibank. Quando gli attacchi "in tempo reale" prenderanno piede, avverte però Zulfikar Ramzan di Symantec, "i password-token diventeranno quasi inutili".

realtebo · 14-07-2006, 13.37.17

AGGIUNGO UN FLAME DEL TUTTO PERSONALE:

il moderatore che circa 15gg mi ha cancellato un post 'per motivi di sicurezza' dove esponevo questa tecnica come funzionale per attacchi alle banche, adducendo motivi di sicurezza e altro, ora sappia che avvertire non è minacciare

14-07-2006, 13.36.07	#1
realtebo Forum supporter Registrato: 11-07-2003 Messaggi: 1.843	Nuove sofisticate forme di phishing I password-token forniti dagli istituti di credito per i servizi di e-banking salvano dai phisher? Non sempre: girano le prime aggressioni che neutralizzano questo fattore di sicurezza aggiuntiva Los Angeles (USA) - Gli esperti di Secure Science Corporation hanno descritto nelle scorse ore un nuovo tipo di attacco utilizzato nelle operazioni di "phishing", le truffe telematiche che solitamente colpiscono gli utenti dei servizi di e-banking. L'attacco in cui si sono imbattuti i ricercatori è studiato per neutralizzare la sicurezza aggiuntiva fornita dai password-token, i dispositivi prodotti da RSA ed altre imprese che, sincronizzati coi server centrali della banca, forniscono una nuova password ad intervalli regolari. Alcuni phisher sono infatti riusciti a creare pagine-trappola dove gli utenti ignari vengono spinti ad inserire tutti i dati necessari all'autenticazione bancaria: numero di conto, password personale e codice numerico generato dal token. Attraverso un sofisticato script, i phisher si connettono in tempo reale alla banca della vittima e sfruttano il codice generato dal token prima che diventi inefficace. In questa finestra temporale, che può durare anche solo pochi secondi, i truffatori sarebbero in grado di trasferire fondi o effettuare qualsiasi altro tipo di operazione bancaria. "Questo tipo di attacchi può essere utilizzato per rendere inefficace qualsiasi tipo di sistema di sicurezza a doppia chiave", dicono gli esperti di F-Secure. I tecnici di Symantec sono più ottimisti: "È molto difficile che questo tipo di attacchi sofisticati, almeno per il momento, possano diventare estremamente diffusi". C'è solo una banca che finora è stata attaccata in questo modo e si tratta dell'americana Citibank. Quando gli attacchi "in tempo reale" prenderanno piede, avverte però Zulfikar Ramzan di Symantec, "i password-token diventeranno quasi inutili". ___________________________________ Realtebo

14-07-2006, 13.37.17	#2
realtebo Forum supporter Registrato: 11-07-2003 Messaggi: 1.843	AGGIUNGO UN FLAME DEL TUTTO PERSONALE: il moderatore che circa 15gg mi ha cancellato un post 'per motivi di sicurezza' dove esponevo questa tecnica come funzionale per attacchi alle banche, adducendo motivi di sicurezza e altro, ora sappia che avvertire non è minacciare ___________________________________ Realtebo

Discussioni simili
Discussione	Autore discussione	Forum	Risposte	Ultimo messaggio
Nuove tecnologie preoccupano	Robbi	Archivio News Web	24	07-08-2007 02.19.42
Phishing, nuovi attacchi ai clienti di banche italiane	handyman	Sicurezza&Privacy	1	17-06-2005 13.46.19
Phishing: gli "esperti di sicurezza" reagiscono	Gigi75	Segnalazioni Web	0	11-11-2004 00.59.29
Dopo Libero e SuperEva ecco Tin con nuove regole di posta che penalizzano gli utenti	Brunok	Internet e Reti locali	10	05-06-2004 02.08.13

Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti)

Strumenti discussione
Visualizza versione stampabile Invia questa pagina via e-mail