CERTFIN

Frodi bancarie, così rubano i soldi via internet: le ultime tecniche e le difese necessarie

Il report CERTFin “Sicurezza e frodi informatiche in banca” indica un decremento del 40% nelle transazioni anomale e del 58% del controvalore delle frodi andate a segno: tuttavia non bisogna abbassare la guardia ed è bene diffondere consapevolezza sulle tecniche più in voga tra i cyber criminali

Pubblicato il 30 Ago 2022

Simone Coltellese

Cyber Security and Fraud Analyst CERTFin

Mario Trinchera

Technical Coordinator CERTFin

phishing-banca-carta-160913120324

Nonostante le banche italiane abbiano implementato sofisticati sistemi per rilevare e prevenire frodi informatiche, tutt’oggi la problematica delle transazioni fraudolente persiste in misura significativa. Inoltre, le vulnerabilità intrinseche dei canali di telecomunicazione giocano a favore dei criminali informatici, per non parlare della continua ricerca di nuove tecniche da parte dei frodatori per ingannare le proprie vittime.

Tuttavia, una maggiore consapevolezza da parte dell’utente finale, unita a contromisure più evolute da adottare nel settore Telco, creerebbe sicuramente maggiori difficoltà ai frodatori nel portare a termine le loro attività criminali.

Illecito sfruttamento dell’immagine, influencer vittime eccellenti: come difendersi

Rispetto all’anno precedente, sono state registrate diverse note positive. Difatti, secondo i dati raccolti dal CERTFin, nel 2021 si è registrato un decremento del 40% del numero di transazioni anomale ed un decremento del 58% del controvalore in euro complessivo delle frodi andate a buon fine, rispetto al 2020. Tuttavia, non è ancora possibile considerare il fenomeno come marginale. Sebbene, grazie alla collaborazione tra banche, siano stati recuperati ben oltre 14 milioni di euro derivanti da transazioni fraudolente, la percentuale di transazioni fraudolente effettive rimane ancora alta.

Frodi bancarie online, il modus operandi

Secondo il rapporto annuale “Sicurezza e frodi informatiche in banca” realizzato dal CERTFin, quasi l’80% delle frodi realizzate tramite canali digitali nel corso del 2021 ai danni della clientela Retail, inizia con la ricezione da parte della vittima di una chiamata telefonica o di un SMS (Figura 1).

In particolare, nel 44,2% dei casi identificati i frodatori utilizzano la tecnica dello Spoofing che permette loro di mascherare il numero originatore di una chiamata con una numerazione fittizia. Tale tecnica, conosciuta anche come Vishing, oltre che essere ampiamente utilizzata dai frodatori è particolarmente efficace quando realizzata mediante tecniche di Spoofing. Sono infatti innumerevoli i casi di frode in cui il frodatore si spaccia per la banca della vittima e convince il titolare del conto corrente a rivelare le proprie credenziali bancarie e codici dispositivi.

Tecnica altrettanto insidiosa utilizzata dai frodatori per indurre erroneamente i titolari di conti correnti a fornire credenziali bancarie e dati sensibili è quella dell’invio di SMS con ALIAS – stringhe utilizzate per identificare il mittente di un SMS – i quali sono però utilizzati in modo illecito.

In particolare, i frodatori contattano le proprie vittime per mezzo di SMS (Smishing) solo apparentemente provenienti dalla propria banca. I destinatari dei messaggi sono quindi invitati a cliccare su un link che rimanda ad una pagina di phishing e a fornire le proprie generalità, il numero di telefono per essere ricontattati telefonicamente e talvolta anche le credenziali bancarie.

Le tecniche

I frodatori, dopo un primo contatto con la vittima, impiegano varie tecniche per finalizzare la frode. Dalla rilevazione annuale del CERTFin, si evince che la componente di Social Engineering continua a giocare un ruolo importante nell’ottenere la fiducia della clientela bancaria e indurla a compiere azioni che avranno poi delle conseguenze gravi.

Difatti, il 56,6% delle frodi realizzate nel 2021 ai danni della clientela Retail risultano essere state finalizzate mediante la manipolazione dei titolari dei conti correnti. Nella maggior parte dei casi, i frodatori si fingono operatori di sicurezza della propria banca e, facendo leva su fantomatici accessi anomali al conto della vittima, la convincono a spostare somme di denaro su conti correnti “più sicuri”. Ovviamente, tali conti sono aperti dai frodatori o, molto spesso sono di utenti che si prestano ad attività illecite (e.g. Money Muling)

Negli ultimi anni l’utilizzo di malware ed in particolare quello dei Banking Trojan, strumentali per la realizzazione di frodi, ha subìto un’impennata. Non a caso, il 26,8% delle frodi registrate nel 2021 sono state realizzate mediante l’utilizzo di malware. I Trojan bancari nel corso del tempo sono evoluti, soprattutto quelli progettati per i dispositivi mobili. Difatti, gli sviluppatori dietro tali applicazioni malevole hanno iniziato ad implementare nuove funzionalità di controllo remoto per ottenere il controllo del dispositivo infetto, in grado anche di intercettare SMS e sostituire il beneficiario di un pagamento in tempo reale.

Come proteggersi dalle frodi bancarie online

La lotta per il contrasto alle frodi è piena di ostacoli, soprattutto se a combatterla si trovano i soli prestatori di servizi di pagamento. La quasi totalità delle frodi avviene sfruttando vulnerabilità intrinseche del canale di telecomunicazione, mezzo che è completamente al di fuori del controllo delle nostre banche.

Alla luce di tale scenario, è evidente che sia necessaria una stretta collaborazione tra gli operatori del settore delle telecomunicazioni e quello bancario volta a proteggere i correntisti. Di ciò ne è ben consapevole AGCOM, autorità garante del settore delle Telecomunicazioni, che ha istituito un Comitato Tecnico per la Sicurezza delle Comunicazioni Elettroniche. Nell’ambito dei lavori, attualmente, sono allo studio diverse contromisure tecniche volte a identificare soluzioni in grado di proteggere maggiormente i cittadini e ad arginare il fenomeno dello Spoofing e dell’uso illegittimo degli ALIAS, tecniche, come detto, ampiamente utilizzate dai frodatori.

Infine, è giusto anche evidenziare le responsabilità degli utenti. Purtroppo, il fattore umano è da sempre l’anello debole della catena, e i frodatori questo lo sanno bene. La maggior parte delle frodi bancarie online andate a buon fine sono realizzate mediante la manipolazione dell’utente, cioè convincendo la vittima a fornire le proprie credenziali bancarie e codici OTP così come a installare malware o disporre bonifici direttamente sui conti correnti dei criminali o di money mule.

Il problema di fondo è una mancanza di conoscenza nell’utilizzo sicuro dei canali e strumenti online da parte degli utenti. Ormai è risaputo, nessuna banca vi contatterà chiedendovi codici personali perché la banca conosce già le vostre credenziali.

Conclusione

È quindi necessario aumentare la consapevolezza e sensibilizzare gli utenti ad un uso informato e sicuro di strumenti e canali digitali. A tal proposito, sono di fondamentale importanza campagne di awareness mirate. A tal proposito non si può non citare “I Navigati”, campagna realizzata dal CERTFin in collaborazione con Banca d’Italia, ABI e dodici realtà appartenenti al settore finanziario e supportata dall’Agenzia per la Cybersicurezza Nazionale (ACN).

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati