Blog

Incidenti informatici al primo posto fra i rischi

AllianzriskbarometerIl 9° sondaggio annuale di Allianz Global Corporate & Specialty (AGCS) sui principali rischi aziendali ha avuto una partecipazione record con più di 2.700 esperti provenienti da oltre 100 Paesi.

per la prima volta in assoluto, gli incidenti informatici (39 percento delle risposte) si collocano come il rischio aziendale più importante a livello globale nel nono Allianz Risk Barometer 2020, relegando il principale pericolo perenne Interruzione dell'attività (BI) (37 percento delle risposte) al secondo posto.
La consapevolezza della minaccia informatica è cresciuta rapidamente negli ultimi anni, guidata dalla crescente dipendenza delle aziende dai dati e dai sistemi IT e da una serie di incidenti di alto profilo. Sette anni fa era al 15 ° posto con solo il 6 percento delle risposte.

Per consultare il report "Allianz Risk Barometer 2020" https://www.agcs.allianz.com/news-and-insights/reports/allianz-risk-barometer.html

Consultateci senza impegno per una analisi preventiva dei rischi aziendali, ma siamo a vostra disposizione anche per gestire un breach o un incidente informatico.

BEC Fraud: Man in the mail e CEO Fraud

ManInTheMailStiamo registrando, in ambito aziendale, un incremento delle frodi sui bonifici.
Tecnicamente sono identificate come Man in The Mail e CEO Fraud, in pratica consistono nel reindirizzare bonifici su conti correnti di soggetti compiacenti che rigireranno la cifra ad altri soggetti facendone perdere le tracce in paesi dalla bassa legalità.

Nella frode Man in the mail, il malfattore si frappone fra i due interlocutori sostituendosi ad uno di essi ed intrattenendo rapporti email al fine di ottenere che la vittima effettui uno o più bonifici su conti correnti controllati direttamente o indirettamente dal malfattore.
Per potersi sostituire ad una delle parti, il malfattore o attaccante che si voglia dire, deve conoscere bene la sua vittima: informazioni personali, la conoscenza di un rapporto commerciale o professionale. Queste informazioni possono essere reperite attraverso insiders, un dipendente infedele, ma anche attraverso consultazione di fonti aperte, canali social o aziendali, per rendersi credibile alla sua vittima.
Tutto questo si realizza spesso attraverso, l’accesso abusivo alle caselle di posta elettronica attraverso cui l’intruso, all’insaputa delle parti, può acquisire informazioni utili al suo piano criminoso, nonché modificare il contenuto della corrispondenza.
In alcuni casi si assiste addirittura ad un’intrusione illecita nei dispositivi in uso alla vittima, attraverso malware e phishing, per carpire ogni informazione contenuta al suo interno.
Inseritosi fra i due interlocutori il malfattore riesce sapientemente ad indirizzare bonifici su conti correnti gestiti da lui sulla base del rapporto fiduciario che esiste fra i due reali interlocutori a cui il malfattore si sostituisce.
La vittima, si accorgerà solo a distanza di tempo della truffa subita in quanto l'altra parte dopo un certo tempo lamenterà il mancato ricevimento delle somme attese e quello, a distanza di giorni, settimane e in alcuni casi di mesi, sarà il momento in ci si prenderà coscienza di quanto accaduto.
La frode conosciuta come CEO Fraud, può essere ancora più subdola e semplice da porre in atto. Il malfattore si spaccia per il CEO o altra figura apicale dell'azienda per chiedere di disporre un bonifico per una certa ragione a favore di uno specifico conto corrente che naturalmente è da lui presidiato. per condurre questa frode spesso non è necessario introdursi nelle caselle mail o nei sistemi informatici della vittima, è sufficiente sapere le generalità del CEO che si vuole impersonare, magari ricomporre la sua firma email, e, anche scrivendo da un indirizzo email farlocco, impostare come nome mittente quello del CEO. Infatti spesso le persone si limitano a leggere il nome del mittente e non controllano la mail di provenienza, se una mail arriva dal CEO chiaramente è importante, se viene indirizzata alle persone amministrative con buona probabilità, facendosi trarre in inganno dal nome corretto, verrà eseguita.

Come difendersi da questo tipo di truffe? Innanzitutto è fondamentale adottare comportamenti improntati alla riservatezza per dare la minima visibilità possibile degli affari e del funzionamento dell'azienda, è altresì importante procedere con una certa regolarità al cambio password della mailbox, con password che non siano banali ma che allo stesso tempo non diventino impossibili da ricordare, magri usate una frase di una canzone o di una poesia che vi sono care, sono molto difficili da individuare per un computer, molto facili per voi da ricordare.
Non salvate nel browser le username e password per accedere alle vostre mailbox, se proprio vi è difficile ricordarle imparate a portare sempre con voi un Moleskin che vi portate dietro dove annotate le user e password più importanti.
Tutto questo non è normalmente sufficiente, proviamo a mettere giù qualche punto da osservare con regolarità:
1. Porre attenzione alla mail del mittente, verificando che in nome mittente corrisponda all'indirizzo email conosciuto.
2. Quando rispondete tenete in copia anche un vostro collega o un responsabile: se voi non vi siete accorti di qualcosa di strano magari si ne accorge lui.
3. Chiedete che i documenti di richiesta di bonifici vi arrivino come documenti firmati digitalmente e verificare la correttezza della firma digitale, modificare un documento firmato digitalmente è molto più complesso che modificare un normale documento
4. Usate un altro canale rispetto alla posta, Skype, WhatsApp, telefono, fax etc.. per verificare la richiesta che vi è arrivata per email e la correttezza degli importi e gli IBAN
5. Ponete attenzione all'istituto su cui state pagando, si sistemi corporate e home banking vi dicono in base all'IBAN i dati dell'istituto che riceverà il bonifico, se non è la solita banca usata come quel fornitore alzate la cornetta e verificate.

Purtroppo si tratta di una truffa particolarmente efficace perché fa certamente leva su debolezze tecnologiche ma soprattutto sulla fiducia che si assume ci sia fra gli interlocutori della comunicazione, in ogni caso se doveste essere vittime di una frode di questo tipo Man In the Mail o CEO Fraud risulta fondamentale procedere con tempestività ad acquisire in modalità forense, mediante un consulente informatico forense, i dati di accesso da tutte le piattaforme coinvolte in modo che possano essere usate in giudizio. l'adozione di metodologie scientifiche di digital forensics di acquisizione delle prove, la redazione di una perizia informatica che a partire dai dati di accesso spiega come si è sviluppata la frode, permettono di fornire in sede giudiziaria, ma anche nel confronto con la banca, un quadro probatorio fondato su elementi oggettivi e verificabili.

Sim SWAP: come ti vuoto l'home banking

sim swap frodeE'la truffa del momento con cui oltre a rubarti l'identità di svuotano il conto corrente, vediamo in cosa consiste.   L'attacco SIM SWAP è conosciuto fin dal 2016, ed inizia  con l'ottenere una SIM duplicato della vittima.

Cosa ci facciamo con una SIM? tutti i sistemi di autenticazione a 2 fattori (2FA), da Facebook, Instagram, Linkedin, fino a G-Mail usano il cellulare come sistema di verifica dell'identità del soggetto. Questo significa che se dimenticate la password di Facebook, di G-Mail, o dello SPID potete richiedere il recupero o il reset della password dal  sito, Facebook ad esempio, mediante una procedura che vi farà arrivare un SMS con le istruzioni per il recupero o il reset. Queste informazioni arriveranno solo sulla SIM duplicata, non su quella della vittima che sarà sconnessa dalla rete e quindi non avrà alcun avvisaglia.

Chi dovesse entrare in possesso di un duplicato della vostra SIM avrebbe certamente la possibilità di accedere a tutte le vostre identità digitali, gli basterà conoscere il vostro account per ottenere il reset/recupero password mediante il numero cellulare per, impersonare a pieno titolo le vostre identità digitali, e magari cambiando password vi impedisce pure di rientrare a gestire Facebook, Instagram, SPID, o G-Mail.

Lo scenario non è certo di più sereni ma questo cosa c'entra con il rischio di avere l'Homebanking svuotato? e come mai è possibile visto che ormai tutte le banche hanno le App e comunicano quasi essenzialmente con quelle??? A dire il vero mandano anche gli SMS ma costa 15c ognuno... mentre il pop-up dell'App è gratuito, quindi tutti preferiscono usare l'App.
Dimenticavo, una volta le banche avevano i Token.....solo ultimamente hanno sostituito/obbligato tutti a passare dal Token all'App.

Ritorniamo alla nostra SIM SWAP, iniziamo col dire che i dati di connessione alla banca possono essere rastrellati mediante malware creati ad hoc  per una o più banche,  ma come abbiamo visto prima conoscendo il vostro account  è possibile accedere   ai vostri account Google, Apple, Facebook e recuperare da questi i vostri dati bancari, etc.. con la tecnica prima descritta, il malfattore ha una visibilità completa di tutto quello che avete fatto: cronologia navigazione, preferiti, etc.. gli sarà quindi sufficiente installare l'App della vostra banca, e censire un nuovo dispositivo., il suo cellulare con il duplicato della vostra SIM, mediante l'SMS che la banca manderà al numero del titolare del conto per verificare che sia il legittimo attivatore di un nuovo dispositivo.

Messaggio arrivato e .... bingo! il malfattore ha censito il suo cellulare suol vostro Homebanking e quindi ora può accedere, come fosse voi o un vostro familiare, al vostro conto, che naturalmente provvederà a svuotare in 2,3, 4 bonifici per non incappare nei controlli antiriciclaggio. Naturalmente bonifici diretti verso paesi con una legislazione "compiacente" al suo obiettivo.. Non conosco la legge Spagnola, ma certamente mi capita di riscontrare come questi bonifici siano tutti diretti in Spagna... 

Naturalmente tutto questo succede nel tardo pomeriggio, magari di un venerdì o di un ponte, in modo che la vostra SIM sia spenta, attivata la copia del malfattore. Inoltre dal momento che ha censito come legittimo il suo dispositivo voi non riceverete alcuna notifica delle operazioni....pensate, addirittura la banca chiede al malfattore il PIN per autorizzare i bonifici.... , ma è proprio possibile che non si sia accorta di niente???

In tutto questo meccanismo, ci cono delle gravi responsabilità, a partire dal gestore telefonico che spesso con troppa facilità fornisce un duplicato della SIM, ma anche da parte della banca, che si fida di un SMS per censire un nuovo dispositivo e non attua alcun controllo antifrode: basterebbe usare le funzioni di geo-localizzazione e fare un profiling del tipo di operazioni svolte per capire che i bonifici disposti con buona probabilità non sono "legittimi"

Ma c'è modo di incastrare il "ladro"? Direi in generale si. Infatti tutto le azioni che il malfattore ha messo in atto lasciano tracce indelebili sui sistemi a cui si connette. Acquisendo i dati di accesso alle varie piattaforme, e correlandole fra loro, sarà possibile individuare il malfattore e documentare la frode fatta ai vostri danni.

Se è pur vero che il malfattore lascia tante tracce è anche vero che lo fa su sistemi di vari gestori, che hanno legislazioni anche diverse dalla nostra, e quindi potrebbero tenere i dati di accesso per poco tempo. E' fondamentale in questi casi procedere con tempestività ad acquisire in modalità forense, mediante un consulente informatico forense, i dati di accesso da tutte le piattaforme contattate in modo che possano essere usate in giudizio. l'adozione di metodologie scientifiche di digital forensics di acquisizione delle prove, la redazione di una perizia informatica che a partire dai dati di accesso spiega come si è sviluppata la truffa, permettono di fornire in sede giudiziaria, ma anche nel confronto con la banca, un quadro probatorio fondato su elementi oggettivi e verificabili.

 

 

© Copyright Studio Fiorenzi P.IVA 06170660481 Via Daniele Manin, 50 Sesto Fiorentino

Questo sito utilizza i cookie per offrire una migliore esperienza di navigazione. Cliccando OK puoi continuare la navigazione e questo messaggio non ti verrà più mostrato. Se invece vuoi disabilitare i cookie puoi farlo dal tuo browser. Per maggiori informazioni puoi accedere alla nostra cookie policy.