Tecnologia
July 26 2017
La conferma è arrivata nelle ultime ore: Unicredit è stata hackerata per ben due volte in meno di un anno: prima tra settembre e ottobre del 2016 e poi tra giugno e luglio del 2017.
Nonostante l’istituto abbia varato a dicembre il piano industriale Transform 2019, nel quale ha investito 2,3 miliardi di euro per rafforzare le difese informatiche, le misure di sicurezza non sono riuscite a contrastare l’ultimo attacco, che risale solo a qualche settimana fa.
La colpa del breach sembra essere non delle strutture di Unicredit ma di quelle di un fornitore nazionale. Come si legge sul comunicato ufficialel’accesso è avvenuto attraverso un partner commerciale esterno italiano. La scoperta è avvenuta quando i tecnici del reparto IT della banca si sono accorti di una periodica attività di prelevamento e copia dei dati da parte degli account del partner abilitati all’accesso. Con tutta probabilità, i profili usati per le procedure di trasmissione erano stati hackerati in precedenza proprio a tale scopo.
In totale sono circa 400 mila i clienti del gruppo interessati dalle intrusioni cibernetiche di cui siamo venuti a conoscenza solo oggi. Si tratta principalmente di persone che hanno avviato con la banca procedure di finanziamento e prestiti personali. Gli hacker hanno copiato i dati sensibili (nome, cognome, indirizzo di residenza, codice fiscale, email, numero di cellulare) e quelli bancari (iban) degli utenti ma non le informazioni utili ad accedere agli account.
Anche in possesso di username e password, i criminali non potrebbero facilmente autenticarsi ai conti personali visto che, come accade oramai per la maggior parte delle banche, codici e pin non sono memorizzati sui server interni ma solo a bordo dei dispositivi mobili e computer dei navigatori.
In particolar modo Unicredit richiede un codice di adesione e un pin per entrare nel servizio. In mancanza di questi si può richiedere una nuova stringa ma solo se si è possessori del numero di cellulare registrato in fase di prima impostazione e del token, il lettorino che genera password usa e getta temporanee. Insomma, non c’è da preoccuparsi per operazioni e trasferimenti di denaro effettuate in remoto da terzi.
La conseguenza diretta per i consumatori non è dunque la perdita di somme ma la possibilità di essere ingannati in altro modo. Avendo ottenuto le generalità di ognuno dei 400 mila profili rubati, gli hacker potrebbero mettere in moto una campagna di phishing, o peggio di spear-phishing, per aggirare e, questa volta si, svuotare i borsellini digitali. In che modo?
Avete presente le mail fasulle in cui una banca, di cui magari non siete nemmeno cliente, vi chiede di verificare le recenti operazioni cliccando qua e la su link inseriti nel testo? Bene, sappiamo che la finalità è quella di spingere i navigatori su siti web che in realtà contengono virus o rappresentano uno specchietto per le allodole con lo scopo di scovare i dati di accesso ai servizi di home banking.
Tutto molto semplice: costruisco una pagina fasulla che ricalca fedelmente quella della banca, al cui interno piazzo un box di autenticazione. Una volta effettuato l’accesso, l’utente sta in realtà regalando la chiave della cassaforte agli hacker. Questo non vuol dire perdere sicuramente tutto quello che si ha perché anche per le transazioni esistono oramai codici volatili da ricevere sul cellulare, ma è comunque un primo passo intrusivo, un tentativo portato a buon fine.
Prima di tutto non aprire allegati, link e rispondere a email inviate da indirizzi associabili a Unicredit. È la stessa banca ad avvertire che per ragioni di sicurezza non verranno utilizzate la posta elettronica o le telefonate dirette. Per risolvere qualsiasi dubbio c’è il numero verde, 800 323 285, dedicato proprio a quanto successo.
Qualcosa però per evitare problemi trasversali si può fare. Ad esempio cambiare la password di accesso alla posta elettronica, magari attivando la procedura di doppia autenticazione. Come spieghiamo qui si tratta di un metodo simile al token di Unicredit, con il quale il sistema chiede di inserire un codice inviato via sms prima di proseguire alla lettura delle email. La stessa protezione esiste oggi per Facebook, WhatsApp e tante altre piattaforme.