Negli ultimi anni, il fenomeno del cybercrime nel settore finanziario non ha conosciuto tregua, anzi si è intensificato in tutto il mondo (Europa inclusa) durante la pandemia approfittando dapprima dello smart working emergenziale, poi della graduale introduzione di paradigmi di lavoro ibridi. A prescindere dal contesto, l’utilizzo frequente di dispositivi non protetti né aggiornati e un generale clima di incertezza e apprensione hanno creato un terreno estremamente fertile per attività di phishing e di social engineering.
Frodi finanziarie sempre più frequenti
Secondo il recente Rapporto Clusit di marzo 2022, che dedica al cybercrime nel settore finanziario europeo un corposo approfondimento, le frodi finanziarie continuano a tenere banco. Con il 23% di tutti gli attacchi registrati, il settore finanziario continua ad essere in cima alle attenzioni dei cyber criminali, che sfruttano vettori d’attacco sempre più sofisticati e, soprattutto, diversi a seconda del mercato di riferimento, retail o corporate.
Nel primo caso, l’anello (più) debole della catena è sempre il cliente finale, che viene raggirato in diversi modi con lo scopo di ottenere le credenziali d’accesso ai sistemi di home e mobile banking. I vettori d’attacco per eccellenza restano il phishing e i malware, entrambi eventualmente potenziati con tecniche sofisticate di social engineering.
I malware, in particolare, evolvono di giorno in giorno e diventano sempre più insidiosi, tentando di eludere gli strumenti di protezione e di occultare la loro presenza. È interessante notare come tra i vettori d’attacco ci sia anche quello diretto all’infrastruttura bancaria, che viene eseguito sfruttando vulnerabilità conosciute ma non ancora risolte.
Le finalità sono di fatto le stesse di sempre: il furto delle credenziali di accesso ai sistemi bancari, l’acquisizione dei dati delle carte di pagamento e la sostituzione dell’IBAN a beneficio di un conto intestato a un prestanome (un money mule, per l’esattezza). Essendo in vigore l’obbligo di autenticazione forte, un altro fine è proprio il furto del fattore di strong authentication.
Volgendo invece lo sguardo al mercato corporate, il vettore del cybercrime nel settore finanziario è quasi sempre il malware, ma integrato all’interno di schemi d’attacco decisamente più articolati rispetto a quelli del mercato retail.
Rapporto Clusit 2022: malware sofisticati e 4,3 nuove pagine di phishing al giorno
Tra le principali modalità d’attacco, il Rapporto Clusit 2022 riporta come sempre i malware. I nomi di spicco del 2021 sono stati QakBot, Ursnif/Gozi e Bugat, che peraltro figuravano già nelle edizioni precedenti. Lo stesso Rapporto Clusit 2022 fa notare la fortissima perdita di terreno di TrickBot dopo lo smantellamento della relativa botnet a fine 2020.
Il phishing, dal canto suo, non accenna a perdere terreno. Il Rapporto Clusit 2022 segnala la pubblicazione di 4,3 pagine di phishing in media al giorno lungo tutto il 2021, a testimonianza di un trend tutt’altro che in esaurimento. Il phishing ha colpito 30 istituzioni finanziarie italiane, prima fra tutte Intesa Sanpaolo con il 32% delle campagne. Da notare che la stragrande maggioranza degli attacchi è realizzata attraverso pagine con protocollo HTTPs, che ormai non dà più certezze di affidabilità.
Se la pericolosità dei malware aumenta di giorno in giorno in tutto il mondo, il metodo di distribuzione principale resta la classica campagna spam con link a siti o con allegati documenti infetti affiancati ad altri totalmente innocui.
Tra le dinamiche di attacco risulta particolarmente subdolo e pericoloso il vishing, che si avvale di finti operatori bancari che richiamano il cliente a seguito dell’immissione del proprio numero di telefono all’interno del modulo fasullo. Alla diffusione di questa tecnica ha senza dubbio contribuito l’obbligo di strong authentication: i malintenzionati possono infatti catturare le credenziali attraverso un modulo e la OTP mediante la conversazione telefonica. Per questo motivo, i sistemi più evoluti fanno ricorso a modalità di accesso biometrico tramite impronta digitale o riconoscimento del volto. Secondo il Rapporto Clusit 2022, la localizzazione in lingua italiana è ormai perfetta, essendo sparite le e-mail con errori grammaticali viste con frequenza gli scorsi anni.
Le campagne di cybercrime nel settore finanziario hanno una durata temporale molto limitata: siamo infatti nell’ambito di massimo 48 ore (72% dei casi) prima di diventare inefficaci, il che pone grande pressione sulle soluzioni di protezione individuali e aziendali, che sono chiamate a intervenire in un lasso di tempo estremamente ridotto.
SIM Swap: come difendersi?
Nel variegato panorama cybercrime nel settore finanziario, accade che anche i processi degli operatori telefonici vengano sfruttati come vulnerabilità. Stante l’autenticazione a due fattori, molte persone optano ancora per ricevere i codici OTP via SMS, fornendo ai malintenzionati l’opportunità di realizzare lo schema della SIM swap: come difendersi?
SIM swap ha una dinamica piuttosto semplice: i criminali ottengono dall’operatore telefonico una nuova SIM con lo stesso numero di telefono di una vittima di cui hanno già intercettato le altre credenziali di accesso. A titolo d’esempio, questo può avvenire a seguito di una finta denuncia di smarrimento o più semplicemente attivando (con documenti falsi) una procedura di number portability. Il PIN temporaneo OTP verrà dunque intercettato prima che la vittima se ne accorga.
I malintenzionati trasformano quindi in vulnerabilità un punto saldo del mercato telco: la number portability, introdotta proprio a difesa degli interessi dei consumatori e della libertà di passare da un operatore all’altro. La forte accelerazione delle procedure ha reso SIM swap uno schema molto diffuso in tutta Europa. La soluzione, non definitiva ma pur sempre efficace, è quella di non utilizzare l’SMS come canale di trasmissione delle password OTP e di sfruttare, invece, strumenti di accesso più sofisticati, tra cui le app bancarie, le relative notifiche e tutte le modalità di accesso biometrico.
