L'ANALISI TECNICA

Coronavirus e truffe dei bonifici: tutti i rischi per le aziende italiane e i consigli per difendersi

Nell’attuale emergenza sanitaria, i criminal hacker sfruttano le cosiddette truffe dei bonifici, conosciute anche come Business Email Compromise, Man in the Mail e CEO Fraud, per colpire economicamente le aziende e ottenere guadagni facili. Ecco come riconoscerle e come difendersi

14 Mag 2020
D
Paolo Dal Checco

Consulente Informatico Forense


Le truffe dei bonifici, note anche con nomi come Business Email Compromise (BEC), Man in The Mail (MITM) o CEO Fraud, sono note da anni: l’FBI riporta spesso guide su come riconoscerle e il web è pieno di articoli che danno suggerimenti su come evitarle.

Nonostante questo, sono tornate in voga proprio in epoca di lockdown dovuto al coronavirus, dato che in questo periodo le aziende sono in buona parte in smart working e quindi in sostanza ognuno lavora da casa propria. Questo implica spesso meno concentrazione, più tolleranza verso situazioni “anomale” come colleghi che chiamano dal loro numero privato o scrivono dalla loro casella di posta personale.

Proprio queste situazioni promiscue fanno sì che i criminali abbiano un terreno fertile per truffe di ogni tipo, in particolare quelle che si appoggiano su rapporti a distanza cliente/fornitore con scambi di corrispondenza, telefonate o messaggi che possono avere come esito quello di far spostare denaro.

Ricadono in questa categoria tutte le truffe di tipo Man in The Mail, che ormai vengono realizzate con variazioni sul tema anche tramite telefonate ed SMS oltre a messaggi di posta elettronica nei quali viene in sostanza richiesto il pagamento di fatture per beni o servizi su IBAN diversi da quello legittimo.

Di pochi giorni fa, ad esempio, la notizia della tentata truffa ai danni della RAI, che ha visto il Presidente della società Marcello Foa bersaglio di un attacco di tipo “CEO Fraud” che stava per andare a segno.

Lo scenario è il solito da anni: il direttore di un’azienda riceve una mail da un contatto fidato che gli chiede di disporre un bonifico urgente a favore di qualche collaboratore o azienda, supportato quasi sempre da un avvocato che conferisce a tutta la faccenda un alone di serietà e nel contempo anche di riservatezza. Dalle mail si passa spesso alle telefonate: il legale chiama più volte per convincere la vittima, fornisce recapiti per essere richiamato, la sua identità non desta sospetto perché in genere il nome viene scelto tra quelli di avvocati realmente esistenti.

Truffe dei bonifici: ecco come riconoscerle

In genere le truffe dei bonifici si basano sul fatto che uno degli account delle aziende coinvolte viene “bucato” e da esso vengono prelevate mail e informazioni utili a portare avanti una sostituzione di persona finalizzata al richiedere fraudolentemente la disposizione di bonifico verso le credenziali IBAN errate.

Non sempre viene compromesso l’account, talvolta i criminali infettano i computer o gli smartphone sui quali vengono letti e scritti i messaggi di posta e da lì accedono ai dati che servono per poter portare avanti la truffa.

In molti casi, i delinquenti registrano domini simili a quelli di una o due delle parti coinvolte, manipolando le estensioni dei nomi DNS in modo da rendere poco evidente la differenza tra quello fraudolento e quello originale.

Abbiamo così situazioni nelle quali il dominio aziendale “dominioazienda.it” diventa abusivamente “dominioazienda-it.com”, registrato anonimamente su provider stranieri anonimamente ma con un impatto visivo simile alla versione italiana.

In altri casi, i criminali non si spingono a registrare domini ma utilizzano e-mail gratuite come Gmail o Gmx scegliendo nickname il più possibile vicini alle aziende da emulare: nell’esempio di prima, avremo così “dominioazienda-it@gmail.com”. In tutti i casi, il nome del mittente viene scelto il più similmente possibile a quello originale, così da dare l’impressione a chi riceve il messaggio di essere in contatto con l’azienda legittima e non di fronte a sostituzione di persona.

Il lockdown, le truffe e gli attacchi informatici

La situazione causata dalla Covid-19 ha permesso ai truffatori di far passare più facilmente eventuali forzature come il cambio d’indirizzo e-mail da aziendale a esterno, dando loro in alcuni casi persino la possibilità di esplicitare il passaggio motivandolo proprio con le conseguenze dello smart working.

In questo momento, infatti, stupisce meno un commerciale o una segretaria che utilizzano il loro indirizzo di posta personale – magari su Gmail – per dialogare con i clienti e chiamano dal loro numero di cellulare privato. Basta infatti che questa anomalia venga motivata con il fatto che “siamo tutti in smart working e da casa non si riescono a utilizzare mail e telefono aziendale” per far sì che il livello d’attenzione cali e si finisca con l’accettare come normale la nuova situazione.

WHITEPAPER
La guida per scegliere il miglior antivirus gratuito per il tuo PC
Personal Computing
Privacy

Sempre lo smart working, attivato spesso all’improvviso durante il lockdown, sta causando innumerevoli altre problematiche, come ad esempio l’aumento indiscriminato di attacchi verso server aziendali lasciati aperti proprio per permettere ai lavoratori di connettersi da casa.

Le aziende che hanno dovuto organizzarsi in poco tempo spesso non hanno implementato in modo corretto la gestione del lavoro da remoto, arrivando anche ad aprire direttamente la rete interna o parte di essa verso l’esterno.

Assistiamo così, ad esempio, a decine di migliaia di PC che risultano aperti sulla porta 3389 tramite il protocollo Microsoft RDP, che permette ai dipendenti di connettersi al PC dell’ufficio da casa ma anche ai criminali di tentare facilmente di entrare. Considerata la semplicità con la quale si possono trovare, ad esempio su servizi come Shodan, elenchi di PC con la porta 3389 aperta, risulta immediato comprendere la gravità del problema e quanto in questi giorni questo elemento viene abusato dai criminali.

Il rischio è che le password impostate dagli utenti sono spesso semplici e un brute force – come quello rilevato da Kaspersky nella sua recente analisi – sortisce spesso l’effetto di aprire la porta e fare entrare chiunque. Ovviamente, una volta entrati, i criminali possono operare in diversi modi, tutti problematici per l’azienda colpita.

Talvolta lanciano ransomware e cifrano l’intera rete interna, inclusi server, database, NAS e persino i backup, chiedendo poi un riscatto di decine di migliaia di euro per consegnare le chiavi. Nei casi peggiori, oltre a cifrare i dati, questi vengono anche prelevati e il riscatto raddoppia, perché non solo serve alla restituzione dei documenti ma anche per impedirne la pubblicazione e la diffusione, cosa che avrebbe un impatto sull’azienda in termini di privacy e reputazione.

Altre volte, i delinquenti installano sui PC dei software di monitoraggio – detti keylogger, trojan, RAT ecc. – e spiano le attività degli utilizzatori, memorizzando password, credenziali, segreti e leggendo la posta elettronica. Con i dati rubati in qualche giorno o settimana di osservazione, poi, i delinquenti procedono con truffe come BEC, MiTM, sostituzioni di persona ma anche aperture di finanziamenti o altri tipi di reati sempre basati sulle informazioni ottenute illegalmente.

Da tenere presente, poi, che la Covid-19 sta portando anche numerosi casi di malware scaricati dagli utenti proprio con l’intenzione di difendersi dal coronavirus – come se fosse possibile proteggersi da un virus con un software – o da altri malware.

O ancora, sono stati rilevati programmi malevoli inseriti in app di “contact tracing” che fingevano di poter informare l’utilizzatore circa la presenza di eventuali soggetti positivi nei dintorni. Ci sono poi centinaia di siti web contenenti le parole “covid” e “coronavirus” sui quali vengono caricati malware con il fine d’intercettare le richieste d’informazioni degli utenti – ad esempio sui motori di ricerca – e far scaricare software malevoli o infettare browser e sistema operativo.

Proteggersi dalle truffe dei bonifici non è difficile

La protezione dalle truffe dei bonifici o di tipo Man in The Mail non è difficile, ma purtroppo spesso la soluzione non è tecnica, bensì comportamentale.

Dal punto di vista tecnologico, certamente l’utilizzo di buoni sistemi di antispam, l’impostazione di parametri come SPF, DMARK, DKIM sui domini utilizzati per inviare messaggi di posta elettronica, l’utilizzo di sistemi IDS/IPS in azienda e altri meccanismi di rilevamento anomalie possono tornare utili.

Certamente, l’elemento chiave è però l’utente, al quale deve essere demandata la responsabilità finale del credere o meno a una comunicazione di cambio IBAN, oppure al fatto che durante il lockdown l’azienda con cui intrattiene rapporti utilizzerà indirizzi Gmail invece di quelli aziendali, tutti elementi difficilmente rilevabili tecnicamente.

Lo stesso dicasi per eventuali telefonate ed SMS ricevuti da numeri sconosciuti o, peggio ancora, dai numeri che conosciamo e di cui ci fidiamo, come quelli della banca – si pensi ad esempi agli attacchi di Smishing con i quali i criminali usano i messaggi di testo per inviare gli utenti a cliccare su siti di phishing per rubare credenziali e deviare i bonifici.

In sostanza, la consapevolezza è la chiave nella difesa da questo tipo di attacchi, la formazione, il costante aggiornamento, il comportamento che alla cortese disponibilità unisce una giusta diffidenza che talvolta permette di evitare danni patrimoniali anche ingenti.

Una telefonata per la richiesta di conferma, un messaggio WhatsApp al contatto con il quale abbiamo già in passato avuto comunicazioni, possono fare la differenza.

Consiglio importante: fidarsi poco delle chiamate e messaggi di testo ricevuti (potrebbero essere impersonati i numeri di telefono) ma se possibile fare le telefonate a numeri noti o piuttosto utilizzare chat già aperte su WhatsApp, Telegram, Signal o altri sistemi d’instant messaging che sono più complicati da intercettare o deviare.

Cosa fare se la truffa ha già avuto luogo

Se la truffa dei bonifici è già avvenuta e i delinquenti hanno ottenuto una o più disposizioni di bonifico, certamente la situazione non è banale e bisogna agire subito per tentare di bloccare il prelievo dei fondi dalla banca che li ha ricevuti.

La velocità, in questi casi, è la discriminante che permette di recuperare se non la somma versata, almeno una parte, contattando prontamente la banca e l’Autorità Giudiziaria del paese destinatario dei fondi.

Molto spesso, infatti, il denaro viene prelevato immediatamente e il recupero ha poco effetto: la banca destinataria risponde – se risponde, spesso all’estero non si riesce a trovare un contatto con cui interagire – che i fondi non ci sono più e chiude la gestione dell’incidente.

Lato banca, la questione è semplice: se ci sono ancora i soldi, si può tentare di bloccarli, se non ci sono, la situazione diventa molto più complicata. Si può tentare di fare leva sulla responsabilità di un ente bancario che ha ricevuto denaro tramite bonifico intestato diversamente dal conto, per quanto talvolta i criminali arrivano anche a intestare il conto con le credenziali corrette. A quel punto, si può puntare sul fatto che la banca può non aver fatto le dovute verifiche, ma se i delinquenti hanno fornito documenti falsi o provenienti da identità rubate, la banca può anche smarcarsi.

Ciò che rimane, a quel punto, è cercare di capire come è avvenuta la truffa, per tentare d’identificare responsabilità che permettano un’eventuale richiesta di risarcimento di una parte nei confronti dell’altra.

Se, ad esempio, il cliente ha fatto un bonifico all’IBAN errato perché ha ricevuto una mail dal fornitore cui hanno compromesso il sistema, certamente dal punto di vista legale e risarcitorio potrebbe fare leva su questo aspetto e chiedere al fornitore l’invio della merce anche se il pagamento è avvenuto sul conto sbagliato.

Se invece la mail fraudolenta è arrivata al cliente a seguito di compromissione del suo sistema e il fornitore ha già spedito la merce, questo può avere una base su cui chiedere nuovamente il pagamento che il cliente ha già sostenuto, ma sul conto errato.

Allo stesso modo, se la casella di posta del cliente è stata compromessa – tramite phishing, infezione del PC o brute force – e il fornitore non ha ancora spedito la merce, non avendo ricevuto il pagamento difficilmente questi potrà essere costretto a procedere comunque con l’invio, proprio perché la truffa è avvenuta basandosi su problematiche del cliente.

Non è ovviamente sempre banale semplificare in tale maniera, spesso vi sono combinazioni di eventi e di cause che fanno spostare le responsabilità in modo imprevedibile.

Proprio per questo è necessario procedere al più presto con un’analisi forense dei sistemi, dei servizi e delle caselle di posta coinvolti, previa “cristallizzazione” di tutte le evidenze digitali che potrebbero poi diventare prove a favore o meno del cliente.

WEBINAR
AI, protezione dei dati e flessibilità: anche questo è Storage
Intelligenza Artificiale
Storage

Il caso della truffa dei bonifici è uno di quelli dove una buona fase di acquisizione forense e tecniche di digital forensics possono portare alla risoluzione del caso e a identificare se non gli autori almeno la modalità con la quale è avvenuta la truffa, cosa che per le parti coinvolte spesso è un punto di partenza per la risoluzione spesso anche bonaria della controversia che nasce a seguito della perdita di denaro.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5