logo-mini
Scenario/1 “Un giro d’affari più grande della droga” OF OSSERVATORIO FINANZIARIO

SOMMARIO

Anche se il fenomeno delle email false (phishing) sembra essere tenuto sotto controllo da banche e società di e-commerce (buona notizia), quello delle frodi online è diventato ormai un business internazionale manovrato dalle grandi società del crimine organizzato. La cattiva notizia, quindi, è che le truffe aumentano e usano software sempre più raffinato per rubare informazioni personali e clonare l'identità delle persone.

Scenario/1 “Un giro d’affari più grande della droga”

Ci sono una buona e una cattiva notizia per tutti coloro che si preoccupano ogni volta che accendono il computer o leggono le mail. La buona notizia è che il phishing, la truffa con email false verso falsi siti, è in calo e che soprattutto la tecnologia usata dai criminali per questo tipo di truffe non funziona più così bene. La brutta notizia è che il crimine online, diventato globale e ipertecnologico, consente ai cybercriminali di raggiungere un giro d’affari che supera quello della droga. Una cifra da capogiro. Un fenomeno allarmante. E soprattutto in crescita esponenziale. Anche perché in Italia non c’è nessuna legge specifica (e nessuno ci sta lavorando su) contro questa criminalità informatica. Ma andiamo con ordine.

La buona notizia. Perché il fenomeno delle email false è in calo. Cosa fanno le banche e i siti di e-commerce.
In realtà ciò che sta diminuendo è il numero di truffe con le email false, quelle che invitano a collegarsi a un sito clone di un altro sito, appartenente a una banca, ad esempio e, attraverso il clone, sollecitano a fornire dati privati: come identificativo e password del conto corrente online, o il numero di carta di credito. La retromarcia del phishing ha alcune ragioni precise. Prima di tutto l'informazione costante: le banche, ad esempio, hanno sviluppato pagine di allerta, e poi manuali, e anche corsi e, in alcuni casi, perfino dei giochi anti-phishing, per far passare parola tra più persone sui pericoli delle finte mail. Ma non solo. Banche e siti d' e-commerce, tra quali PayPal ed eBay, i più colpiti dagli attacchi, hanno adottato misure nuove per proteggersi. Le banche hanno attivato sistemi che usano una password tradizionale ma associata a questa un'altra password di convalida che ha una vita brevissima e si usa una sola volta. Per ottenere la password monouso, detta anche “usa e getta” si usano diversi sistemi. Innanzitutto c'è il token, che è simile a un portachiavi ed è in grado di generare una volta premuto un tasto un codice numerico. Poi ci sono altri token quelli che generano la password da una chiavetta usb. E sistemi di ultima generazione che invece danno all’utente ogni volta una password dal cellulare via sms (per i sistemi del futuro prossimo venturo leggi qui). Senza la password usa e getta non è possibile eseguire alcuna operazione finanziaria dal computer. Il token, il sistema più diffuso, è simile a una piccola calcolatrice e ad ogni clic calcola una password numerica da usare una volta sola. Oggi sono dotati di token i clienti di Intesa Sanpaolo e UniCredit Banca, ma anche molti correntisti di BCC e Banche Popolari come Popolare Pugliese e Popolare di Vicenza (Leggi qui in formato PDF la sintesi del VI Rapporto banca più sicura a cura di Of).

Nell’e-commerce sono molto più attenti. PayPal ha adottato sistemi ancora più restrittivi dove l'utente deve autenticarsi fornendo in tempi brevi risposte a domande del tipo: "Qual è l'importo speso il 2 novembre dell'anno scorso come risulta dal tuo estratto conto cartaceo?". Altri siti di e-commerce non accettano pagamenti se non si indica anche il numero di cellulare a cui inviano un codice aggiuntivo da digitare online insieme all'identificativo e alla password principali. Altri ancora, richiedono di rispondere a domande personali (quale è il nome da nubile della madre, quello della prima insegnante, eccetera), preventivamente inserite nel profilo personale.

Anche i browser con i quali si entra in rete, si sono dotati di antiphishing. Firefox, Safari 3.2, ma anche Internet Explorer 7 e Opera 9.5, hanno sistemi in grado di bloccare link fasulli, dove invece, ad esempio, di intesasanpaolo.com, l’indirizzo web di Intesa Sanpaolo, si legge www.intesa.ru, e si tratta di falso sito domiciliato in Russia (Leggi qui).

Grazie a Google e altri società come StopBadware che forniscono e aggiornano liste di indirizzi falsi, la protezione da phishing e malware viene affettuata dai browser anche confrontando i siti “buoni” da quelli “taroccati”. Se la protezione da phishing e malware è attiva sul pc del cliente, gli elenchi vengono scaricati e aggiornati automaticamente ogni 30 minuti. I dettagli tecnici sul funzionamento del protocollo safe-browsing sono inoltre disponibili pubblicamente. l’impegno dei browser contro il phishing è un elemento cruciale della lotta alla criminalità informatica: il 70% dell frodi avviene attraverso borwser e non bachi del sistema operativo. Tutta questa attenzione alla comunicazione del pericolo e alla difusione di nuove tecnologia è all’origine della buona notizia della riduzione del phishing. Ma, avvertono gli esperti, non si può ancora cantare vittoria.

Perché, ad esempio, in aprile è appena apparsa una email multi-opzione e multi-banca che recitava più o meno così: "Se sei cliente della tal banca clicca qui, se invece sei cliente della tal'altra clicca qui, se invece sei cliente..." e giù una lista di banche dalle più note alle meno conosciute sul web. Banche da poco online come Banca Carige, con il suo conto di deposito contoconto.it, e Banco Desio sono state prese d'assalto dai phisher, nel primo trimestre di quest'anno. Le email false erano scritte in un italiano zoppicante, e sono state subito individuate. Ma anche in questo particolare i cybercriminali si stanno affinando, affidandosi a traduttori di madre lingua italiani.

E allora, alla Popolare di Sondrio hanno pensato di fare una prova intelligente: hanno inviato una email falsa a tutti i clienti per verificare chi ci sarebbe cascato. "Dentro la mail taroccata inviata a tutti i nostri clienti c’era un link ad un falso sito, sempre creato da noi, che ricreava la nostra pagina di login", ha spiegato a Of, Marco Tempra, Responsabile Sistemi Innovativi di PopSo. "Il cliente che cadeva nella trappola e cliccava sul link, accedendo alla finta pagina di login, non poteva a questo punto inserire i propri codici di accesso, ma trovava la scritta che lo avvisava del pericolo che aveva appena rischiato di correre con in più una breve spiegazione del perché era necessario diffidare delle mail che chiedevano l’inoltro dei propri codici d’accesso." Il cliente non si è arrabbiato? "All’inizio avevamo paura in una reazione negativa:" conferma Tempra "invece abbiamo ricevuto molti ringraziamenti e complimenti".

In realtà secondo il VI Rapporto Home Banking di Of- Osservatorio finanziario (Leggi la scheda in formato PDF), solo il 29,5% di istituti ha un sistema di autenticazione con token e password usa-e-getta, il livello base di sicurezza. E soprattutto nessuna banca, ad eccezione della Raiffeisen Bank, dispone di quel sistema di autenticazione forte con smart card (leggi articolo), che è da sempre al top della sicurezza, secondo Of. Oggi questo sistema con token card è disponibile anche a Poste Italiane (Leggi qui). “Le banche devono rendersi conto che il riciclaggio di denaro si realizza anche attraverso di loro; tutte le operazioni bancarie sospette devono essere segnalate”, ha detto di recente Giuseppe Quattrocchi, Procuratore capo a Firenze. “Questa sollecitazione al mondo bancario è un 'mayday' necessario visto che le banche sono destinatarie di norme precise in materia di riciclaggio e usura''.

---- La cattiva notizia. Cybercriminali come spacciatori. Quali sono i tipi di truffe. Chi le fa e perché.
Nel 2008, i primi dieci operatori del cyber crimine hanno guadagnato ciascuno quasi 300 milioni di dollari per un giro d'affari complessivo che sfiora i 7 miliardi di dollari. La fonte è l’autorevole Security Technology and Response (STAR). Che ha rilevato che dal gennaio 2008 a dicembre 2008 il numero di attacchi informatici e del cosiddetto crimeware per rubare password e codici di accesso ai servizi online a pagamento, e-banking compreso, sono aumentati dell'827%.

Gerardo Costabile, president IISFA Italian Chapter, che fa capo alla Information Systems Forensics Association, e uno dei massimi esperti italiani in sicurezza (leggi l’intervista) lo ha detto scandendo le parole a Bologna nei giorni scorsi. “Il crimine informatico ha un giro d’affari che ormai supera quello della droga”. Una affermazione choccante, Che pure non ha colto del tutto di sopresa un auditorio di addetti ai lavori. Il primo allarme era stato lanciato già nel 2005, quando le dichiarazioni di Valerie McNiven, uno dei guru statunitensi, autore di un fondamentale rapporto per il Ministero del Tesoro statunitense, avevano fatto lanciare l’Allarme rosso contro il cybercrime. "Lo scorso anno, secondo i dati in mio possesso, il cybercrime ha superato in volume di affari quello della droga, raggiungendo quota 105 miliardi di dollari", aveva confermato McNiven all’agenzia Reuters. "I cyber-reati di spionaggio industriale, pedopornografia, manipolazione illegale del mercato azionario, estorsione e pirateria stanno aumentando così velocemente che la Giustizia non è in grado di far fronte al problema". Dichiarazioni che trovano fondamento anche nelle indagini della polizia statunitense, che per prima ha attirato l'attenzione dei media sui cyber-narcotrafficanti, e individuato possibili relazioni fra droga e phishing. L’allarme di Costabile, si è intrecciato in questi giorni con la chiamata alle armi fatta a Barcellona al CeCOS III, da Peter Cassidy, il segretario generale di APWG, l’Anti-phishing Working Group. “Agli artigiani criminali organizzati su Internet bisogna dare una risposta unificata che sia organizzata quanto gli stessi crimini". In pratica, è indispensabile combattere il crimine elettronico senza frontiere attraverso l'alleanza di tutti coloro che lavorano da sempre sul fronte della sicurezza online, aziende, banche, atenei e ovviamente enti pubblici e sovranazionali. Il grido di allarme, d’altro canto è confermato anche dai dati della Polizia postale italiana che, in occasione del suo 157esimo compleanno, ha pubblicato i dati relativi ai crimini informatici nel nostro paese che sono in rapida ascesa. In particolare sono in aumento i furti di identità: il 52% degli utenti online ha subito tentativi di furto di questo tipo.

---- Come si potuto arrivare a tanto? Tutto è cominciato nel lontano 2005.
In quell’anno si verificato anche in Europa il primo massiccio attacco con email false. Da quell'attacco è partita anche la prima indagine sul phishing condotta dal Francesco Cajani, Pubblico ministero presso il tribunale di Milano (leggi qui l’intervista). Nel 2006, ABI già inviava una circolare che sollecitava tutti gli associati a provvedere a una adeguata informazione dei clienti. Nel 2007, i criminali hanno alzato il tiro e hanno iniziato a conquistare posizioni grazie al malware. Con questa parola si indica tutto il software sviluppato per scopi criminali. Un software che gira in rete ovunque, non solo via email, ma anche soprattutto attraverso pagine di siti, portali di social networking come Facebook, my space, twitter e simili, e anche siti di news, di atenei e in particolare forum e blog. Se un sito è malfatto e scarsamente manutenuto, basta poco al criminale appropriarsene inoculando un malware, chiamato anche cavallo di troia, un virus che si contrae semplicemente aprendo la pagina infetta. E non tutti gli antivirus sono in grado di bloccarlo.

Nel 2008, il bottino dei cybercriminali era stimato attorno ai 3 milioni di euro. Il malware del 2008 ha un nome: si chiama Mebroot il virus che circola in rete ed è capace di rubare i codici di accesso e le password dei clienti. La Polizia postale ha stimato in più di 900 mila gli euro rubati da 1.600 italiani che hanno sporto denuncia. La cifra è ovviamente sottostimata, perché sono ancora molti a non denunciare l'ammanco, anche perché le banche, per evitare danni di immagine, preferiscono rimborsare subito. Ed ecco quindi arrivare alla cifra tonda tonda dei 3 milioni di euro. Nel 2008, Microsoft avrebbe eliminato oltre 3,5 milioni di software potenzialemente dannosi circolanti in Rete.

Gli attacchi all'home banking provengono prevalentemente da hacker che vivono nell'est Europa, in Romania e in Russia. Nel sito anti-phishing.org è possibile osservare la mappa del cyber-crimine aggiornato ogni settimana: in rosso, con il livello più elevato, ci sono Cina, Brasile, Russia, e Stati Uniti, in particolare nello Stato dell'Alaska. In giallo ci sono i paesi con rischio sostenuto. Tra questi c'è anche l'Italia.

Leggi Anche:


Contatti

OF Osservatorio Finanziario

OfNews è una realizzazione di OF Osservatorio Finanziario. Leggi Privacy Policy (formato PDF)

Visita il sito