sabato, 22 Giugno, 2024
Orizzonti di Sicurezza

Cybertruffe: ecco il vaccino

I trend delle truffe informatiche durante l’era della pandemia,

ed i conseguenti rischi in termini di Cybersecurity

di Alessandro Cristallini

Nell’ambito della prevenzione dell’uso del sistema finanziario per fini illegali, è stata perseguita sia in ambito internazionale che nazionale l’attività riguardante il contenimento del cyber risk nel sistema finanziario, promuovendo il rafforzamento delle capacità di resilienza cibernetica delle singole istituzioni e del sistema nel suo complesso. Il contrasto alle minacce cibernetiche rimane, infatti, una priorità del settore finanziario alla luce del crescente ricorso alle tecnologie digitali per la fornitura di servizi finanziari innovativi.

L’integrità del sistema finanziario risulta sempre più esposta al rischio cyber: la sempre più diffusa fornitura di servizi e prodotti finanziari attraverso i moderni strumenti messi a disposizione della tecnologia dell’informazione e della comunicazione (c.d. “Fintech”) ha determinato un rilevante aumento negli ultimi anni dei rischi operativi e cyber, sia sotto forma di attacchi che di incidenti. L’elevata e profonda interconnessione tra tutti gli attori all’interno del sistema finanziario, sia a livello intersettoriale che transnazionale, nonché la presenza di risorse di alto valore espongono particolarmente il sistema finanziario ad attacchi informatici sempre più evoluti in termini di raffinatezza, frequenza e persistenza, con possibili ricadute sistemiche avverse per la stabilità finanziaria. In tale contesto, continua a confermarsi, peraltro, la frequente correlazione tra le attività criminali connesse con le minacce cibernetiche e l’utilizzo dei fondi provenienti da tali attività a fini di riciclaggio.

Le frodi online sono aumentate in maniera esponenziale con la diffusione a livello globale della crisi pandemica, andando a comportare un incremento nell’utilizzo della tecnologia e della conseguente crescita dei crimini digitali perpetrati. Questo fenomeno si è verificato in modo particolare nel settore finanziario, che include le industrie bancarie e assicurative, comportando che questo sia stato il settore più attaccato per il quinto anno consecutivo nel corso del 2020 attirando il 23% di tutti gli attacchi registrati dai 10 settori più attaccati, a causa di minacce cyber che si sono fatte sempre più diversificate ed efficaci sui servizi bancari, sugli istituti e sulla stessa clientela di quest’ultimi; implicando che ad andare a segno nel 2020 è stata quasi una truffa digitale su cinque.

Durante la pandemia il numero totale di attacchi effettuati è aumentato, seppur di poco. “Sulla totalità delle transazioni anomale, la percentuale di frodi effettive è stata infatti pari al 18%, contro il 14,5% del periodo pre-pandemia. Tale variazione è dovuta alla numerosa quantità di bonifici istantanei fraudolenti e al significativo peso delle frodi effettive sulle ricariche di carte prepagate, passate, per il settore retail, dal 5% del 2019 al 25% del 2020 e per il settore corporate addirittura dallo 0% a circa il 20%. Si evidenzia come la clientela retail degli istituti finanziari risulta tradizionalmente quella più colpita, tanto da risultare come target in 4 casi su 5[1].

A fronte della mutata situazione globale e della maggiore sofisticazione e strutturazione di alcuni schemi di frode a cui si è assistito, la percentuale di transazioni fraudolente bloccate e/o recuperate si mantiene a livelli elevati, in media si attesta al’82%.

Per quanto concerne le modalità d’attacco, appare opportuno evidenziare come ormai sia capillare la diffusione ed il ricorso a tecniche miste, ad esempio social engineering combinato con malware, rappresentando il 65% degli attacchi, toccando ben l’80% se ci riferiamo alla sola clientela retail, rispetto alle altre modalità di attacco.

Si evidenzia la forte crescita delle ricariche di carte prepagate, non effettuate tramite bonifico, tra le transazioni fraudolente che sono andate a segno; nella maggior parte dei casi sono risultate appartenenti a “money mule” – facendo registrare un aumento, rispetto allo scorso anno, dal 4 al 25%.
Lo strumento della carta prepagata risulta essere quello con la più elevata efficacia d’attacco, con circa un tentativo su tre che sfocia in perdite effettive di denaro. Altro trend degno di nota sul retail è la distribuzione dell’età delle vittime in relazione alle frodi tentate o effettive; la fascia più colpita è quella tra i 30 e i 45 anni, con il 35% delle risposte, seguita non lontano dalla fascia 45-60 anni (28%). A pari merito le fasce restanti (under 30 e over 60), con il 19% e il 18% rispettivamente[2].

Le frodi, però, non hanno preso di mira solamente il privato, ma anzi si sono verificate anche a discapito delle imprese e delle banche. Qui il bonifico nazionale continua ad essere lo strumento prevalente nell’esecuzione dell’attacco. Sul campione di 21 istituti rispondenti, l’analisi delle transazioni fraudolente effettive evidenzia che anche per tale comparto la voce ricariche di carte prepagate è particolarmente elevata ovverosia il 20,2%, è da sottolineare come le frodi con tale strumento nel 2019 non erano state segnalate da alcun istituto.

Al netto di un innalzamento del numero di frodi su bonifici istantanei, passati dal 7 a oltre il 20%, stiamo assistendo ad un mutata composizione delle frodi effettive: se in un primo momento oltre 4/5 delle frodi effettive era stata registrata sui bonifici nazionali, ad oggi l’efficacia dell’azione degli attaccanti si è dispiegata su una maggiore varietà di strumenti. Tracciando però un bilancio sull’andamento complessivo delle frodi registrate nel settore finanziario, il mondo corporate si mostra di gran lunga più resiliente nel far fronte agli attacchi cyber rispetto a quello della clientela retail. Si registra infatti che si attesta al 90% la quota delle transazioni fraudolente bloccate/recuperate, e di contro il 10% quelle andate a segno[3].

Solamente nel 2020, la percentuale di istituti bancari che hanno rilevato e segnalato casi di data breach è stata pari al 42,9%, con un quantitativo di attacchi riusciti equivalente a 21. Le banche, al netto degli attacchi, hanno comunque provveduto ad attivare i piani di risposta agli incidenti, nonché il rafforzamento dei profili di sicurezza e monitoraggio degli accessi, azioni di awareness e misure di prevenzione applicabili alle terze parti atte a consolidare il programma di third-party risk management.

Per quanto riguarda gli attacchi volti a compromettere la disponibilità dei servizi bancari, ovvero azioni condotte al fine di generare disservizi, spesso con fini attivistici, si fatto ricorso ad attacchi DoS (Denial of Service) e DDoS (Distributed DDoS), che consistono nel sovraccaricare i server della vittima con un volume massivo di richieste al punto da non rendere più fruibile il servizio all’utente finale. Su un campione di 21 banche, si osserva che il 57,1% degli istituti ha dichiarato di aver rilevato tentativi di attacco DoS e DDoS, con 99 attacchi registrati andati a buon fine. In tutti i casi registrati le banche hanno attivato soluzioni anti-DDoS sul network aziendale e sono state isolate le fonti di attacco intervenendo con il tuning dei filtri e il blacklisting degli IP[4]. Si è assistito inoltre ad un ricorso sempre più massiccio di schemi e campagne di phishing veicolanti malware di diversa natura (es. Worm, Adware, Trojan, etc.), finalizzati a compromettere l’integrità dei sistemi mediante l’impiego di caselle di posta elettronica a loro volta compromesse. Tutti i casi verificatisi, a detta dei diretti interessati, sono stati contenuti prima del completamento della compromissione e/o prontamente bloccati dai sistemi di difesa perimetrali, facendo in modo che non vi siano state conseguenze negative sui dati, né sui servizi, per i singoli utenti coinvolti[5].

Anche la Consob ha richiamato l’attenzione dei risparmiatori sull’importanza di usare la massima diligenza al fine di effettuare in piena consapevolezza le scelte di investimento, adottando comportamenti di comune buon senso, imprescindibili per salvaguardare il proprio risparmio: tra questi, la verifica preventiva, per i siti che offrono servizi finanziari, che l’operatore tramite cui si investe sia autorizzato e, per le offerte di prodotti finanziari, che sia stato pubblicato il prospetto informativo. A tal fine la Consob per far fronte a questo pericolo e per mettere in guardia l’investitore contro le iniziative finanziarie abusive, ha provveduto a stilare un elenco di siti web oscurati colpevoli di aver posto in essere abusivismo finanziario[6].

L’analisi delle principali campagne del 2021 evidenzia che i tentativi di frode avvengono prevalentemente attraverso vettori di attacco quali malware per il furto di credenziali o fattori addizionali di autenticazione o manipolazione di una transazione;  phishing per il furto di credenziali di accesso e dei fattori di autenticazione forte (credential theft), spesso combinata con l’interazione con un operatore; hacking del dispositivo mobile tramite SIM Swap o emulazione software dello smartphone; e infine, attacchi diretti alle infrastrutture dell’istituzione finanziaria, sfruttando le eventuali vulnerabilità del sistema informatico[7].

La cattura delle credenziali di accesso alla posta elettronica, sia webmail che client installati sul computer o smartphone, è un’attività apparentemente anomala per un financial malware, ma è un andamento che è in crescita già da qualche anno. I gruppi cyber criminali fanno questo per avere una base dalla quale lanciare attacchi di tipo BEC (Business Email Compromise), diffondendo malware da caselle elettroniche reali e spesso note alla vittima, con un’efficacia nettamente maggiore rispetto a quanto non si riesca a fare con il tradizionale phishing. I numerosi esempi di campagne veicolate tramite PEC ne sono un esempio.

L’obiettivo principale dei malware per frodi finanziarie, era e rimane, l’impossessarsi delle credenziali di accesso ai sistemi di pagamento, oppure dei dati delle carte di pagamento, oppure ancora di cambiare ad insaputa della vittima le coordinate di pagamento. A seconda della tattica, l’attacco può spaziare dal semplice furto di credenziali di accesso, al furto del fattore di autenticazione forte del cliente (SCA – Strong Customer Authentication) introdotto della normativa PSD2[8], al furto dei dati delle carte di pagamento, e in-fine alla sostituzione delle coordinate di pagamento (IBAN o del wallet elettronico) questo ultimo caso soprattutto per i malware per dispositivi mobili[9].

L’organizzazione che eroga il servizio, ipotizziamo un istituto di credito, deve essere in grado di stabilire in modo rapido e trasparente la veridicità dell’identità digitale dell’utente ben oltre l’autenticazione fornita dalla username e password, e continuare a verificarla durante tutta la transazione, classificando il livello di rischio di ciascun utente, connessione, operazione, e applicando quando necessario controlli di autenticazione più rigidi. La tecnologia disponibile consente già adesso di analizzare molti fattori quali ad esempio l’analisi comportamentale dell’utente, l’identificazione del dispositivo, l’associazione, l’autenticità, gli aggiornamenti del sistema operativo e delle applicazioni, la posizione, dettagli tecnici sulla SIM, numero di telefono, attributi di sessione e di rete. Questi dati possono essere combinati con l’ausilio dell’intelligenza artificiale, la threat-intelligence e lo scambio di informazione con altri servizi di prevenzione dai cyber attacchi[10].

Relativamente al contesto del financial cybercrime italiano, l’89% delle campagne di distribuzione malware bancario analizzata è rimasta attiva meno di 48h. Più in generale, lo sviluppo delle campagne di attacco recenti è molto rapido e per bloccare minacce e attacchi occorre agire con simile rapidità. È necessario reinventare la risposta agli attacchi, sia dal un punto di vista tecnologico che organizzativo. Una tendenza fortemente emergente sfrutta l’utilizzo della Threat Intelligence nelle soluzioni di sicurezza, combinata alle soluzioni SOAR (Security Orchestration, Automation and Response). La Threat Intelligence potenzia le soluzioni con informazioni puntuali su minacce e attacchi che contestualizzati nello specifico settore e area geografica in cui opera l’organizzazione, e confrontati con quanto realmente installato permettono di capire se, come e dove l’organizzazione è a rischio oppure è stata già colpita. La Threat Intelligence è una base di informazioni costruita da un insieme indicatori di compromissione, in inglese indicators of compromise (IOC), aggiornati in tempo reale e disponibili in formato “actionable” che ne consenta cioè la fruizione con regole in grado di generare allarmi e scatenare azioni di risposta automatizzate. La Threat Intelligence è passata dall’essere uno strumento utile ad uno strumento indispensabile nelle organizzazioni che vogliono proteggersi efficacemente dagli attacchi cyber[11].

In un’ottica di mitigazione dei rischi nei confronti delle truffe perpetrate sul web e degli attacchi informatici per i privati è fondamentale tenere aggiornati i propri dispositivi hardware e software nonché le definizioni e i prodotti antivirus/antispam; conservare i propri dati personali in modo sicuro; fare molta attenzione alle condivisioni sui social media, controllando le impostazioni sulla privacy e sulla sicurezza; diffidare da richieste di pagamento insolite sia nei metodi che nelle motivazioni. Per quanto invece riguarda le aziende e gli istituti finanziari cruciale sarà attuare una procedura interna per la verifica delle richieste di pagamento; assicurare un’adeguata formazione del personale, istruendolo sui tipi di truffe e attacchi e su come evitarli; fare attenzione alle informazioni e riferimenti pubblicati sui portali web aziendali; sensibilizzare il personale a non condividere sui social network informazioni professionali e aziendali; configurare e aggiornare i propri sistemi di protezione antispam/antivirus valutando la verifica e l’implementazione, sui propri apparati di sicurezza, degli indicatori di compromissione periodicamente pubblicati dagli organi di controllo preposti[12].

[1] Cfr. Luca Losito, “Cybersecurity, frodi finanziarie in crescita “grazie” alla pandemia”, 18 Ottobre 2021, su www.wallstreetitalia.com.

[2] L’Osservatorio Cyber Knowledge and Security Awareness di CERTFin ha stilato il report 2021 dal titolo “Sicurezza e frodi informatiche in banca: come prevenire e contrastare attacchi informatici e frodi su Internet e Mobile Banking”.

[3] Cfr. Luca Losito, “Cybersecurity, frodi finanziarie in crescita “grazie” alla pandemia”, 18 Ottobre 2021, su www.wallstreetitalia.com.

[4] Cfr. op. cit.

[5] Cfr. Roberto Tordi, Gabriele Gamberi, Evoluzione delle minacce cyber nel settore finanziario italiano, in Rapporto Clusit 2021- ottobre.

[6] V. Comunicato stampa del 23 aprile 2021, Abusivismo finanziario: Consob oscura 5 siti internet abusivi, su www.consob.it

[7] Cfr. Pier Luigi Rotondo, Elementi sul cybercrime nel settore finanziario in Europa, in Rapporto Clusit 2021- ottobre.

[8] Directive (EU) 2015/2366 of the European Parliament and of the Council Official Journal of the European Union, November 2015

[9] Cfr. Pier Luigi Rotondo, Elementi sul cybercrime nel settore finanziario in Europa, in Rapporto Clusit 2021- ottobre.

[10] Cfr. Pier Luigi Rotondo, Elementi sul cybercrime nel settore finanziario in Europa, in Rapporto Clusit 2021- ottobre.

[11] Cfr. op. cit.

[12] Salvatore Lombardo, Cyber crime, aumentano attacchi informatici e truffe online a tema Covid-19: come mitigare i rischi, 12 Gennaio 2021, in www.cybersecurity360.it.

 

Joint Cyber Unit initiative

Traduzione e commento di Francesca Romana Tubili

 Il 23 giugno 2021 la Commissione Europea ha pubblicato la sua raccomandazione sulla creazione di un’unità cibernetica comune per affrontare il numero crescente di incidenti informatici che influiscono sui servizi pubblici, nonché sulla vita delle imprese e dei cittadini in tutta l’Unione europea. La Commissione ha presentato la raccomandazione al gruppo di lavoro the Horizontal Working Party on Cyber Issues (HWPCI) il 28 giugno 2021. Le discussioni successive si sono svolte sotto la presidenza slovena durante le riunioni del 7 e 14 luglio 2021 per raccogliere le opinioni degli Stati membri.  La presidenza ha mostrato la prima bozza del Consiglio Europeo riguardo il potenziale dell’iniziativa Joint Cyber Unit. Il progetto di conclusioni è stato ulteriormente discusso nelle riunioni dei membri dell’HWPCI dell’8 e 29 settembre 2021. Durante la riunione del 6 ottobre 2021, l’HWPCI ha approvato il progetto del Consiglio. Quest’ultimo si è concentrato in particolar modo su alcuni punti fondamentali: l’importanza della strategia cibernetica dell’Unione Europea per il decennio digitale; la diplomazia informatica; una quadro comune per combattere i crimini informatici; un quadro politico dell’Ue in materia di cyber-difesa. Il progetto sottolinea l’importanza della sicurezza informatica per costruire un’Europa resiliente, digitale e verde. La cybersicurezza è indispensabile per la prosperità e la sicurezza dell’UE e dei suoi Stati membri, dei suoi cittadini, delle imprese e delle sue istituzioni, nonché per sostenere l’integrità delle nostre società libere e democratiche. E’ riconosciuta la natura transfrontaliera e intersettoriale di molte minacce alla sicurezza informatica, nonché i rischi e le potenziali implicazioni delle continue campagne di attività informatiche dannose più efficaci, sofisticate, mirate, complesse, persistenti e/o pervasive. La pandemia di COVID-19 ha ulteriormente esposto le vulnerabilità delle nostre società e il potenziale danno derivante da incidenti informatici su larga scala all’economia, alla democrazia, ai servizi essenziali e alle infrastrutture critiche, in particolare nel settore sanitario. Ha anche aumentato l’importanza della connettività e della dipendenza della società da reti e sistemi informativi affidabili e sicuri. In definitiva, ha sottolineato la necessità di un Internet globale, aperto, libero, stabile e sicuro, nonché la fiducia nei prodotti, processi e servizi delle tecnologie dell’informazione e della comunicazione. Ribadisce l’importanza della resilienza informatica e dell’ulteriore sviluppo del quadro europeo per la gestione delle crisi di cibersicurezza, al fine di fornire una risposta efficiente e tempestiva a livello europeo. Il rapporto sottolinea il ruolo del Consiglio e dei dispositivi di risposta politica integrata alle crisi, nell’assicurare un coordinamento e una risposta tempestivi a livello politico dell’Unione alle crisi, siano esse originate all’interno o all’esterno dell’Unione, e che hanno un impatto o un significato politico di vasta portata. Evidenzia l’importanza di testare tali strutture e meccanismi in esercizi regolari e sottolinea il fatto che gli stati membri hanno la responsabilità di rispondere ad attacchi informatici e in generale alla sicurezza, conformemente all’articolo 4 del Trattato sull’Unione europea, prendendo in considerazione la cyber sicurezza. Infine invita l’Unione Europea e i suoi Stati membri a considerare il potenziale di un’iniziativa di Joint Cyber Unit, anche dal punto di vista delle istituzioni, degli organi e delle agenzie dell’UE, al fine di integrare gli sforzi in corso a livello degli Stati membri. Accoglie l’intenzione della Commissione di rafforzare la resilienza delle istituzioni, degli organi e delle agenzie europee competenti, attraverso la sua prossima proposta di regolamento relativa a norme comuni sulla cibersicurezza. L’obiettivo rimane quello di rafforzare la resilienza informatica e sensibilizzare gli Stati Membri al tema della cyber-security.

 

SOCIAL ENGINEERING: esempi e suggerimenti per la prevenzione

di Benedetto Palombo

L’ingegneria sociale, sinteticamente, è l’”arte” di manipolare le persone in modo che forniscano informazioni riservate. I tipi di informazioni che questa categoria di criminali cerca possono variare, ma quando gli individui sono presi di mira, i criminali – di solito – cercano di indurre loro a fornire password o informazioni bancarie o ad accedere al loro computer per installare – segretamente – software dannoso, che darà loro accesso alla tua password, ad informazioni bancarie, oltre a dare loro il controllo sul loro computer.

Vengono usate tattiche di ingegneria sociale perché, di solito, è più facile sfruttare la naturale inclinazione delle persone alla fiducia che scoprire modi per hackerare il loro software. Ad esempio, è molto più facile ingannare qualcuno facendosi dare la sua password piuttosto che provare a hackerarla.

La sicurezza, un po’ semplicisticamente, consiste nel sapere di chi e di cosa fidarsi. È importante sapere quando non prendere una persona in parola e quando la persona con cui si comunica è realmente chi dice di essere? Lo stesso vale per le interazioni online e l’utilizzo dei siti Web: quando fidarsi della legittimità del sito Web che si sta consultando e se sia sicuro fornire le proprie informazioni?

L’anello più debole nella catena della sicurezza è l’essere umano che accetti una persona o uno scenario per ciò che sembra. Non importa quante serrature e catenacci ci sono a porte e finestre, o se vi siano cani da guardia, sistemi di allarme, riflettori, recinzioni con filo spinato e personale di sicurezza armato; se ci si fida della persona al cancello, che – ad esempio – dice di essere il portalettere e lo si fa entrare senza prima verificare la veridicità della sua funzione, si è completamente esposti a qualsiasi rischio.

Che aspetto ha un attacco di ingegneria sociale?

E-mail da un amico

Se un criminale riesce a hackerare o a modificare socialmente la password e-mail di una persona, ha accesso all’elenco dei contatti di quella persona e poiché la maggior parte dei semplici utenti usa una password per tutti o quasi i “log-in”, probabilmente ha accesso anche ai contatti sui social network di quella persona.

Una volta che il criminale ha l’account e-mail sotto il proprio controllo, invia e-mail a tutti i contatti della persona o lascia messaggi su tutte le pagine social dei suoi amici e, possibilmente, sulle pagine degli amici dell’amico della persona.

 Approfittando della fiducia e della curiosità, questi messaggi:
  • Contengono un collegamento da “cliccare” e, poiché il collegamento proviene da un amico, ci si fida e si “clicca” senza timore. In tal modo si verrà infettati da malware che permettono al criminale di prendere il controllo del computer della vittima, raccogliendo informazioni sui contatti e ingannare questi altri malcapitati proprio come successo alla prima vittima.
  • Contengono un download di immagini, musica, film, documenti e così via contenente software dannoso “incorporato”. Se si effettua il download, cosa probabile poiché proveniente da un amico, si viene infettati. Ora il criminale ha accesso al computer, account e-mail, contatti “social” etc. e l’attacco si diffonde a tutti quelli che si “conoscono”. In teoria, ciò potrebbe andare avanti a lungo, e causare danni ingenti, soprattutto se non si usano computer diversi per ciò che è personale e ciò che riguarda la professione.

E-mail da altra fonte attendibile

Gli attacchi di phishing sono un sottoinsieme della strategia di ingegneria sociale che imita una fonte attendibile e inventa uno scenario apparentemente logico per la consegna delle credenziali di accesso o altri dati personali sensibili. Le istituzioni finanziarie rappresentano la stragrande maggioranza delle aziende dalle quali, una volta creato un indirizzo email falso a nome dell’istituzione finanziaria “x”, si ricevono email fraudolente, e – secondo il rapporto annuale sulle “Indagini sulla violazione dei dati” di Verizon – gli attacchi di ingegneria sociale, tra cui “phishing” e “pretexting” (si veda sotto) rappresentano il 93% delle violazioni dei dati andate a buon fine.

Utilizzando una storia avvincente o un pretesto (“pretexting”), questi messaggi possono:

 Chiedere urgentemente aiuto. Ad esempio, un “amico” è bloccato nel Paese X, è stato derubato, e picchiato, quindi è in ospedale. C’è urgente bisogno di inviare denaro affinché possa tornare a casa; seguono le indicazioni su come inviare il denaro al criminale.

  • Tentare di porre in essere un tentativo di phishing con l’aiuto di una apparente legittimità. In genere, un “phisher” invia un’e-mail, un messaggio istantaneo, un commento o un messaggio di testo che sembra provenire da un’azienda, una banca, una scuola o un’Istituzione legittima e nota.
  • Chiedere di donare per una raccolta fondi di beneficenza o a altra causa.  Con toni gentili e affranti, questi “phisher” chiedono aiuto o supporto per qualsiasi disastro, campagna di beneficenza etc. che al momento occupa le prime pagine dei giornali e dei siti d’informazione. Anche in questo caso si troveranno le istruzioni su come inviare denaro al criminale.
  • Presentare un problema che richiede di “verificare” le informazioni facendo clic sul collegamento visualizzato e fornendo dati nel modulo. La posizione del collegamento può sembrare molto legittima con tutti i loghi e il contenuto corretti in quanto i criminali spesso copiano il formato e il contenuto esatti del sito reale. Poiché tutto sembra legittimo, ci si fida dell’e-mail e del sito fraudolento e vengono fornite le informazioni richieste dal truffatore. Questi tipi di phishing, in genere, includono un avvertimento su cosa accadrà se non si agisce entro pochi giorni. Ciò in quanto i criminali sanno perfettamente che se riescono a far agire la vittima prima che ci pensi su, è molto più probabile che la frode vada a buon fine.
  • Avvisare che si è “vincitori”.  In questa categoria rientrano le e-mail in cui si risulta essere “vincitori” di una nota lotteria nazionale, o eredi di un parente che viveva all’estero da decenni e ora defunto, etc. Naturalmente, per trasferire la “vincita” o l’”eredità” bisogna fornire il proprio IBAN (se la “vincita” arriva dall’estero bisogna fornire anche il Codice Bic/Swift), fornire l’indirizzo e il numero di telefono. Negli Stati Uniti, spesso viene richiesto di inserire anche il proprio numero di previdenza sociale. Questi sono i cosiddetti “Creed Phishes” (“Phishing dell’avidità”) in cui, anche se il pretesto è apparentemente debole, si fa leva sul desiderio (cupidigia?) delle persone che desiderano avere ciò che viene offerto loro, a torto o a ragione, e ciò determina – infine – il successo dell’attacco, con conseguente svuotamento del conto in banca e furto di identità.
  • Fingere di essere un superiore o un collega. Potrebbero essere richiesti aggiornamenti su un importante progetto proprietario su cui l’azienda per cui si lavora sta attualmente lavorando, informazioni di pagamento relative a una carta di credito aziendale o altre richieste mascherate da attività quotidiana.
Scenari di “adescamento” (“Baiting”) 

Questi schemi di ingegneria sociale si basano sul semplice fatto che se si rende a portata di mano e “gratuitamente” un “oggetto del desiderio” comune, molte persone abboccheranno. Questi schemi si trovano spesso sui siti “peer-to-peer” che offrono il download di qualcosa come un nuovo film, musica, giochi, etc. Ma gli stessi si trovano anche sui “social network”, su siti Web dannosi che si reperiscono semplicemente attraverso i risultati di una ricerca e così via.

Oppure, lo schema potrebbe presentarsi come un ottimo affare su siti classificati, siti di aste, et similia. Per dissipare i sospetti, si fa apparire che il venditore ha una buona valutazione (tutto pianificato e realizzato in anticipo, naturalmente).

Le persone che cadranno nella trappola possono essere infettate da software dannoso in grado di generare un numero qualsiasi di nuovi “exploit” contro la vittima e i suoi contatti: il caso da manuale è quello di perdere i propri soldi senza ricevere l’oggetto “acquistato”.

Un altro scenario comune si presenta in forma di “assistenza” per un problema.

I “phisher” spesso fingono di rispondere ad una “richiesta di assistenza” spacciandosi per un’azienda. Scelgono aziende che servono milioni di persone, come una società di software o una banca. Se non si utilizza alcun prodotto o servizio della sedicente azienda, si dovrà ignorare l’e-mail, la telefonata o il messaggio; ma se si è fruitori di un software o di un servizio fornito dal mittente, ci sono molte probabilità che si risponda perché è cosa comune aver bisogno di assistenza con un “prodotto”.

Ad esempio, anche se non si ha memoria di aver inviato una richiesta di assistenza, è probabile che si abbia un problema, solo per citare un caso, con il sistema operativo del computer e si coglie l’opportunità per risolverlo. Gratuitamente! Nel momento in cui si risponde, si è caduti nella trappola, si è concessa fiducia e ci si trova in balia della truffa.

L’operatore, che in realtà è un criminale, chiederà al malcapitato di “autenticarsi”, accedendo al “sistema fraudolento” o concedendo l’accesso remoto al proprio computer in modo che possa “riparare” l’inconveniente al posto dell’utente, oppure vengono dettati dei comandi in modo che si abbia l’impressione di risolvere il problema da soli, ma con l’assistenza dell’operatore. Ovviamente, alcuni dei comandi che verranno dettati per l’inserimento apriranno la strada al criminale per tornare nel computer “riparato” in seguito.

Un altro scenario comune è il cosiddetto “Creating distrust”, ovvero ingenerare sfiducia.

Una parte di ingegneria sociale riguarda anche la creazione di sfiducia o l’innesco di conflitti; ciò viene messo in atto – in genere – da estorsori che cercano di provocare caos, prima creando sfiducia nella mente della vittima riguardo altre persone, poi intervenendo come eroi, quindi, guadagnando la fiducia della vittima. L’intento è quello di manipolare le informazioni e poi minacciare di divulgarle.

Questa forma di ingegneria sociale inizia spesso ottenendo l’accesso ad un account di posta elettronica o un altro account di comunicazione su un client di messaggistica istantanea, social network, chat, forum, ecc. Si perpetra questo attacco tramite hacking, ingegneria sociale o – semplicemente – indovinando password molto deboli.

  • La persona malintenzionata può, quindi, alterare comunicazioni sensibili o private oltre che immagini, audio etc., utilizzando tecniche di editing di base e inoltrarle ad altre persone per arrecare danno, creare sfiducia, imbarazzo, etc. Si può fare in modo che l’invio di determinati file sembri sia stato accidentale.
  • In alternativa, può utilizzare il materiale alterato per estorcere denaro alla vittima hackerata.

Esistono migliaia di varianti agli attacchi di ingegneria sociale. L’unico limite al numero di modi in cui si possono “ingegnerizzare” socialmente gli utenti attraverso questo tipo di “exploit” è l’immaginazione del criminale. Inoltre, è possibile sperimentare più forme di “exploit” in un singolo attacco. Ciò rende possibile all’hacker di vendere le informazioni a terzi in modo che anche quest’ultimi possano eseguire i loro “exploit” contro la vittima, i suoi amici, gli amici degli amici e così via.

Semplici consigli per ridurre il rischio di diventare una vittima

Se, purtroppo, gli attacchi di phishing sono dilaganti, di breve durata e richiedono solo “poche” vittime-chiave affinché una “campagna” vada a buon fine, è anche vero che esistono dei piccoli accorgimenti per ridurre i rischi. In molti casi è sufficiente prestare la massima attenzione ai dettagli che compaiono di fronte all’utente. Di seguito alcuni consigli per non mettersi nelle condizioni ideali per diventare vittima di phishing:

  • Evitare la fretta. Gli spammer vogliono che prima si agisca e poi si pensi. Se un messaggio trasmette un senso di urgenza o utilizza tattiche di vendita ad alta pressione, bisogna essere scettici; non lasciare mai che l’urgenza derivante dal messaggio influenzi un’attenta revisione.
  • Ricercare i fatti. È buona norma diffidare di eventuali messaggi non richiesti. Anche se l’e-mail sembra provenire da un’azienda con la quale si hanno rapporti, bisogna fare – comunque – delle ricerche. Basta utilizzare un motore di ricerca per accedere al sito della società reale, ed ottenere anche il numero di telefono.
  • Non lasciare mai che un “link” conduca l’utente sul sito cui punta (“redirectoring”). È importante mantenere il controllo cercando autonomamente su un motore di ricerca il sito web citato nel “link” per essere sicuri di visitare il giusto sito. Passando con il mouse sui collegamenti nell’e-mail comparirà chiaramente l’URL effettivo cui punta, anche se è possibile – ma solo da parte di hacker professionisti – indurre comunque in errore.
  • Il furto dell’account di posta elettronica è dilagante. Il fatto che hacker, spammer e ingegneri sociali prendano il controllo degli account di posta elettronica delle persone (e di altri account di comunicazione) è diventato fenomeno dilagante. Una volta che controllano un account di posta elettronica, sfruttano la fiducia dei contatti della persona. Anche quando il mittente sembra essere qualcuno che si conosce, se da lui non ci si aspetta un’e-mail con un collegamento o un allegato bisogna contattare il proprio amico prima di aprire i collegamenti o eseguire “download”.
  • Prestare attenzione a qualsiasi download. Se non si conosce personalmente il mittente e, al contempo, ci si aspetta un file da lui, scaricare qualsiasi cosa è un errore da non fare.
  • Le “offerte” straniere sono false. Se si riceve un’e-mail da una lotteria straniera o un concorso a premi, denaro da un parente sconosciuto o richieste di trasferimento di fondi da un Paese straniero di una parte del denaro, è certo che si tratta di una truffa.
  • Eliminare qualsiasi richiesta di informazioni finanziarie o password. Se viene chiesto di rispondere a un messaggio con informazioni personali, si tratta di truffa.
  • Rifiutare le richieste di assistenza o le offerte di assistenza. Le aziende e le organizzazioni legittime non contattano nessuno per fornire assistenza non richiesta. Se non si è proceduto ad una richiesta di assistenza specifica al mittente, bisogna considerare qualsiasi offerta di “help una truffa. Allo stesso modo, se si riceve una richiesta di aiuto da parte di un ente di beneficenza o da un’organizzazione con cui non si hanno rapporti, procedere direttamente con l’eliminazione. Per donare, basta cercare organizzazioni di beneficenza aventi buona reputazione per evitare di cadere in una truffa.
  • Impostare i filtri antispam su “alto”. Ogni programma di posta elettronica dispone di filtri antispam. Per maggior sicurezza, tra le opzioni delle impostazioni, scegliere “alto”: ricordare di controllare periodicamente la cartella dello spam per vedere se un’e-mail attendibile è rimasta accidentalmente intrappolata nello spam.
  • Proteggere i dispositivi informatici. Installare software antivirus, firewall, filtri e-mail e mantenerli aggiornati. Impostare il sistema operativo per l’aggiornamento automatico. Utilizzare uno strumento anti-phishing offerto dal proprio browser web o da terze parti per ricevere avvisi di rischio.
Condividi questo articolo:
Sponsor

Articoli correlati

Lavoro. Virtuose le imprese che organizzano la sicurezza

Domenico Della Porta

Non si tornerà più come prima! Ma più forti di prima

Domenico Turano

Il World Vitiligo Day per abbattere i pregiudizi

Cristina Gambini

Lascia un commento

Questo modulo raccoglie il tuo nome, la tua email e il tuo messaggio in modo da permetterci di tenere traccia dei commenti sul nostro sito. Per inviare il tuo commento, accetta il trattamento dei dati personali mettendo una spunta nel apposito checkbox sotto:
Usando questo form, acconsenti al trattamento dei dati ivi inseriti conformemente alla Privacy Policy de La Discussione.