Dopo alcuni anni, grazie ad un tweet dell’hacker finlandese Viljami Kuosmanen, si è tornato a parlare di “phishing” nei form, cioè di quella particolare tecnica truffaldina che carpisce i dati sensibili dell’utente (ad es., il numero della sua carta di credito) all’insaputa dello stesso, attraverso la funzionalità di autocompletamento dei form da parte dei web browser.
In pratica, questo tipo di phishing funziona così: al momento di compilare un form, il web browser chiede all’utente se desidera che i campi del form stesso siano automaticamente compilati con i dati dell’utente che il web browser ha già salvati in memoria. E, fin qui, tutto bene: si tratta di una funzionalità molto comoda.
Molto meno comodo, invece, è il fatto che all’utente possano essere intenzionalmente mostrati solo alcuni campi del form (ad es., nome ed email), mentre altri campi possono essere tenuti nascosti (ad es., numero carta di credito): questi ultimi campi, sebbene nascosti, sono comunque auto-compilati ed inviati al server, all’insaputa dell’utente (che crede di aver inviato solo i dati dei campi visibili): insomma, un “phishing”a tutti gli effetti.
Analizzando il codice dimostrativo messo a disposizione dell’hacker finlandese (nella specie sul web browser Chrome), e magari integrandolo a piacimento con gli altri possibili valori dell’attributo HTML autocomplete
(ad es., il tipo di carta di credito e non solo il numero), si può osservare che:
1) i campi “fraudolenti” del form sono nascosti all’utente semplicemente perché “visualizzati” al di fuori dello schermo, e precisamente 500 pixel alla sinistra del suo bordo sinistro: tale metodo di occultamento risulta molto efficace, specie rispetto ad altri metodi di mascheramento ad esempio basati sull’attributo HTML hidden
oppure su giochi di colore (campo fraudolento dello stesso colore dello sfondo della pagina), che funzionerebbero poco e male;
2) come emerge da questo avviso, l’autocompletamento del numero della carta di credito non funziona su siti web privi di una connessione sicura https, che oggi è semplicissimo procurarsi, anche gratuitamente, e che pertanto non dà di per sè alcuna garanzia di affidabilità del sito, ma in certi casi -come appunto questo- dovrebbe anzi invitare l’utente ad usare ancor più prudenza;
3) l’autocompletamento del campo della carta di credito (ma quanto si sta per dire vale per tutti i campi) non funziona se il web browser abbia registrata più di una carta: in tale ipotesi, l’autocompletamento richiede infatti all’utente di scegliere quale carta utilizzare, e la scelta stessa presuppone quindi un suo intervento manuale, che tuttavia nella specie non può esservi (perché il campo è nascosto) sicché il campo in parola non viene (auto-)compilato ma viene inviato vuoto al server;
4) l’autompletamento dei codici CVV e CVC ossia di quel codice di sicurezza di 3 cifre scritto sul retro della carta di credito, non mi risulta funzionare.
In conclusione, se da un lato è probabilmente eccessivo disattivare la comoda funzionalità di autocompletamento, è invece senz’altro opportuno usarla con grande cautela cioè soltanto su siti web di cui abbiamo piena fiducia, perché c’è altrimenti il rischio di trasmettere dati ulteriori rispetto a quelli che si crede di trasmettere, e non mi riferisco solo al numero della carta di credito, la cui sottrazione probabilmente non è sufficiente a farci prosciugare il conto, per via del codice di sicurezza di 3 cifre (che non viene trasmesso) e/o per l’ulteriore token dispositivo ormai comunemente adottato dalle banche e di solito inviato al cliente tramite sms con il codice dispositivo da indicare al momento della transazione.
0 Comment