Attacchi di phishing e SIM swap mirati a violare reti aziendali e rubare fondi o ad ingannare i dipendenti inducendoli a effettuare ingenti pagamenti verso destinatari terzi secondo il classico schema criminale meglio conosciuto come “truffa del CEO” (o CEO fraud): sono queste le tecniche utilizzate da una vasta rete di criminali informatici legati alla mafia italiana che è stata in grado di frodare le loro vittime per circa 10 milioni di euro (11,7 milioni di dollari) solo lo scorso anno.
L’organizzazione criminale è stata smantellata grazie ad un’operazione congiunta tra Europol, polizia italiana e spagnola che ha portato all’arresto di 106 membri della mafia italiana per reati legati alla criminalità informatica e al riciclaggio di denaro.
“I sospettati, dotati di un alto grado di tecnicità, hanno frodato centinaia di vittime attraverso attacchi di phishing e altri tipi di truffe online come lo scambio di SIM e la compromissione della posta elettronica aziendale prima di riciclare il denaro attraverso un’ampia rete di corrieri illegali di denaro e società di comodo”, ha detto l’Europol in un suo comunicato stampa.
Gli agenti delle forze dell’ordine che hanno lavorato a questa indagine hanno effettuato gli arresti principalmente in Spagna e alcuni in Italia, sono stati coinvolti in 16 perquisizioni domiciliari e hanno bloccato 118 conti bancari controllati dal gruppo di criminalità informatica.
L’indagine, inoltre, ha portato anche al sequestro di numerosi dispositivi elettronici per il criminal hacking, 224 carte di credito, terminali POS e schede SIM, una piantagione di marijuana e attrezzature necessarie per la coltivazione e la distribuzione della stessa.
Come se non bastasse, un registro sequestrato durante i raid mostrava che il gruppo criminale era riuscito ad entrare in possesso di più di 80 schede SIM e si stava preparando a utilizzarle in futuri attacchi di SIM swap.
Indice degli argomenti
I legami con la mafia italiana
Da quello che risulta dalle indagini tuttora in corso, la rete criminale è stata organizzata utilizzando una struttura piramidale a gerarchie, con varie aree criminali specializzate e ruoli definiti per ogni suo membro.
In particolare, alcuni membri del gruppo criminale erano esperti informatici responsabili della creazione e della gestione dell’infrastruttura di phishing e del coordinamento e dell’esecuzione delle frodi online.
Altri erano specializzati nel reclutamento e nell’organizzazione dell’attività dei corrieri della droga, mentre molti altri erano esperti di riciclaggio di denaro e di criptovalute.
“La maggior parte dei membri sospetti sono cittadini italiani, alcuni dei quali hanno legami con organizzazioni mafiose”, ha rivelato anche l’Europol.
“Situati a Tenerife (Isole Canarie, Spagna), i sospetti hanno ingannato le loro vittime, principalmente cittadini italiani, inducendole a inviare ingenti somme di denaro su conti bancari controllati dalla rete criminale”, fa sapere ancora l’Europol.
I proventi criminali ottenuti dalle frodi online, tra cui la compromissione della posta elettronica aziendale e gli schemi di SIM swap, sono stati riciclati utilizzando una rete di società fittizie e una rete ancora più ampia di corrieri illegali di trasporto di denaro.
Durante le indagini, Europol ha inviato analisti ed esperti forensi in Spagna e in Italia. Ha inoltre finanziato l’invio di tre investigatori italiani in Spagna per supportare le autorità spagnole durante la giornata di azione.
“La Joint Cybercrime Action Taskforce (J-CAT) presso Europol ha sostenuto l’operazione”, ha aggiunto l’Europol. “Questo team operativo permanente è composto da funzionari di collegamento informatici di diversi paesi che lavorano dallo stesso ufficio su indagini di criminalità informatica di alto profilo.”
L’inizio dell’operazione di polizia
La polizia spagnola ha affermato di aver iniziato a seguire il gruppo nel giugno 2020 quando ha rilevato individui pericolosi legati alle organizzazioni mafiose italiane che si sono stabilite nelle Isole Canarie.
I membri di questo gruppo erano legati principalmente a quattro organizzazioni mafiose italiane: Camorra, clan Nuvoletta, Casamonica e Sacra Corona Unita.
La polizia spagnola ha affermato di aver seguito silenziosamente i sospetti mentre operavano nell’ultimo anno per comprendere e conoscere nel dettaglio la loro struttura interna.
I poliziotti hanno sottolineato che il gruppo era organizzato in una tipica struttura piramidale. Una gerarchia organizzativa in cui i leader delle diverse organizzazioni mafiose erano in cima. Gli stessi capi dell’organizzazione criminale si recavano spesso alle Isole Canarie per supervisionare le operazioni.
“Per la mafia, questa modalità di finanziamento era così importante che hanno inviato membri latitanti della giustizia italiana dall’Italia per controllare le loro attività di finanziamento sul posto e supervisionare l’ottenimento e il trasferimento di denaro”, hanno detto i funzionari spagnoli.
Il modus operandi del gruppo criminale
Il gruppo criminale, però, non si limitava a compiere i propri furti online, sfruttando le Canarie come sede di comodo; si è anche infiltrato in diversi strati della società delle Isole Canarie, come reti commerciali, studi legali e banche.
“Questo livello di insediamento non solo ha dato all’organizzazione l’impunità per il riciclaggio di denaro, ma anche per le diverse attività criminali di questi gruppi mafiosi svolte in Spagna”, hanno affermato le autorità.
Il gruppo era inoltre collegato anche a circuiti di prostituzione, vendita di armi, traffico di droga, rapimenti, frodi, furto di identità, falsificazioni di documenti, truffe della sicurezza sociale, rapine, percosse estorsione e due omicidi, tutti avvenuti nel piccolo arcipelago delle Canarie.
Le autorità hanno affermato che il gruppo aveva bisogno di centinaia di conti bancari per riciclare tutti i fondi rubati, che dovevano aprire e chiudere a un ritmo veloce per evitare che i loro fondi venissero congelati.
A un certo punto, nel disperato tentativo di ottenere l’accesso a nuovi conti bancari, il gruppo ha rapito e minacciato una donna a mano armata costringendola ad aprire 50 conti bancari per conto dell’organizzazione e poi le ha fatto svuotare il proprio conto davanti a un bancomat.
Una volta identificati e detenuti gli aggressori, il gruppo ha minacciato la vittima e i suoi amici per impedirgli di testimoniare contro di loro.
Il gruppo ha anche estorto e derubato i propri membri che non rispettavano i regolamenti interni.
Le autorità hanno smantellato il gruppo la scorsa settimana dopo 16 raid a Santa Cruz de Tenerife, in Spagna, e a Torino e Isernia in Italia.
Gli arresti annunciati oggi sono uno dei collegamenti più evidenti tra i cartelli criminali e l’emergente ecosistema del crimine informatico. Sebbene si sospettasse l’esistenza di tali collegamenti, gli arresti di oggi li confermano e fanno chiarezza sugli schemi utilizzati dal gruppo organizzato.