Tra le minacce informatiche più pericolose degli ultimi tempi, una sembra emergere con maggiore preoccupazione: indirizzata agli utenti Android, si chiama NGate ed è stata identificata dal CERT Polska, un team polacco che si occupa di emergenze informatiche.
Il malware è, purtroppo, un ulteriore passo in avanti nell’evoluzione delle tradizionali truffe bancarie, poiché in grado di integrare l’inganno del phishing, con lo sfruttamento della tecnologia NFC presente negli smartphone moderni. Come vedremo, l’attacco può sottrarre denaro direttamente dai conti correnti delle vittime senza che sia necessario impossessarsi fisicamente della carta di debito. NGate agisce infatti in modo più silenzioso e subdolo, raccogliendo informazioni sensibili direttamente dal telefono della vittima e permettendo così ai malintenzionati di prelevare contanti dai bancomat utilizzando i dati rubati.
Segui TuttoAndroid su Google Discover
Offerte Amazon Prime Day, scopri quando!
Iscrivi ad Amazon Prime per poter approfittare delle offerte Prime Day, i primi 30 giorni sono gratis!
Come funziona la tecnologia NFC
Per capire quanto sia pericoloso NGate, bisogna prima di tutto comprendere come funziona la tecnologia NFC nei pagamenti. La tecnologia permette infatti al nostro smartphone di dialogare con i terminali di pagamento quando effettuiamo acquisti utilizzando carte di debito digitali, Apple Pay o Google Pay, in un sistema che è stato appositamente progettato per essere sicuro e conveniente.
In sintesi, quando effettuiamo un pagamento contactless, la nostra carta o il nostro dispositivo genera un codice monouso chiamato OTU (One-Time Use), che può essere utilizzato una sola volta e che dovrebbe teoricamente rappresentare una barriera contro il furto di dati.
Tuttavia, i creatori di NGate hanno scoperto un modo per aggirare questa protezione: una volta che il malware si è insediato nel telefono della vittima, aspetta il momento opportuno per entrare in azione, intercettando proprio i codici temporanei nel breve lasso di tempo in cui sono validi.
Come si arriva al furto di denaro
L’attacco dei criminali informatici inizia dunque con una classica tecnica di phishing, che può arrivare tramite email o messaggio di testo. I truffatori possono ad esempio fingersi la banca della vittima, il fornitore dei servizi Internet o la compagnia telefonica, creando un senso di urgenza attraverso comunicazioni generalmente allarmanti, che richiedono un’azione al malcapitato.
Per esempio, il messaggio potrebbe avvisare di presunte irregolarità sul conto corrente, di un imminente blocco dei servizi o di problemi con la carta di debito. In ogni caso, l’obiettivo è generare abbastanza ansia da indurre la vittima ad agire impulsivamente, senza riflettere in modo più consapevole sulla natura della richiesta.
Quando la vittima abbocca all’esca e segue le istruzioni contenute nel messaggio fraudolento, viene indotta a scaricare un’applicazione che dovrebbe risolvere il problema segnalato. L’app non proviene mai dal Google Play Store ufficiale, ma viene fornita attraverso un link diretto che aggira i controlli di sicurezza del negozio ufficiale. Una volta installata, l’applicazione malevola richiede una serie di permessi che sembrano legittimi nel contesto della presunta verifica bancaria ma che, in realtà, sono l’anticamera per la truffa.
Il maggior danno giunge nel momento in cui l’app chiede all’utente di verificare la propria carta effettuando un’azione di pagamento contactless simulata. È durante questa fase che appare come una normale procedura di autenticazione, infatti, che la vittima inserisce anche il proprio PIN. Ebbene, in quel momento NGate cattura tutti i dati sensibili: il numero della carta di debito, il PIN e il codice monouso temporaneo. Informazioni immediatamente trasmesse ai server controllati dai truffatori, per i loro utilizzi fraudolenti.
L’esecuzione del furto presso i bancomat
In prosecuzione di quanto sopra, condividiamo infatti che nell’istante in cui la vittima sta completando quella che crede essere una verifica di sicurezza sul proprio telefono, il truffatore si trova già posizionato presso un bancomat, dotato di un dispositivo capace di emulare una carta di debito (come uno smartphone, uno smartwatch o un hardware progettato per questo scopo).
Non appena i dati rubati arrivano al complice, il truffatore ha una finestra temporale molto stretta per agire. I codici monouso hanno infatti una validità limitata nel tempo, proprio per prevenire utilizzi fraudolenti. Tuttavia, grazie alla sincronizzazione dell’operazione, il criminale riesce a usare il dispositivo di emulazione per accedere al conto della vittima attraverso il bancomat. E, con il PIN corretto e i dati della carta appena intercettati, può effettuare prelievi fino a svuotare completamente il conto corrente.
Nel frattempo, la vittima non ha alcuna consapevolezza di ciò che sta accadendo. L’applicazione malevola potrebbe infatti mostrare messaggi rassicuranti sulla corretta verifica della carta o sulla risoluzione del problema segnalato inizialmente. Spesso, solo quando controllerà il proprio saldo bancario, magari ore o giorni dopo, la vittima scoprirà che il conto è stato prosciugato, rendendo tardivo ogni intervento.
Come proteggersi da NGate o altre minacce
Per tutelarsi da NGate e altre minacce della stessa categoria, la prevenzione è evidentemente l’arma principale. Proprio per questo motivo gli esperti di sicurezza informatica hanno formulato una serie di raccomandazioni essenziali, che ogni utente Android dovrebbe seguire.
Cominciamo dalla prima e più importante: accertarsi sempre dell’origine delle applicazioni installate sul dispositivo. Non si dovrebbe mai scaricare software da fonti diverse dai negozi ufficiali come il Google Play Store. La propria banca non chiederà mai ai propri clienti di installare applicazioni attraverso link diretti o siti web esterni.
Inoltre, è sempre opportuno mantenere attivo e aggiornato un sistema di protezione anti-malware, un software progettato appositamente per identificare comportamenti sospetti e bloccare applicazioni malevole prima che possano causare danni. Anche se nessun sistema di sicurezza è infallibile, disporre di un primo strato di protezione attivo come questo significa incrementare le probabilità di intercettare minacce come NGate.
Un altro aspetto spesso sottovalutato è la gestione delle comunicazioni finanziarie. Se si riceve una telefonata da qualcuno che sostiene di lavorare per la propria banca, la strategia più sicura consiste nel concludere la chiamata e richiamare direttamente la banca utilizzando il numero presente sulla carta di debito o sui documenti ufficiali dell’istituto di credito.
Meglio ignorare le sollecitazioni non richieste
A questo punto è utile aggiungere un ulteriore consiglio: è sempre meglio ignorare e non rispondere mai a sollecitazioni non richieste, indipendentemente da quanto possano sembrare urgenti. I criminali informatici sfruttano infatti in modo sempre più raffinato il senso di urgenza che spinge le persone ad agire senza riflettere. Pertanto, messaggi che avvisano di conti bloccati, bollette non pagate, problemi con carte di credito o interruzioni imminenti di servizi essenziali, devono essere guardati con particolare sospetto.
Tutti questi alert agiscono attraverso sistemi di manipolazione psicologica piuttosto efficaci: i criminali sanno bene che una persona sufficientemente preoccupata è disposta a seguire istruzioni senza analizzarle criticamente, e magari è portata anche a installare qualsiasi applicazione le venga richiesta pur di risolvere un problema che in realtà non esiste.
Certo, davanti a NGate siamo di fronte a qualcosa di ancora più insidioso. A differenza di un furto di carta di credito fisica, in cui la persona che si accorge rapidamente della scomparsa del proprio portafoglio può intervenire attivamente, in questo caso il telefono continua a funzionare normalmente, lasciando la vittima ignara della truffa fino a quando è troppo tardi. Non ci sono dunque indicatori visibili che qualcosa sia andato storto e l’app malevola potrebbe persino auto-eliminarsi dopo aver completato il suo compito, cancellando le proprie tracce.
Insomma, non è raro che la vittima venga a conoscenza del furto solo quando controlla il saldo del proprio conto, scoprendo transazioni di prelievo che non ha mai autorizzato. A quel punto, il denaro è già stato sottratto e recuperarlo diventa estremamente difficile, anche perché la banca potrebbe ben dimostrare di non avere responsabilità nella condotta.
NGate è dunque un pericoloso esempio di come le minacce informatiche continuino ad evolversi, sfruttando tecnologie sempre più sofisticate e combinando l’ingegneria sociale con attacchi tecnologicamente sempre più complessi. La diffusione di tecnologie come l’NFC e i pagamenti contactless, sebbene abbiano reso le transazioni più comode e generalmente più sicure rispetto ai metodi tradizionali, hanno di fatto aperto nuove possibilità per i criminali informatici. E, davanti a questi pericoli, la cosa migliore da fare rimane sempre ricorrere al proprio buon senso, a una migliore formazione per la sicurezza informatica e all’adozione di strumenti di protezione adeguati.