E sono già due i siti bancari che ho constatato essere soggetti ad attacco di DNS poisoning.
In pratica la pagina di login viene ospitata su una normale pagina http invece di https per poi eseguire il 'POST' su https. Il sito "tecnico" della banca ovviamente rassicura che l'operazione è sicura perch'è il POST è su https.
Questa operazione è invece profondamente sbagliata per almeno due motivi:
- l'utente si deve fidare che la pagina web venga rediretta su https. Questo insegna all'utente che si possono inserire dati sensibili anche su pagine non protette il che è tragicamente sbagliato.
- la pagina dove l'utente sta immettendo i dati di login/password può non provenire dal sito della banca, visto che non c'è https a garantirlo.
In sostanza l'hacker, grazie al DNS poisoning, fa si che l'utente carichi dal sito dell'hacker un clone della home page della banca quando si collega a miabanca.com. L'utente, ormai abituato a mettere login e password in una pagina non protetta, clicca 'invia' spedendo i dati riservati all'hacker. Di qui il resto è intuibile. L'utente viene rediretto alla vera pagina della banca in modo da non insospettire ma ormai le credenziali sono perse.
Da ricordarsi che per contratto gli utenti sono responsabili delle proprie credenziali e quindi la banca riuscirebbe, nonostante il pessimo lavoro sul sito web, a cavarsela davanti ad un giudice.
Ma le associazioni interbancarie dormono o cosa? L'usabilità e la sicurezza dei siti bancari devono diventare soggetti a controlli e a severe pene per chi non li implementa. E non parliamo del phishing....