I truffatori, mediante tecniche di social engineering, convincono la vittima a partecipare ad un investimento fittizio di qualche milione di euro. Tale investimento esclusivo viene presentato per mezzo di brochure, sito vetrina, meeting con consulenti finanziari presso finti uffici. Una volta convinta la vittima, i truffatori chiedono il versamento dell’investimento su un conto corrente ubicato in un paese diverso da cui si effettua la frode. Per conquistare meglio la fiducia della vittima, i criminali realizzano un finto home banking in modo che la vittima possa accedervi e controllare il suo investimento. Dopo un anno, il dominio internet dell’home banking scade per mancato rinnovo da parte dei truffatori, che nel frattempo hanno avuto tutto il tempo di cancellare le tracce e sparire, ne consegue quindi la cancellazione automatica del dominio e dati relativi. Le vittime, non riuscendo più ad accedervi, cercano i contatti della banca privata sui motori di ricerca e dopo aver contattato la vera banca privata scoprono che non possiedono alcun conto e di essere state truffate, ma ormai, dopo un anno le tracce sono difficili da ricostruire e i soldi sono spariti per sempre.
I truffatori cercano più informazioni possibili, sia da fonti pubbliche che da fonti private, della banca privata di cui vogliono utilizzare il nome, come per esempio: il logo, firme e-mail, template della carta intestata. Queste informazioni sono ottenute da molteplici fonti tra cui: data breach, campagne di Spear Phishing verso dipendenti della banca, tecniche di OSINT, etc… Una volta acquisite le informazioni minime per interpretare correttamente la banca, i criminali provvedono al rebranding, ovvero modificano il nome della banca privata scelta per ottenere una grafia diversa, ma con la stessa assonanza, se per esempio il nome è composto da più parole di senso compiuto allora almeno una sarà tradotta in inglese, esempio “Banca” -> “Bank”. Tale accortezza ha i seguenti vantaggi:
Altra informazione utile è l’acquisizione del modus operandi della banca nel contattare e proporre investimenti ai clienti, così da conoscere perfettamente il contesto in cui muoversi per rendere le proprie mosse verosimili. Questo tipo di informazione si può ottenere principalmente nei seguenti modi:
I truffatori selezionano potenziali vittime facoltose residenti soprattutto nel Nord America o Europa, ad eccezione del paese in cui opera la banca privata. Altra caratteristica importante è che le vittime hanno una conoscenza dell’inglese base e sono di madrelingua diversa rispetto alla sede principale della banca privata. Per abbassare ulteriormente il rischio di essere scoperti, i criminali evitano di contattare veri clienti della banca privata, poiché quest’ultimi sono già abituati ad interagire con il proprio banker secondo un certo processo concordato, e quindi difficile da replicare. È interessante notare che in alcuni casi, non sempre la vittima è il possessore della liquidità, ma possono essere anche degli amministratori di patrimonio che cercano investimenti per i loro clienti.
La tecnica di selezione delle vittime è qualcosa che possiamo al momento solo supporre, potrebbero essere potenziali clienti scartati dalla vera banca, persone avvicinate dai truffatori in eventi esclusivi, nominativi presenti in data breach (es. Panama papers), etc…
La fase di predisposizione della frode è realizzata su misura per la vittima selezionata. La predisposizione prevede un set minimo di materiale e risorse:
Il dominio del sito vetrina è costruito utilizzando il nome della banca privata storpiato con la tecnica accennata prima e in più il nome dell’investimento. Tale scelta del nome del dominio consente di eludere la maggior parte delle tecniche di monitoraggio di brand abuse (che cercano nel web variazioni minime del nome della banca privata), poiché una ricerca troppo ampia delle permutazioni del nome del brand potrebbero generare troppi falsi positivi. La scelta di comunicare con e-mail registrate presso provider pubblici (es. @gmail), ha il vantaggio di consentire sempre la comunicazione con la vittima anche in caso di chiusura del sito vetrina (es. richiesta di chiusura sito a seguito della segnalazione di abuso del logo da parte della banca).
La sede del finto ufficio è scelta in città in cui non è presente un ufficio della vera banca, così da potersi giocare la carta della nuova sede e giustificare eventuali mancanze come, ad esempio, l’indirizzo del finto ufficio non presente sul sito ufficiale della banca.
Quando i truffatori hanno ottenuto tutte le informazioni minime necessarie per interpretare la banca e predisposto tutto il necessario per convincere la potenziale vittima selezionata, sono pronti per la fase finale, ovvero incassare i soldi. I criminali richiedono un’ingente somma che oscilla dai 10 ai 15 milioni di euro/dollari da versare tramite bonifico su una banca diversa dal paese in cui risiede la vittima. Dopo i classici salti da un conto all’altro i soldi sono trasferiti nelle tasche dei criminali e i conti utilizzati per la frode vengono chiusi. Dopo un anno, il dominio internet dell’home banking scade per mancato rinnovo da parte dei truffatori, che nel frattempo hanno avuto tutto il tempo di cancellare le tracce e sparire, ne consegue quindi la cancellazione automatica del dominio e dati relativi, le vittime non riuscendo più ad accedervi, cercano i contatti della banca privata sui motori di ricerca. Le vittime dopo aver contattato la vera banca privata scoprono che non possiedono alcun conto e di essere state truffate, ma ormai, dopo un anno le tracce sono difficili da ricostruire e i soldi sono spariti per sempre.
Questa tipologia di frode potrebbe avere un impatto sull’immagine digitale della vera banca che vedremo nel paragrafo successivo e può avere una frequenza di accadimento anche annuale e sono coinvolte solitamente una o più vittime.
I principali effetti collaterali di questa frode sul brand della vera banca è il danno di reputazione e disservizi che riguardano soprattutto il sito istituzionale. Spesso i truffatori riportano link ufficiali della banca negli allegati e-mail e nelle comunicazioni utilizzate verso le vittime per rendere più verosimile la truffa. Una volta scoperta la frode, le vittime segnalano tale materiale come Phishing. La conseguenza della classificazione di spam/phishing dell’e-mail, in molti sistemi di sicurezza (come alcuni comuni antivirus) è quello di classificare a cascata anche tutti i link presenti nell’e-mail e negli allegati come spam/phishing. Tale bassa reputazione viene poi riportata nelle liste pubbliche di e-mail spam/phishing che a loro volta alimentano le liste dei maggiori antivirus in commercio. L’effetto finale è che il sito ufficiale della banca potrebbe non essere visitabile da tutti, perché i sistemi di scurezza del computer del visitatore (es. antivirus o browser safe) ritengono il sito potenzialmente malevolo e mostrano così un messaggio di warning che invita il visitatore a non proseguire nella navigazione.
La prima conclusione che si evince è la scarsità di awareness delle minacce informatiche, troppo sottovalutata e ignorata da chi gestisce grandi patrimoni. L’attenzione ai dettagli nel riconoscere e-mail di phishing aiuta a prevenire eventuali frodi di questo tipo, esempio, perché mai una banca dovrebbe usare un account @gmail.com per comunicare con un cliente? Dal lato della banca queste vittime non sono clienti e non possono essere aiutate più di tanto. Per evitare possibili effetti collaterali come quelli citati prima, la banca può migliorare i servizi di monitoraggio di brand abuse, aggiornando periodicamente i nomi del brand monitorati, verificare l’utilizzo improprio di loghi o brand nei social network, effettuare ricerche nel deep&dark web, etc…
Inoltre si evidenzia sempre più l’esigenza di utilizzare servizi di threat intelligence, i quali identificano e individuano le minacce e i profili degli attaccanti, fornendo utili informazioni per trovare azioni di mitigazione di miglioramento continuo.