FRODI INFORMATICHE

Minacce cyber nel settore finanziario italiano: rischi e soluzioni

Il fenomeno delle frodi informatiche attraverso i canali internet e mobile banking è in costante aumento. Ecco un’indagine del fenomeno e delle conseguenti azioni di prevenzione e contrasto realizzate dalle banche italiane utile ad analizzare i trend di gestione della cyber security in ambito finanziario e assicurativo in Italia

12 Apr 2022
G
Gabriele Gamberi

Cyber Security and Fraud Analyst CERTFin

T
Roberto Tordi

Research Analyst – CERTFin

Il fenomeno delle frodi informatiche realizzate nel corso del 2021 attraverso i canali internet e mobile banking è in continua evoluzione, tanto che le minacce cyber nel settore finanziario rappresentano ormai uno dei principali rischi per gli utenti italiani e non solo.

In tal senso, il CERTFin (Computer Emergency Response Team del settore finanziario) ha indagato[1] sul fenomeno e sulle conseguenti azioni di prevenzione e contrasto realizzate dalle banche italiane con l’obiettivo di analizzare i trend e comprendere come contestualmente si stiano evolvendo le politiche di gestione della cyber security all’interno degli ambiti bancario e assicurativo in Italia.

Minacce cyber nel settore finanziario italiano: analisi e trend

Oltre al consueto dimensionamento e alla caratterizzazione delle frodi, è quindi proseguita la raccolta di informazioni sui nuovi modelli di social engineering realizzati a danno della clientela e sui principali attacchi finalizzati a compromettere la confidenzialità, l’integrità e la disponibilità di dati, informazioni e servizi interni alla banca e/o offerti al cliente.

WHITEPAPER
Canale ICT: 5 misure di successo automatizzare il business
Sicurezza
Software

I dati sono riferiti al periodo temporale compreso fra il primo gennaio e il 31 dicembre 2019. Hanno partecipato alla rilevazione in oggetto 23 banche operanti sul mercato italiano, con una rappresentanza, in termini di personale dipendente, del 73% del settore.

In generale si può affermare che, nell’arco del 2020, si sia assistito a un lieve aumento del numero complessivo di attacchi andati a buon fine.

Sul totale delle transazioni anomale, la percentuale delle frodi che hanno comportato un impatto economico, aggregando i segmenti retail e corporate, è stata infatti pari al 17%, contro il 14,5% dell’anno precedente.

Tra i fattori alla base di tale incremento, si evidenzia una quota di frodi effettive attuate attraverso bonifici istantanei e un maggior peso, nel passato trascurabile, delle transazioni fraudolente effettive sulle ricariche di carte prepagate, passate, per il segmento retail, dal 5% del 2019 al 25% del 2020 e per il segmento corporate dallo 0% a circa il 20%.

CERTFin – Rapporto Sicurezza e Frodi informatiche in banca ed. 2021 – Ripartizione Bloccate/Effettive – analisi sul numero di accadimenti clientela Corporate e Retail.

Più in generale, sembra essere confermata la tendenza già registrata in occasione delle precedenti rilevazioni, che vede la clientela retail interessata da una numerosità di attacchi quattro volte maggiore rispetto al segmento corporate.

Nonostante il brusco cambio di scenario dovuto agli impatti della pandemia, tutt’ora in atto, e l’ulteriore sofisticazione di alcuni pattern di frode a cui abbiamo assistito, pur con una leggera flessione, la percentuale di transazioni fraudolente bloccate/recuperate si mantiene a livelli elevati: in media l’83%.

CERTFin – Rapporto Sicurezza e Frodi informatiche in banca ed. 2021 – Ripartizione percentuale sul numero di accadimenti (complessivo Retail e Corporate).

I vettori di attacco al settore finanziario italiano

Sul fronte dei vettori d’attacco, invece, nel corso del 2020 si è assistito a un incremento consistente di fenomeni legati alla creazione di siti clone e particolarmente diffuse sono state le campagne di phishing e di malspam aventi come target l’utente finale: in sostanza, i cyber criminali hanno sfruttato a loro vantaggio il tema “pandemia” utilizzandolo come “esca” per distribuire trojan bancari e manipolare utenti al fine di ottenere profitti illeciti.

In generale, appare opportuno evidenziare come ormai le tecniche miste (ad esempio social engineering combinato con malware) siano prevalenti rispetto alle altre, arrivando a rappresentare il 65% degli attacchi, toccando ben l’80% considerando la sola clientela retail.

CERTFin – Rapporto Sicurezza e Frodi informatiche in banca ed. 2021 – Tipologia e distribuzione tecniche di attacco – Canale Mobile – Casi di frodi identificate – Clientela Retail.

Il segmento corporate risulta essere, di contro, maggiormente soggetto a frodi perpetrate tramite l’utilizzo di malware, molti dei quali con funzionalità di tipo MITB (Man in the Browser).

Si riporta, inoltre, come evidenza particolarmente positiva emersa dall’analisi dei dati raccolti, la diminuzione del fenomeno SIM Swap (solo il 5% delle tecniche utilizzate per il segmento Retail).

Il ridimensionamento di questa tipologia di frode è in parte riconducibile anche allo sforzo prodotto dal tavolo di lavoro congiunto tra settore bancario, rappresentato dal CERTFin, e gli operatori telefonici, attivo già dalla fine del 2019 che ha permesso l’avvio di una sperimentazione, ancora in corso, di alcune contromisure tecniche che, al momento, sembrano essersi dimostrate efficaci e che, se opportunamente diffuse, potrebbero neutralizzare tale fenomeno o renderlo, nei fatti , del tutto marginale.

Spostando, poi, l’attenzione sugli attacchi rivolti alla confidenzialità, integrità e disponibilità​, nell’arco del 2020 è stato registrato un picco di eventi RDDoS (eventi che risultavano essere sporadici in passato), in massima parte concentrati su 3 grandi ondate, con il 57% degli istituti che ha dichiarato di averne subito almeno uno.

Interessante, anche sottolineare il mutato scenario nella distribuzione geografica dei conti di riciclaggio del denaro frutto di frodi: da Paesi dell’area economica europea si va sempre più verso destinazioni diverse, anche extra UE. Dall’analisi del dato appena descritto, emerge l’importanza di rafforzare le collaborazioni internazionali, finalizzate ad una diffusa condivisione non soltanto di informazioni tecniche ma anche di pattern di attacco, così da poter definire meccanismi di prevenzione e difesa sempre più efficaci.

Va sottolineato, infine, come il settore, nel suo complesso, abbia mostrato un buon livello di risposta agli incidenti, anche grazie al rafforzamento dei profili di sicurezza e monitoraggio degli accessi con nuove soluzioni, quali ad esempio il Cloud Access Security Broker.

Attacco SIM swapping: cos’è, come funziona, come difendersi

Trend in atto nel settore assicurativo

Nel corso dell’anno 2021, per il secondo anno consecutivo, il CERTFin e l’ANIA hanno elaborato una survey di settore, con l’obiettivo di delineare lo scenario relativo alla gestione della cybersecurity nel settore assicurativo: le strutture di governo, i trend tecnologici in atto, i fenomeni di frode rilevati e i processi di prevenzione e contrasto.

Hanno partecipato alla rilevazione 19 imprese assicurative, con una rappresentanza sul mercato italiano di circa il 70% del settore.

Andando nel dettaglio, all’interno dell’analisi relativa alla conformazione delle strutture di cyber security, è emerso come anche nel settore assicurativo vi siano stati alcuni cambiamenti significativi in termini di modalità operative e dotazioni acquisite, in concomitanza con il ricorso intensivo al lavoro agile dovuto all’emergenza epidemiologica da Covid-19.

A tal proposito, il 100% delle imprese assicurative rispondenti ha dichiarato di aver introdotto, nel corso del 2020, lo strumento del lavoro agile al proprio interno, seppur con quote differenti di personale:

  1. il 72% delle imprese rispondenti ha dichiarato di aver indirizzato verso il lavoro agile fino al 100% del proprio personale;
  2. il 17% dei rispondenti ha dichiarato di aver indirizzato verso il lavoro agile una quota di personale variabile tra 50 e il 70%;
  3. l’11% dei rispondenti ha dichiarato di aver indirizzato verso il lavoro agile meno della metà del proprio personale.

A ogni modo, si prevede che gli sforzi di adeguamento tecnologico e organizzativo, sostenuti in gran parte durante l’anno 2020, potranno essere di utilità anche nel breve-medio periodo, poiché il 94% delle imprese prevede di mantenere il lavoro agile come possibili modalità di lavoro per il personale dipendente, anche a conclusione dell’attuale crisi pandemica.

Rispetto al dimensionamento dei fenomeni cyber rilevati, si segnala come il settore sia esposto ai principali modelli di attacco o di frode che si riscontrano nel settore finanziario (es. diffusione di ransomware, attacchi DDoS, campagne di phishing ecc.).

Per quanto riguarda, invece, il livello di sofisticazione percepito sui diversi modelli di attacco rilevati, si segnala che il 78% delle imprese rispondenti ha registrato, innanzitutto, un aumento del grado di sofisticazione delle campagne di phishing e il 50% segnala un aumento della sofisticazione degli attacchi ransomware.

CERTFin-ANIA La: La gestione della Cybersecurity nel settore assicurativo italiano, ed.2021 – Tendenza evolutiva percepita in termini di sofisticazione degli eventi cyber rilevati.

Si è deciso, inoltre, di analizzare l’incidenza di alcuni fenomeni cyber di particolare rilevanza per il settore assicurativo ed in parte monitorati anche dagli organismi di vigilanza.

Nello specifico, si fa riferimento al fenomeno della clonazione a scopo fraudolento dei siti web ufficiali delle imprese assicurative e al fenomeno del ghost broking, nella forma perpetrata attraverso il canale internet, ovvero la pratica secondo la quale il frodatore, spacciandosi per agente di un’impresa assicurativa, a seguito del pagamento di un “premio” rilascia al cliente una polizza assicurativa, ovviamente falsa.

Rispetto al primo fenomeno descritto, si evidenza come la maggior parte delle imprese, il 72%, ha dichiarato di non aver rilevato casi di clonazione dei propri siti web nell’arco del 2020.

Il restante 28% dichiara, al contrario, di aver rilevato questo tipo fenomeno.

Ad ogni modo, dall’analisi dei dati emerge come la maggior parte delle imprese presenti sul mercato italiano si è dotata di strumenti utili per la «detection» di questo tipo di minaccia. 

CERTFin-ANIA: La gestione della Cybersecurity nel settore assicurativo italiano, ed.2021 – Percentuale di imprese che hanno riscontrato fenomeni di clonazione dei siti aziendali a scopo fraudolento.

Per quanto riguarda, invece, il ghost broking, il 33% delle imprese rispondenti ha segnalato di aver rilevato casistiche di questo fenomeno ai danni della clientela.

La totalità di queste ultime, ovvero il 100%, ha dichiarato che i casi riscontrati hanno riguardato l’ambito delle polizze RCA, il 33% ha registrato casistiche anche nell’ambito delle polizze danni non auto, mentre il 17% dei casi nell’ambito delle polizze vita.

Ulteriori elementi di analisi raccolti durante le diverse occasioni di confronto con i principali player del settore assicurativo italiano, lasciano ipotizzare, per il futuro, un trend in aumento del fenomeno del ghost broking.

Per questo motivo, appare auspicabile avviare una discussione interna al settore al fine di trovare una soluzione efficace per arginare questo fenomeno, che oltre a minare la reputazione delle imprese assicurative coinvolte può mettere in seria difficoltà la vittima del raggiro, convinta di potersi avvalere, all’occorrenza, di una copertura assicurativa che in realtà non possiede.

Tra gli obiettivi della survey in oggetto, vi era anche l’intenzione di monitorare la diffusione e la conformazione degli strumenti di “Cyber Insurance” presenti sul mercato.

A tal proposito, si segnala che:

  • il 76,5% delle imprese assicurative, dichiara di aver provveduto a stipulare una polizza di cyber insurance per la propria protezione (+18% rispetto alla precedente rilevazione);
  • il 58% delle imprese assicurative dichiara di essere già presente sul mercato delle polizze di cyber insurance (+17,5% rispetto alla precedente rilevazione) e il 5% prevede di entrarvi nell’arco del 2021;
  • i costi per la violazione dei dati, gli indennizzi per l’assistenza tecnica, l’assistenza legale e la copertura dei danni da interruzione di esercizio risultano essere le coperture maggiormente presenti all’interno delle polizze di cyber insurance offerte alla clientela.

Panorama delle minacce cyber per il settore finanziario italiano

Dopo aver analizzato le principali evidenze di interesse per i principali ambiti del settore finanziario, si ritiene opportuno offrire una panoramica sintetica delle minacce che potranno interessare, nel breve-medio periodo, le istituzioni finanziarie.

Più nello specifico, per i prossimi mesi, appare plausibile ipotizzare uno scenario in sostanziale continuità con l’attuale.

Si fa particolare riferimento all’evoluzione dei seguenti fenomeni cyber:

  1. Vulnerabilità critiche in software open-source (i.e., Log4Shell): Le organizzazioni criminali potranno proseguire a sfruttare attivamente la recente vulnerabilità 0-day presente nella libreria log4j che impatta software ampiamente diffusi nella maggior parte dei settori produttivi, finanziario compreso. Più in generale, inoltre, l’andamento delle vulnerabilità critiche individuate dalla comunità di cyber security community sta crescendo rapidamente. Lo sfruttamento di tali vulnerabilità potrebbe facilitare l’ingresso nelle reti delle organizzazioni anche in considerazione del fatto che il processo di patch management sta diventando sempre più complesso e con tempi di intervento che sembrano essere mediamente più lunghi rispetto al passato.
  2. Attacchi DDoS su servizi 3DS: Oltre al consueto targeting delle infrastrutture IT, gli ultimi mesi sono stati caratterizzati dal verificarsi di diversi attacchi DDoS aventi come obiettivo primario i servizi di autenticazione 3D Secure, mediante lo sfruttamento di piccoli volumi di traffico. In questi attacchi, gli aggressori mascherano gli effettivi indirizzi IP vettori dell’attacco (attraverso tecniche di spoofing) con indirizzi IP di soggetti legittimati ad accedere a servizi 3DS con l’obiettivo di causare l’inserimento in blacklist degli indirizzi IP legittimi, generando dei disservizi. Tale dinamica potrebbe portare ad una situazione in cui un merchant, in fase di elaborazione e autorizzazione di una transazione del cliente, tenta di accedere senza successo al servizio 3DS a causa delle misure di prevenzione messe in atto. Come conseguenza del tentativo di autorizzazione non andato a buon fine, il merchant avrebbe quindi la possibilità di rinunciare alla transazione oppure autorizzarla rinunciando alla verifica, ma offrendo il fianco a eventuali frodi.
  3. Attacchi ransomware e consolidamento modello Access-as-a-Service: negli ultimi mesi si è assistito ad un notevole incremento degli attacchi ransomware, in cui i gruppi criminali non solo hanno raffinato le loro tecniche e competenze, ma hanno anche espanso il loro arsenale includendo il modello estorsivo della “Quadruple Extortion”, che sposta l’attenzione verso gli stakeholder e i clienti dell’organizzazione colpita, informandoli circa il furto dei propri dati al fine di esercitare maggiore pressione sulla vittima dell’attacco ed indurla al pagamento dell’attacco. Alla luce di uno scenario in cui gli attacchi ransomware stanno diventando sempre più facili da condurre – per via della recente evoluzione e rafforzamento del modello di business Ransomware-as-a-Service (Raas) – nei prossimi mesi è possibile prevedere la prosecuzione di un simile modello di “business” da parte delle organizzazioni criminali, la nascita di nuovi operatori ransomware nell’ecosistema del cyber crime, nonché il consolidamento di un nuovo modello denominato Access-as-a-Service (AaaS) in cui dei cosiddetti “broker” vendono credenziali compromesse o l’accesso diretto alle reti di qualsiasi organizzazione ad altri gruppi criminali.

 

NOTE

  1. Information security e frodi internet mobile in banca ed. 2021, inviata a un paniere di 63 banche italiane e “Rilevazione sulla gestione della cybersecurity nel settore assicurativo italiano” ed. 2021, inviata alle imprese associate ad ANIA.

WEBINAR
25 Maggio 2022 - 14:30
Cybersecurity 360Summit: nuove strategie, nuove minacce e nuove difese!
Sicurezza
Sicurezza dei dati
@RIPRODUZIONE RISERVATA

Articolo 1 di 5