L’Autorità Monetaria di Singapore (MAS), la banca centrale del Paese, ha annunciato che nei prossimi tre mesi i principali istituti bancari elimineranno progressivamente le One-Time Password (OTP) per il login, sostituendole con token digitali. Questa misura è volta a proteggere i consumatori dai crescenti tentativi di phishing.
“I clienti che hanno attivato i token digitali sui loro dispositivi mobili dovranno usarli per il login via browser o sull’applicazione”, ha dichiarato il MAS. “Il token digitale autenticherà il login senza bisogno di utilizzare l’OTP, che può essere sottratto dagli scammer o indotto con tecniche di social engineering.”
L’OTP, introdotto all’inizio degli anni 2000, era inizialmente efficace nel proteggere gli utenti dai tentativi di phishing. Tuttavia, con l’evoluzione delle minacce cibernetiche e delle tattiche di social engineering, questo metodo è diventato vulnerabile. Gli scammer possono facilmente ottenere gli OTP delle vittime, ad esempio tramite bot che inducono gli utenti a rivelare il codice ricevuto.
Uno dei metodi più diffusi vede gli attaccanti ottenere le credenziali delle vittime, accedere all’account del servizio e provocare l’invio dell’OTP all’utente. Successivamente, il bot chiama l’utente e, tramite un messaggio preregistrato, richiede di digitare il codice ricevuto, spacciandosi per il servizio legittimo. Se l’utente inserisce l’OTP, questo viene inviato ai cybercriminali che possono così accedere all’account.
L’introduzione del token digitale renderà più difficile per i cybercriminali accedere agli account bancari, poiché richiederà un’autorizzazione esplicita tramite smartphone per approvare l’accesso.
“Questa misura offre ai consumatori una protezione aggiuntiva contro gli accessi non autorizzati ai loro account bancari. Sebbene possano causare qualche inconveniente, queste misure sono necessarie per prevenire le frodi e proteggere i consumatori”, ha affermato Ong-Ang Ai Boon, direttore dell’Association of Banks di Singapore.
Il processo di eliminazione dell’OTP è già iniziato e si concluderà entro la fine di settembre. Singapore e tutto il continente asiatico sono tra le principali vittime delle campagne di phishing, e il MAS ha ritenuto necessario adottare misure protettive per rafforzare le difese, educando i cittadini sulle migliori pratiche di sicurezza.
La banca centrale di Singapore raccomanda vivamente ai clienti che non hanno attivato il token digitale di farlo il prima possibile per ridurre il rischio di furto dell’OTP e il conseguente accesso non autorizzato all’account.
