Un’imperfezione nei protocolli che potrebbe costare caro a molti utenti. Sì, perché a quanto pare basterebbe essere in possesso del codice fiscale di qualcuno per sapere se ad esso sia associata una domanda di prestito presso la banca fiorentina.
Certo, non è possibile entrare direttamente nella pratica e visualizzarne i documenti, perché per quello è necessario operare un ulteriore passaggio: inserire il codice OTP pervenuto al telefono dell’intestatario in forma di SMS.
D’altra parte, anche solo sapere che esiste una domanda a nome di un determinato contribuente può essere una preziosissima fonte di informazione per gli hacker, che possono impiegarla in tentativi di phishing proprio sulla posta elettronica del malcapitato.
Findomestic, basta il codice fiscale per scoprire chi ha richiesto un prestito
Una vulnerabilità non di poco conto quella scoperta da Lorenzo Romani, analista specializzato in Open Source Intelligence, che involontariamente offre un clamoroso assist ai malintenzionati a caccia di denaro dai conti correnti.
Ma in che modo conoscere una richiesta di prestito può essere pericoloso per i cittadini? Di base, il phishing online si basa sull’invio a tappeto (verso qualsiasi utente) di mail allarmanti aventi in oggetto chiusure dei conti o denaro in arrivo, che però non sempre rispecchiano l’interesse dell’utente. Per fare un esempio, qualora un utente abbia un unico conto corrente – ad esempio con Unicredit – e riceva una mail in cui si afferma che il suo conto presso Monte dei Paschi di Siena sta per essere disattivato, sarà più indotto a credere si tratti di una truffa e cestinerà la mail.
Nel momento in cui si sa per certo che un dato utente ha una pratica in corso con un determinato gruppo bancario (in questo caso Findomestic), gli hacker potranno condurre contro l’utente tentativi di phishing molto più mirati – perché riporteranno intestazione Findomestic – anziché provare “a tentoni”, innalzando enormemente le chance di successo della truffa.