Publicazioni
Ottieni il tuo neon
Publicazioni security neon mobile banking phishing attack
28. settembre 2019

Ecco come ti proteggiamo dal phishing

Ecco a cosa dovresti prestare attenzione con la tua app di banking e cosa puoi fare tu stesso per tutelarti e per proteggere il tuo denaro. Mettiamo subito in chiaro un aspetto: per riuscire a rubare il denaro dal tuo conto corrente neon, i malviventi hanno bisogno del tuo numero di contratto, del codice di login, del PIN per bonifico e del tuo smartphone con attivazione per l’app. In poche parole, praticamente rubare i tuoi soldi è una mission impossible.


(A proposito: se vuoi sapere cosa sono la garanzia di deposito e l’autenticazione a due fattori, abbiamo preparato delle informazioni per te. E se desideri sapere come ci proteggiamo dagli hacker, qui puoi leggere il nostro resoconto su un penetration test.)


In questo articolo ti spieghiamo cos’è e come funziona il phishing, come operiamo per proteggerti e cosa dovresti fare per goderti la tua quotidianità senza preoccupazioni.

Phishing o hacking?

Un attacco hacker colpisce l’intera banca rubando i dati in grande stile. Un hacker potrebbe anche decidere di autorizzare dei pagamenti, ma fortunatamente questi attacchi colpiscono nel segno molto di rado. Qui potrai scoprire come ci proteggiamo. Un attacco di phishing, al contrario, è molto più comune: in questo caso, l’utente fornisce involontariamente informazioni in prima persona. I truffatori si servono infatti di un trucchetto ben escogitato per risalire ai tuoi dati e accedere al tuo conto.

Ecco come funziona un attacco di phishing

In ogni attacco di phishing, i truffatori devono in primo luogo scoprire l’utente del servizio e poi superare le misure di sicurezza, generalmente l’autenticazione a due fattori.

Creazione di un elenco degli utenti

Per prima cosa i malviventi tentano di creare un elenco dei clienti di una banca servendosi ad esempio di una trappola (cosiddetta «honeypot). Spesso si tratta di informazioni di una banca dati di indirizzi hackerati ad esempio da Facebook o da un esercente.


È possibile anche sfruttare le funzionalità di una community offerte da molte banche. Queste proprietà mostrano quali dei tuoi contatti si servono anch’essi della tua banca. In pochi semplici clic, sei praticamente in grado di richiedere denaro o effettuare bonifici. Attraverso la creazione casuale di numeri di telefono e l’importazione nella rubrica, è possibile generare una lista affidabile di potenziali vittime.


Ecco cosa fa neon:
•    Le tue informazioni non sono visibili così facilmente. neon ti chiede se vuoi autorizzare l’app ad accedere ai tuoi contatti e a renderla loro visibile.
•    Inoltre, stiamo lavorando a una funzione di doppio opt-in da integrare a questa feature, il che significa che ci si rende visibili solo se entrambi gli utenti hanno il reciproco contatto nella rubrica. In parole povere, dovresti includere il truffatore nella lista dei contatti.

Ecco cosa puoi fare: 
•    Controlla nella tua app di banking se è disponibile una proprietà simile e come funziona. Alcune app mostrano il tuo nome senza richiederti un consenso o un rifiuto.

Intercettazione del login del cliente (primo fattore di autenticazione)

Normalmente effettui il login con il tuo numero di contratto o la tua e-mail insieme al tuo codice di login. Dato che non sono privati, il tuo numero di contratto e la tua e-mail sono facili da ottenere, per cui la difficoltà è giungere al tuo codice di login. Ed è qui che inizia il vero phishing. Sotto mentite spoglie, ad esempio millantando una verifica del conto, i truffatori cercano di convincere il cliente a inserire i propri dati su una pagina web fasulla inviandogli un SMS o un’e-mail con il nome della banca come mittente. È possibile falsificare il mittente con grande facilità: nel caso degli SMS, ad esempio, si può impostare il proprio nome per svariati servizi. Il tuo smartphone filtrerà quindi tutti gli SMS con lo stesso mittente e sembrerà che il messaggio arrivi effettivamente dalla tua banca.


Ecco cosa fa neon:
•    Ti invitiamo di continuo a utilizzare un codice di login sicuro. Date di compleanno o simili sono troppo facili da indovinare e rappresentano una ghiotta preda per i truffatori.
•    Dopo tre tentativi di login non andati a buon fine bloccheremo il tuo conto e per riattivarlo ti sottoponiamo a un processo di verifica.
•    Non spediamo alcun SMS, bensì comunichiamo solo attraverso un indirizzo e-mail che termina con @neon-free.ch. Ma si sa, anche questo può essere falsificato, per questo ti sollecitiamo sempre a telefonarci, nel caso tu abbia dei dubbi.
•    Sul sito web non ci sono dei campi dove poter effettuare il login e te lo ricordiamo.

Ecco cosa puoi fare:
•    Inserisci i tuoi dati neon solo nell’app. Non fornirli neppure nell’ambito di promozioni concorrenziali, acquisti di prova o simili, e non inoltrarli mai al telefono.
•    Scegli un codice sicuro e non usare gli stessi codici per altri servizi.

Intercettazione del secondo fattore di autenticazione

Di norma un bonifico nell’app necessita di un codice. Sono frequenti ad esempio liste TAN o SMS-TAN (m-TAN), che rappresentano tuttavia dei metodi ormai obsoleti e semplici da boicottare. Un’app o un lettore di carte aggiuntivi sono sicuri, ma non esattamente user-friendly. La variante più moderna coniuga tutto in un’unica app, che viene attivata specificatamente su uno smartphone al momento dell’apertura del conto. Il cliente sceglie poi un suo codice di bonifico personale che funziona solo su questo dispositivo.


Ecco cosa fa neon: 
•    il secondo fattore di sicurezza è il tuo smartphone, che viene collegato in modo sicuro dal punto di vista tecnico al tuo conto quando lo apri, ovvero all’app. Potrai quindi stabilire un tuo PIN per bonifico che ti consente di autorizzare ogni operazione. Questo PIN funziona solo sul tuo specifico smartphone, per cui a un malfattore non basterebbe conoscere il tuo codice di login e il tuo PIN di bonifico, ma dovrebbe anche rubarti lo smartphone.

Autorizzazione al pagamento con entrambi i fattori

Se il malvivente riesce davvero a scoprire i tuoi dati di login e ad accalappiare i fattori di autenticazione, potrebbe teoricamente trasferire il denaro dal tuo conto. Come già detto, però, neon si difende in quanto il truffatore avrebbe bisogno anche di uno smartphone attivato.


Ecco cosa fa neon: 
•    La nostra banca partner Hypothekarbank Lenzburg verifica manualmente tutti i pagamenti verso l’estero e i bonifici nazionali di notevole entità. In caso di dubbi, ti chiameremo brevemente per accettarci delle tue intenzioni.

Ecco cosa puoi fare:
•    Se noti qualcosa di insolito, segnalacelo immediatamente.

La sicurezza al 100% non esiste, ma noi siamo soddisfatti solo servendoci delle soluzioni migliori e più moderne. E se anche tu fai la tua parte, il rischio di cadere vittima di un tentativo di phishing si riduce notevolmente.

Desideri saperne di più in fatto di sicurezza?
Qui puoi scoprire cos’è l’autenticazione a due fattori e come funziona la garanzia di deposito.
E qui ti raccontiamo della nostra simulazione di un attacco hacker, che abbiamo avviato per assicurarci che anche su questo fronte l’app neon sia una fortezza inespugnabile.

Inviaci un feedback