Cibercriminali si introducono in uno scambio mail e riescono a farsi fare ingenti bonifici al loro iban, invece che a quello del corretto destinatario. Funziona così una minaccia in continua crescita, il “man in the mail“. Vediamo di che si tratta e come funziona la piattaforma informatica, denominata OF2CEN – On-line Fraud Cyber Centre and Expert Network – ideata e realizzata dalla Polizia Postale per proteggere le persone da questo fenomeno.
Evoluzione delle minacce informatico-finanziarie
La continua evoluzione degli strumenti di pagamento, aumentando la velocità e la rapidità degli scambi, ha contribuito ad innalzare vertiginosamente il volume globale dei traffici, con conseguenti ripercussioni sul versante della sicurezza.
Se da un lato infatti, l’incremento del mercato digitale ha segnato una notevole opportunità per gli operatori economici, dall’altro esso ha costituito un fattore di attrazione per gli interessi della criminalità- anche organizzata – nazionale ed internazionale, sul versante delle frodi e del riciclaggio di proventi illeciti, attuati mediante l’utilizzo dei servizi bancari on line e dei servizi di moneta elettronica.
Fino a qualche tempo fa, il phishing costituiva la più frequente e pericolosa tra le forme di attacco informatico-finanziario: esso come noto, si concretizza nel furto massivo di identità digitali, attraverso vari stratagemmi (impiego di siti-clone, invio di mail con allegati malevoli), che inducono la vittima a rilasciare direttamente le proprie informazioni personali.
Tale fenomeno criminoso, pur continuando a rappresentare oggi una grossa fetta del business illegale on line, condivide la scena con le più moderne tecniche di attacco ascrivibili alla categoria del cosiddetto “Man in the Mail”.
Il man in the mail
L’espressione anglosassone già di per sé ben spiega la fenomenologia criminale in esame.
Di fatto, un soggetto si frappone tra due interlocutori assumendo l’identità di uno di essi, ed intrattiene rapporti fraudolenti con l’ignaro interlocutore, finalizzati alla realizzazione di un successivo risultato illecito (acquisizione di informazioni riservate; distrazione di bonifici e pagamenti vari).
Per operare la sostituzione, l’attaccante deve poter disporre di un valido patrimonio informativo circa i dati della vittima (informazioni personali, consapevolezza dell’esistenza di un rapporto commerciale o professionale tra due soggetti, ecc…).
A volte le informazioni riservate derivano dall’attività di un insider, magari un dipendente infedele della medesima azienda. In altri casi, il truffatore consegue le preziose informazioni attraverso la consultazione di fonti aperte, e la messa in campo di tecniche sofisticate di social engineering. L’ingegneria sociale, in generale, si concretizza nell’insieme delle modalità che consentono di carpire, da fonti chiuse o aperte a disposizione del criminale (ivi compresa l’attività visibile sui social network e, più in generale, in rete) preziosi dati personali utilizzati per ingannare l’interlocutore, confezionando nel modo più fedele e “credibile” l’apparato di artifizi e raggiri che integreranno la frode informatica.
Non è infrequente, tuttavia, che a monte della condotta criminosa vi sia la commissione di ulteriori reati-presupposto. L’accesso abusivo informatico a caselle di posta elettronica ed altri account in uso alla vittima, ed il loro successivo utilizzo, consentono all’intruso, all’insaputa delle parti, di leggere, alterare o modificare il contenuto della corrispondenza. L’hacker è così in grado di osservare, intercettare ed incanalare verso un’altra casella di posta elettronica, posta sotto il suo diretto controllo, il transito dei messaggi tra i due soggetti.
In secondo luogo, può verificarsi una vera e propria intrusione illecita nei dispositivi in uso alla vittima, strumentale all’inoculazione di malware mediante tecniche di hacking o di phishing. È questo un grave reato, che consente all’hacker di assumere il controllo del dispositivo della vittima e carpire ogni informazione contenuta al suo interno.
Come è evidente, le metodologie di attacco sfruttano tutti gli strumenti tecnologici a disposizione (telefono, e-mail, siti web, social network); il tutto, allo scopo di consentire al criminale di costruire un “personaggio” attendibile, in grado di sostituirsi validamente nei rapporti con il partner professionale/commerciale, ed in grado di conoscere e sfruttare a proprio vantaggio eventuali debolezze e/o elementi di soggezione o di squilibrio esistenti in tali rapporti.
Lo scopo ultimo delle organizzazioni criminali è quello di sostituirsi fraudolentemente nei rapporti commerciali tra le aziende “spiate”, così da indurre le medesime, con messaggi ingannevoli, a trasferire le somme dovute per i rispettivi rapporti di credito/debito, su conti correnti appositamente creati, in uso alle organizzazioni criminali e spesso allocati all’estero, nell’intento di rendere più difficoltose le attività d’indagine.
Le principali forme di manifestazione del reato
Acquisito il necessario patrimonio informativo preliminare, l’attaccante commette il reato ricorrendo oggi alle più note forme del “CEO (Chief Exeutive Officer) fraud” e del “BEC (business e-mail compromise) fraud“.
Nel caso del Ceo Fraud, il malfattore si sostituisce all’amministratore delegato o altro top-level manager dell’azienda, sfruttando la posizione di vantaggio ricoperta dalla persona sostituita all’interno della gerarchia aziendale. La vittima è prescelta tra soggetti ad essa sottoposti, detentori di informazioni aziendali sensibili e/o forniti di poteri di disposizione patrimoniale.
Nel caso del BEC, invece, l’attaccante si frappone nel rapporto commerciale in essere tra due soggetti (ad esempio, nel rapporto cliente/fornitore), utilizzando caselle di posta elettronica del tutto simili a quelle in uso alla persona sostituita (dalle quale si differenziano per sottilissimi particolari), ovvero del tutto coincidenti esse: attraverso la tecnica del cd. email-spoofing, è infatti possibile, mediante l’impiego di appositi software, “simulare” la provenienza di uno o più messaggi di posta elettronica da parte di account realmente esistenti, distraendo le successive risposte su caselle appositamente create, il tutto all’insaputa degli originari interlocutori. Normalmente poi, tali ultime caselle risultano attivate presso mail-server anonimi o allocati all’estero, sovente in Paesi non collaborativi con Autorità giudiziarie e/o di polizia.
In entrambi i casi, lo scopo dell’attaccante è costituito dall’induzione della vittima a disporre bonifici bancari verso IBAN riferiti a conti correnti, spesso esteri, in uso ai sodalizi criminali.
Tali modalità di attacco si presentano come particolarmente insidiose, poiché vanno ad incidere direttamente sull’integrità patrimoniale di aziende assai rilevanti per il tessuto produttivo del Paese, minandone seriamente le fondamenta.
Come contrastare il fenomeno
Vi è dunque la necessità di aumentare il livello formazione e di preparazione all’interno delle aziende di qualsiasi dimensione, che si associ all’investimento tecnologico per migliorare ed aggiornare costantemente i sistemi aziendali, stimolando per tal verso la creazione di una cultura di impresa che consideri in termini di investimento, e non già di mero costo, le spese in sicurezza informatica.
La diffusione della cultura della sicurezza informatica presso ciascun dipendente dell’azienda, specie se questi ricopre incarichi apicali ed ha accesso ai dati sensibili o al portafoglio aziendale, può rivelarsi spesso la chiave della prevenzione
Sul piano del contrasto, è evidente come l’azione delle Forze di Polizia debba sempre più indirizzarsi verso modelli, sempre più fattivi ed efficaci, finalizzati a conseguire la più rapida cognizione circa la consumazione del reato e degli elementi investigativi ad esso relativi, stimolando in tal senso la diligenza delle stesse parti offese le quali, per ragioni di politica commerciale legate alla tutela dell’immagine aziendale, possono talvolta nutrire profonde riserve circa la presentazione di tempestive denunce.
Inoltre, le possibili soluzioni si indirizzano verso attività di contrasto finalizzate a conseguire, presso gli Istituti bancari e finanziari, il blocco tempestivo delle somme provento di reato, nonché il rilascio di dati utili ai fini dell’indagine (dati di transazione, indirizzi IP, dati bancari relativi alle movimentazioni dei conti correnti utilizzati per commettere il reato ed ai loro titolari).
La piattaforma OF2CEN della polizia postale
In entrambi i sensi, l’esperienza operativa della Polizia Postale e delle Comunicazioni ha dimostrato come oggi la via preferenziale del contrasto verso tali reati, non possa prescindere dal consolidamento della cooperazione internazionale di polizia da un lato, e dalla partnership pubblico-privato con gli Istituti bancari e finanziari dall’altro.
Già dal 2010 La Polizia Postale, intuendo l’esigenza di implementare modelli di scambio informativo in tempo reale dei dati relativi alle frodi informatiche sui sistemi di pagamento, ha ideato e realizzato una piattaforma informatica, denominata OF2CEN – On-line Fraud Cyber Centre and Expert Network, che costituisce una piattaforma comune e condivisa tra Servizio Centrale, Compartimenti territoriali dipendenti ed gli Istituti di Credito convenzionati.
La piattaforma, nata per raccogliere in tempo reale, da parte degli Istituti di Credito e Forze di Polizia, tutti i dati economico – informatici relativi ad una frode, in atto o consumata, rappresenta un valido strumento di prevenzione e contrasto dei cosiddetti Financial Cybercrimes: da un lato essa permette agli Istituti di Credito di creare una black list con dei rapporti bancari utilizzati per perfezionare le varie frodi e intraprendere, quindi, autonomamente, le azioni di protezione ritenute più idonee; dall’altro, essa consente alle forze di polizia di acquisire una serie di importanti elementi investigativi relativi alle transazioni sospette o illecite, utili all’individuazione dell’autore dei reati, in ambito nazionale ed internazionale.
