Nonostante le banche italiane abbiano implementato sofisticati sistemi per rilevare e prevenire frodi informatiche, tutt’oggi la problematica delle transazioni fraudolente persiste in misura significativa. Inoltre, le vulnerabilità intrinseche dei canali di telecomunicazione giocano a favore dei criminali informatici, per non parlare della continua ricerca di nuove tecniche da parte dei frodatori per ingannare le proprie vittime.
Tuttavia, una maggiore consapevolezza da parte dell’utente finale, unita a contromisure più evolute da adottare nel settore Telco, creerebbe sicuramente maggiori difficoltà ai frodatori nel portare a termine le loro attività criminali.
Illecito sfruttamento dell’immagine, influencer vittime eccellenti: come difendersi
Rispetto all’anno precedente, sono state registrate diverse note positive. Difatti, secondo i dati raccolti dal CERTFin, nel 2021 si è registrato un decremento del 40% del numero di transazioni anomale ed un decremento del 58% del controvalore in euro complessivo delle frodi andate a buon fine, rispetto al 2020. Tuttavia, non è ancora possibile considerare il fenomeno come marginale. Sebbene, grazie alla collaborazione tra banche, siano stati recuperati ben oltre 14 milioni di euro derivanti da transazioni fraudolente, la percentuale di transazioni fraudolente effettive rimane ancora alta.
Frodi bancarie online, il modus operandi
Secondo il rapporto annuale “Sicurezza e frodi informatiche in banca” realizzato dal CERTFin, quasi l’80% delle frodi realizzate tramite canali digitali nel corso del 2021 ai danni della clientela Retail, inizia con la ricezione da parte della vittima di una chiamata telefonica o di un SMS (Figura 1).
Tecnica altrettanto insidiosa utilizzata dai frodatori per indurre erroneamente i titolari di conti correnti a fornire credenziali bancarie e dati sensibili è quella dell’invio di SMS con ALIAS – stringhe utilizzate per identificare il mittente di un SMS – i quali sono però utilizzati in modo illecito.
In particolare, i frodatori contattano le proprie vittime per mezzo di SMS (Smishing) solo apparentemente provenienti dalla propria banca. I destinatari dei messaggi sono quindi invitati a cliccare su un link che rimanda ad una pagina di phishing e a fornire le proprie generalità, il numero di telefono per essere ricontattati telefonicamente e talvolta anche le credenziali bancarie.
Le tecniche
I frodatori, dopo un primo contatto con la vittima, impiegano varie tecniche per finalizzare la frode. Dalla rilevazione annuale del CERTFin, si evince che la componente di Social Engineering continua a giocare un ruolo importante nell’ottenere la fiducia della clientela bancaria e indurla a compiere azioni che avranno poi delle conseguenze gravi.
Difatti, il 56,6% delle frodi realizzate nel 2021 ai danni della clientela Retail risultano essere state finalizzate mediante la manipolazione dei titolari dei conti correnti. Nella maggior parte dei casi, i frodatori si fingono operatori di sicurezza della propria banca e, facendo leva su fantomatici accessi anomali al conto della vittima, la convincono a spostare somme di denaro su conti correnti “più sicuri”. Ovviamente, tali conti sono aperti dai frodatori o, molto spesso sono di utenti che si prestano ad attività illecite (e.g. Money Muling)
Negli ultimi anni l’utilizzo di malware ed in particolare quello dei Banking Trojan, strumentali per la realizzazione di frodi, ha subìto un’impennata. Non a caso, il 26,8% delle frodi registrate nel 2021 sono state realizzate mediante l’utilizzo di malware. I Trojan bancari nel corso del tempo sono evoluti, soprattutto quelli progettati per i dispositivi mobili. Difatti, gli sviluppatori dietro tali applicazioni malevole hanno iniziato ad implementare nuove funzionalità di controllo remoto per ottenere il controllo del dispositivo infetto, in grado anche di intercettare SMS e sostituire il beneficiario di un pagamento in tempo reale.
Come proteggersi dalle frodi bancarie online
La lotta per il contrasto alle frodi è piena di ostacoli, soprattutto se a combatterla si trovano i soli prestatori di servizi di pagamento. La quasi totalità delle frodi avviene sfruttando vulnerabilità intrinseche del canale di telecomunicazione, mezzo che è completamente al di fuori del controllo delle nostre banche.
Alla luce di tale scenario, è evidente che sia necessaria una stretta collaborazione tra gli operatori del settore delle telecomunicazioni e quello bancario volta a proteggere i correntisti. Di ciò ne è ben consapevole AGCOM, autorità garante del settore delle Telecomunicazioni, che ha istituito un Comitato Tecnico per la Sicurezza delle Comunicazioni Elettroniche. Nell’ambito dei lavori, attualmente, sono allo studio diverse contromisure tecniche volte a identificare soluzioni in grado di proteggere maggiormente i cittadini e ad arginare il fenomeno dello Spoofing e dell’uso illegittimo degli ALIAS, tecniche, come detto, ampiamente utilizzate dai frodatori.
Infine, è giusto anche evidenziare le responsabilità degli utenti. Purtroppo, il fattore umano è da sempre l’anello debole della catena, e i frodatori questo lo sanno bene. La maggior parte delle frodi bancarie online andate a buon fine sono realizzate mediante la manipolazione dell’utente, cioè convincendo la vittima a fornire le proprie credenziali bancarie e codici OTP così come a installare malware o disporre bonifici direttamente sui conti correnti dei criminali o di money mule.
Il problema di fondo è una mancanza di conoscenza nell’utilizzo sicuro dei canali e strumenti online da parte degli utenti. Ormai è risaputo, nessuna banca vi contatterà chiedendovi codici personali perché la banca conosce già le vostre credenziali.
Conclusione
È quindi necessario aumentare la consapevolezza e sensibilizzare gli utenti ad un uso informato e sicuro di strumenti e canali digitali. A tal proposito, sono di fondamentale importanza campagne di awareness mirate. A tal proposito non si può non citare “I Navigati”, campagna realizzata dal CERTFin in collaborazione con Banca d’Italia, ABI e dodici realtà appartenenti al settore finanziario e supportata dall’Agenzia per la Cybersicurezza Nazionale (ACN).
