Categorie: Cyber Security

Tra il 2019 e il primo semestre 2020, il fenomeno del cybercrime nel settore finanziario non ha conosciuto tregua, anzi si è intensificato in tutto il mondo (Europa inclusa) durante i primi mesi della pandemia approfittando dello smart working emergenziale, dell’utilizzo frequente di dispositivi non protetti né aggiornati e di un generale clima di preoccupazione e apprensione che rappresenta da sempre un terreno fertile per il phishing e il social engineering.

Secondo il più recente Rapporto Clusit (ottobre 2020), che dedica al cybercrime nel settore finanziario europeo un corposo approfondimento, i vettori d’attacco per eccellenza restano il phishing e i malware, entrambi potenziati con tecniche di social engineering. I malware, in particolare, evolvono di giorno in giorno e diventano sempre più sofisticati al fine di eludere gli strumenti di protezione e occultare la loro presenza. Le finalità, invece, sono sostanzialmente le stesse di sempre: il furto delle credenziali di accesso ai sistemi bancari, l’acquisizione dei dati delle carte di pagamento e la sostituzione dell’IBAN a beneficio di un conto intestato a un prestanome (un money mule, per l’esattezza). Curiosamente, però, in questo periodo stanno aumentando gli attacchi indiretti, come quelli effettuati via malware e indirizzati a ottenere le credenziali di sistemi terzi, come quelli di posta elettronica da cui attivare campagne BEC (Business Email Compromise, la nota “truffa del CEO”) per ottenere benefici finanziari indebiti. Dall’acquisizione dei dati delle carte di credito si origina, poi, l’enorme fenomeno delle frodi sulle carte di pagamento (quasi 100 milioni quelle attive solo in Italia), le cui transazioni fraudolente in area SEPA si quantificano nell’ordine dei miliardi di euro.

 

Malware sofisticati, ma distribuiti in modo semplice

I malware diventano sempre più sofisticati, aumentano in numero e in pericolosità. Infatti, i tre più usati dal cybercrime nel settore finanziario nel 2019 e 2020 (TrickBox, Gozi e Bugat) rappresentano cumulativamente solo il 41% delle infezioni finalizzate alle frodi finanziarie: il restante 59% è composto da un fitto ed eterogeneo insieme di malware diversi. In Italia, in particolare, ha trovato terreno fertile Emotet, progettato in origine come malware bancario ma oggi impiegato come vettore di altri malware e in particolare di Trickbox, specializzato nel furto di credenziali per l’accesso ai sistemi finanziari.

Se la pericolosità dei malware aumenta di giorno in giorno in tutto il mondo, il metodo di distribuzione principale resta la classica campagna spam con link a siti o con allegati documenti infetti affiancati ad altri totalmente innocui. Persiste, quindi, il meccanismo di infezione basato sulle macro di Office, che peraltro dal 2010 ad oggi sono disabilitate di default: se fino al 2019 il cybercrime del settore finanziario mirava a sfruttare le vulnerabilità del sistema operativo per avviare macro semplicemente da preview del documento, nel 2020 i malintenzionati hanno trovato nel Covid un alleato insostituibile. Al posto dello sfruttamento di complesse vulnerabilità tecniche, hanno quindi usato quelle umane puntando sull’autorevolezza di (finti) messaggi dell’Agenzia delle Entrate, delle banche o dell’INPS. Ottenere l’abilitazione di una macro è stato, quindi, molto più semplice di un tempo, il che rende la vittima parzialmente responsabile del successo dell’attacco: a tal proposito, diventa sempre più centrale l’acquisizione di consapevolezza sui rischi informatici.

Inoltre, le campagne di cybercrime nel settore finanziario hanno una durata temporale molto limitata: secondo il Rapporto citato, siamo nell’ambito di massimo 48 ore prima di diventare inefficaci, il che pone grande pressione sulle soluzioni di protezione individuali e aziendali, che sono chiamate a intervenire in un lasso di tempo estremamente ristretto. Per quanto riguarda il phishing, con tanto di replica fedele del sito della banca o dei template di comunicazione ufficiale, gli osservatori hanno rilevato nei primi 9 mesi dell’anno (2020) 1,6 campagne al giorno, con una tendenza in crescita dovuta, come sempre, agli effetti della pandemia.

 

L’anno della Strong Authentication

I dati attualmente disponibili si riferiscono in buona parte al 2019 e all’inizio del 2020, ma è prevedibile un rafforzamento progressivo delle protezioni contro le frodi finanziarie come conseguenza dell’entrata in vigore della Direttiva europea PSD2, che tra le varie norme impone l’autenticazione forte del cliente nelle attività con potenziale rischio di frode. Il concetto è semplice e ormai noto ai più: per alcune operazioni finanziarie (ma non tutte) viene richiesto un doppio fattore di autenticazione che misceli qualcosa di conosciuto all’utente (username e PIN, per esempio) con un sistema biometrico (impronta digitale, viso) oppure con un dispositivo posseduto solo dall’utente: in quest’ultimo caso, un esempio calzante è la notifica dell’app della banca, preventivamente legata a un dispositivo mobile preautorizzato. In questo modo i malintenzionati dovrebbero non solo conoscere le credenziali, ma anche possedere il dispositivo.

Tutto ciò permette non solo di abbandonare definitivamente l’era delle password tutte uguali, ma anche quella dei codici di conferma via SMS, soggetti a potenziali attacchi Man in the Middle e di SIM Swap, che si verifica quando viene emessa una nuova SIM dall’operatore a insaputa del cliente (previo furto di documenti) e viene usata per autorizzare operazioni bancarie.

New call-to-action