Dalla metà di gennaio 2020, i clienti delle maggiori banche retail italiane hanno subito una campagna di frode perpetrata per mezzo di tre tecniche di social engineering molto efficaci: smishing, phishing, vishing. Quello che emerge dalle analisi è il profilo di un attacco sistemico che sfrutta il cambio di metodo di accesso tradizionale, avvenuto il 14 settembre 2019 con l’adozione della Strong Customer Authentication (SCA) prevista dalla PSD2. Tale obbligo ha quindi aumentato l’utilizzo degli smartphone per usufruire dei servizi della propria banca. La campagna di attacco è ancora in corso a distanza di 10 mesi dalla sua prima rilevazione. Inoltre, l’emergenza sanitaria ha accelerato l’utilizzo di strumenti digitali per la gestione remota delle operazioni da parte di imprese e persone, non consentendo di avere il tempo sufficiente a informare gli utilizzatori riguardo le minacce e rischi informatici associati ad essi, mediante opportuni corsi di awareness di cyber security o materiale informativo.
La strategia d’attacco dei truffatori prevede il recupero del codice OTP al fine di abilitare la SCA su un nuovo dispositivo ed avere il controllo completo dell’operatività del home banking della vittima.
Il principale scenario di attacco prevede, da parte dei truffatori, l’invio di SMS, apparentemente provenienti dalla banca, che contiene uno “short link” (è una tecnica utilizzata per abbreviare lunghi indirizzi web, detti URL, in link di pochi caratteri) . Una volta cliccato, il link indirizza l’utente verso un sito clone della banca, con schermate di accesso e di richiesta dati del tutto simili a quelle ufficiali della banca, come ad esempio la conferma del numero della carta d’identità. I truffatori ottengono così in tempo reale le informazioni necessarie per effettuare l’accesso home banking delle vittime e per compiere operazioni fraudolente, per esempio la disposizione di bonifici. Qualora la vittima si fosse accorta di aver inserito, perlopiù per poca accortezza, informazioni sul sito clone della banca e avesse interrotto il processo di inserimento dei dati, questa sarebbe stata ricontatta telefonicamente dai truffatori da un numero, in apparenza, della banca. Altri scenari prevedono solo il contatto telefonico con la vittima, spesso i truffatori si fingono operatori o dipendenti di uffici antifrode per conquistare meglio la fiducia della vittima. Per realizzare la strategia d’attacco sono state adoperate tre tecniche di social engineering: Smishing, Phishing, Vishing.
La campagna di attacco inizia mediante invio di un SMS recante un messaggio simile al seguente: “Abbiamo limitato le sue utenze web per mancata sicurezza. Le attiva al seguente link: http://bit.ly/BancaACME” (BancaACME viene utilizzato nell’articolo come esempio, qualsiasi riferimento a cose o persone è puramente casuale). Il messaggio SMS viene recapitato nella stessa coda dei messaggi ufficiali della banca, poiché attraverso la tecnica di “sms sender id spoofing” è possibile inviare sms “speciali” che consentono di far visualizzare (al destinatario) il mittente sotto forma di un nome, ad esempio “Banca ACME” invece del numero telefonico del mittente. Gli SMS giunti al destinatario sono perciò archiviati per “nome” visualizzato e non per numero mittente (questa è la gestione degli sms standard dei cellulari). Gli short link sono spesso adottati dalle banche in comunicazioni ufficiali poiché consentono ai rispettivi uffici marketing di superare limiti tecnologici e grafici delle applicazioni utilizzate. La vittima non ha così sufficienti elementi sospetti per reputare il messaggio fraudolento.
Al fine di raccogliere dati della potenziale vittima i truffatori predispongono siti di phishing (siti clone) con una grafica molto simile a quella originale. I truffatori selezionano le pagine di interesse sul sito ufficiale della banca e ne scaricano una copia locale. Successivamente modificano tali copie al fine di registrare i dati inseriti nei form delle pagine (es. credenziali). Queste pagine modificate vengono ospitate su server fuori dal contesto europeo (es. Stati Uniti, Sud Africa, etc.) per mezzo dell’acquisto di servizi di hosting a basso costo. Il dominio del sito clone è comprato da una società differente da quello di hosting. Tale tattica permette al sito clone di rimanere attivo per più giorni (se in possesso di denuncia la segnalazione di abuso è più veloce). Vi sono alcuni aspetti interessanti riguardo ai siti clone della campagna in analisi:
Le potenziali vittime che hanno avuto difficoltà nell’inserire i dati sul sito clone sono chiamate dai truffatori, in apparenza, con il numero della banca, mediante la tecnica di “caller id spoofing”, per ottenere a voce i dati necessari per proseguire la frode. Spesso i truffatori simulano di chiamare dal numero verde delle banche, di solito utilizzato dal servizio clienti per ricevere le chiamate (inbound), così da convincere anche le vittime più sospettose a fidarsi, poiché con una semplice ricerca su Google possono verificare il numero. Inoltre, i truffatori, qualora abbiano informazioni riguardo la carta di credito della vittima recuperata tramite data breach su siti di e-commerce o virus informatici, chiamano fingendosi l’ufficio frodi della banca affermando di aver notato transazioni sospette della carta di credito e che per procedere al blocco delle stesse è necessario comunicare il codice di autorizzazione arrivato via SMS (chiaramente è l’esatto opposto).
I truffatori una volta in possesso di tutti i dati, mediante uno smartphone scaricano l’app ufficiale della banca, attivano la Strong Customer Authentication (SCA) prevista dalla normativa PSD2 in modo da essere autonomi nel confermare le operazioni sul conto corrente della vittima. Le transazioni fraudolente avvengono vicino all’orario di cut-off e massimizzando l’importo (anche con svincoli di conti deposito). Le vittime non hanno così il tempo necessario per procedere al blocco dei bonifici. Una volta spostati i soldi su conti (spesso) esteri con una serie di versamenti vengono spostati su altri conti e spesso divisi in più tranche e su conti di “money mule”. Da questi conti i soldi vengono prelevati fisicamente e trasportati nel paese che ospita la mente dell’operazione (per approfondimenti consiglio di vedere l’inchiesta di falò https://www.rsi.ch/la1/programmi/informazione/falo/Mafie-hacker-e-spalloni-digitali-13228011.html).
La prima domanda che ci si pone è da dove i truffatori abbiano estratto i numeri di telefono e se hanno compromesso dei sistemi informatici per ottenerli. Dalle analisi dei log degli attaccanti emerge che solo il 45% delle informazioni inserite sui siti clone sono riconducibili a clienti di quella banca. Il bacino di utenza “sporco” induce a ritenere che quei dati siano stati ricavati da campagne di phishing precedenti o raccolti mediante virus informatici presenti sui PC delle vittime.
L’assenza di flessibilità normativa nella possibilità di compiere azioni in tempi brevi come la chiusura di un sito clone in poche ore senza il supporto di una denuncia o la possibilità di effettuare sicurezza offensiva sui siti dei criminali (es. ricercare vulnerabilità sui siti clone che consentano di cancellarne il contenuto) costituisce un “cavallo di frisia” che è assente sul campo della criminalità.
La scelta di utilizzare lo smartphone come secondo fattore di autenticazione, porta con sé la conseguenza che il numero di cellulare assume un ruolo fondamentale nel certificare l’identità degli utenti, basandosi sull’assunzione che siano solo loro a gestirlo. Si prevede un aumento di attacchi di tipo SIM Swapping, ovvero la possibilità di trasferire un numero di cellulare ad un’altra SIM da parte di operatori telefonici poco scrupolosi nell’accertare il legittimo proprietario. È quindi necessario cominciare a disegnare un processo comune tra gli operatori telefonici da adottare per l’utilizzo sicuro delle funzioni di sms e di migrazione dei numeri di telefono.
In conclusione, a mio parere, bisognerebbe vedere le frodi perpetrate con strumenti esterni alle banche come un attacco informatico all’ordine del giorno, qualcosa di assolutamente normale e che deve essere combattuto con una flessibilità al pari di quella subita, altrimenti rischiamo di essere un “portafoglio” a disposizione della criminalità.