Che cos'è la verifica delle transazioni?
La verifica delle transazioni protegge i consumatori dalle frodi garantendo che non sia stata apportata alcuna modifica a una transazione monetaria durante l'elaborazione. Una misura di sicurezza basata su Internet, la verifica delle transazioni è utile contro gli attacchi Man-in-the-Middle. In questi attacchi, un criminale informatico crea un sito Web falso che intercetta efficacemente le comunicazioni tra un consumatore e la sua banca, rivenditore o società di carte di credito. Il criminale è quindi in grado di ottenere le informazioni personali del consumatore e di utilizzarle. In un attacco Man-in-the-Middle, né il consumatore né il rivenditore sanno che una parte esterna sta spiando la conversazione.
Un esempio di una potente tecnologia Man-in-the-Middle è stato il malware Silent Banker che ha infettato oltre 400 siti Web bancari in tutto il mondo nel 2008. In questo caso, il malware era un rootkit che era stato implementato prima che il software di protezione antivirus del browser prendesse il via. Una volta che il browser ignaro ha inserito le informazioni di autenticazione nel sito Web della banca, il malware Silent Banker si è attivato, cambiando la destinazione della transazione sul conto bancario del criminale.
Molti siti Web e programmi software mobili hanno implementato la tecnologia fuori banda per la verifica delle transazioni. Presumibilmente questo metodo funziona perché porta il consumatore fuori dal browser in cui il criminale avrebbe intercettato. Il consumatore verificherebbe la transazione tramite una telefonata o un'e-mail. Sfortunatamente, l'autenticazione fuori banda è ancora suscettibile agli attacchi Man-in-the-Middle, poiché tali attacchi utilizzano siti Web contraffatti. Pertanto, il consumatore non vedrebbe necessariamente che c'era qualcosa di sbagliato nel sito prima di fornire l'autenticazione. Potrebbe effettivamente chiamare il criminale e dargli le sue informazioni per telefono.
Altri siti Web hanno utilizzato codici una tantum per la verifica delle transazioni. Teoricamente, solo il consumatore dovrebbe conoscere il codice, quindi quando inserisce quel codice nel sito web della banca, la banca ha la certezza che il consumatore è chi dice di essere. Se il sistema operativo del consumatore è stato rilevato da un programma malware; tuttavia, non è l'unica persona che ha accesso a quel codice.
Sebbene non sia possibile proteggere completamente un consumatore dalle frodi online mediante la verifica delle transazioni, esistono alcuni suggerimenti che possono ridurre la probabilità che un consumatore cada in una trappola Man-in-the-Middle. Innanzitutto, il consumatore deve fare attenzione a qualsiasi e-mail o messaggio di testo che gli viene inviato da una fonte sconosciuta. Tali comunicazioni dovrebbero essere immediatamente cancellate e non dovrebbero essere aperti collegamenti all'interno di tali e-mail o messaggi di testo. In secondo luogo, se il sito web cambia improvvisamente aspetto, fai attenzione a usarlo. Potrebbe essere un sito di richiamo di un uomo in mezzo. Se l'attività sospetta continua, chiamare l'organizzazione che gestisce il sito Web. Infine, tutti gli utenti di computer dovrebbero mantenere l'attuale protezione da virus e spyware e un firewall per ridurre al minimo la probabilità che il loro computer venga attaccato con successo.