I siti web per l’home banking sono molto meno sicuri del previsto. A rivelarlo è una ricerca avviata nel 2006 da alcuni ricercatori della University of Michigan, che hanno analizzato gli spazi online di 214 banche, scoprendo numerose falle di sicurezza ed errori di progettazione potenzialmente pericolosi per la privacy e la protezione dei dati di accesso dei clienti. Il 75% dei siti web ha, infatti, evidenziato la presenza di almeno una falla in grado di mettere seriamente a rischio la sicurezza degli utenti nel corso dello svolgimento delle più comuni operazioni di home banking come consultare i dati del proprio conto corrente, emettere e ricevere bonifici.
Lo studio è stato condotto da Atul Prakash, professore del Dipartimento di Electrical Engineering e Computer Science, in collaborazione con un paio di dottorandi dell’università, e sarà ufficialmente presentato nel corso della prossima settimana. La ricerca è nata quasi per caso, dopo un’esperienza poco positiva con l’home banking subita da Prakash, che nel 2006 decise di iniziare a investigare le condizioni di sicurezza dei siti web delle principali banche online. Lo studio ha così portato alla luce i principali problemi che affliggono la quasi totalità degli spazi in Rete per la gestione dei propri conti in banca, malfunzionamenti che spesso non possono essere risolti con una semplice patch, ma solamente con una radicale riprogettazione dei siti.
Uno dei problemi maggiormente riscontrati dalla ricerca interessa il mancato utilizzo delle tecnologie per la criptazione dei dati nel corso delle fasi di login. I certificati SSL (Secure Sockets Layer) non sono utilizzati nelle pagine di login dal 47% dei siti web delle banche, una mancanza che potrebbe consentire a un pirata informatico di sottrarre facilmente le informazioni di accesso degli utenti, permettendogli di avere il pieno controllo sul conto corrente online. Lo scarso utilizzo di SSL si rivela pericoloso non solo nelle pagine per effettuare il login e compiere le operazioni di home banking, ma anche nelle sezioni dei siti dedicate all’assistenza ai clienti.
Per fornire informazioni, servizi aggiuntivi e dettagli di vario genere sulle opportunità offerte dalla gestione online del proprio conto, quasi tutte le istituzioni bancarie offrono ai loro utenti servizi di assistenza telefonica e via email. Nel 55% dei casi, i dati per poter usufruire di tali funzionalità sono generalmente contenuti in pagine non protette e particolarmente vulnerabili.
Secondo i ricercatori della University of Michigan, infatti, un utente malintenzionato potrebbe sfruttare il basso livello di protezione delle pagine per modificarne il contenuto, inserendo numeri telefonici e indirizzi email fasulli, attraverso i quali sottrarre informazioni preziose agli utenti e i dati di accesso ai loro conti bancari. Anche in questo caso, un utilizzo dei certificati SSL potrebbe consentire un maggior livello di sicurezza non solo per le banche, ma anche per i loro clienti.
La ricerca ha, inoltre, evidenziato come il 30% dei siti web analizzati rimandino ad altri domini per effettuare il login e accedere al proprio conto. Tale pratica spingerebbe gli utenti a sottovalutare i rischi derivanti da un dirottamento malevolo da parte dei pirati informatici, generalmente teso a proporre un sito del tutto simile all’originale, ma concepito unicamente con lo scopo di sottrarre i dati di accesso dei clienti della banca. Per risolvere il problema, gli istituti di credito dovrebbero ospitare i servizi di home banking sui medesimi server su cui sono ospitati i loro siti istituzionali, abituando così gli utenti a rimanere sul medesimo dominio, senza il rischio di strani e pericolosi dirottamenti.
Infine, lo studio ha messo in evidenza come le politiche attuate dalle banche per la gestione dei dati di accesso siano nel 28% estremamente carente sul lato della sicurezza. La mancanza di regole sufficientemente rigide, spinge spesso gli utenti a elaborare password e ID molto semplici e facilmente ricordabili, ma anche maggiormente esposte ai problemi di sicurezza. Anche in questo caso, una maggiore attenzione verso dettagli così importanti da parte delle banche potrebbe scongiurare il rischio di brutte e spiacevoli sorprese per i loro utenti. Sorprese spesso pagate a carissimo prezzo.