Alcuni esperti di sicurezza di Gemini Advisory hanno scoperto alcune conversazioni tra hacker sul dark web da cui emergerebbe l’adozione di un insieme di strategie di social engineering e phishing per aggirare le misure di sicurezza 3D Secure (3DS), mettendo quindi potenzialmente a rischio qualsiasi transazione online. Nonostante infatti la versione più recente della tecnologia 3DS sia più affidabile e robusta, il rapporto degli osservatori testimonia che “gli schemi di phishing e ingegneria sociale spesso siano in grado di trascendere gli aggiornamenti tecnici”.
Il protocollo 3DS è un meccanismo di prevenzione delle frodi molto utilizzato, che aggiunge un ulteriore livello di verifica per garantire l’autenticità delle transazioni online basate su pagamenti digitali. Nella sua ultima versione inoltre come detto è ancora più sicuro, perché utilizza oltre cento punti dati chiave, inclusi quelli contestuali pertinenti del commerciante, al fine di convalidare la natura delle transazioni.
Purtroppo però paradossalmente la sua maggior resilienza non lo rende più sicuro, perché appunto gli hacker sembra che agli attacchi frontali abbiano iniziato a preferire tecniche di social engineering e phishing, volte cioè a ottenere dati sensibili come le credenziali d’accesso tramite la manipolazione degli utenti, ad esempio attraverso l’invio di mail che fingono di provenire da soggetti affidabili (banche etc.).
“Gemini Advisory valuta con moderata fiducia che i criminali informatici continueranno probabilmente a fare affidamento sull’ingegneria sociale e sul phishing per aggirare le misure di sicurezza 3DS”, concludono infatti i ricercatori, suggerendo che alla fine la principale linea di protezione spetta sempre agli utenti, che dovranno essere cauti e non cadere preda di uno schema di social engineering ben progettato.