Allarme phishing in Italia. Banche e assicurazioni nel mirino

Cyber threat intelligence, l’informazione che diventa difesa

Il phishing è una delle principali tecniche di attacco nelle frodi finanziarie. Alcune novità introdotte dalla PSD2 hanno imposto un ridisegno degli stratagemmi usati per portare l’attacco a compimento

Cresce l’allarme phishing nel settore finanziario, con banche e assicurazioni tra gli obiettivi più frequenti. Nel corso del 2021, è proseguita la crescita graduale delle campagne di phishing in Italia, fino a raggiungere circa 10,5 nuove campagne al giorno nel mese di febbraio. I brand maggiormente colpiti da phishing sono Intesa Sanpaolo (28% delle campagne di phishing analizzate), UniCredit Banca (19% delle campagne), Poste Italiane (13%) e a seguire Banca ING, Findomestic, Banca MPS e poi molti altri brand. Durante il 2021, sono state osservate pagine di phishing verso oltre 30 marchi finanziari operanti in Italia. Una pagina di phishing ha generalmente una vita breve. Nel 72% dei casi studiati, dura meno di 48 ore, ma il ricambio è tale da mantenere il numero di pagine attive sempre sostenuto. Ci sono comunque eccezioni degne di nota, con pagine rimaste attive anche alcuni mesi. La frode è realizzata attraverso una sequenza di passi successivi, in ciascuno dei quali vengono rubate solo alcune credenziali, o pezzi di credenziali, per poi ricomporre tutto assieme durante l’attacco.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

In generale il phishing finanziario mira al furto delle credenziali di accesso, come il codice cliente in tutte le sue denominazioni, la password o PIN, e la OTP di accesso e tutti i suoi equivalenti, ma anche altre informazioni utili a rendere più agevole un accesso fraudolento, come numero di telefono dell’utente, il codice fiscale e l’indirizzo e-mail. Inoltre, è stato notato un incremento dell’uso di falsi operatori bancari e chat live di assistenza. I falsi operatori bancari richiamano il numero di telefono che abbiamo incautamente inserito nella pagina di phishing, presentandosi come addetti della banca che hanno notato movimenti sospetti. Questa tecnica viene chiamata vishing (da Voice Phishing). In seguito a quanto la vittima ha già eventualmente inserito nella prima fase del phishing, i finti operatori chiedono gli altri elementi di autenticazione mancanti. In particolare, questa tecnica si è resa necessaria per convincere la vittima a dare i codici one-time di autenticazione forte del cliente (Strong Customer Authentication) che sotto diverse denominazioni, ciascuna banca invia in virtù delle specifiche tecniche contenute nella direttiva PSD2.

Mentre è al telefono con noi, il finto addetto effettua il login sul sito vero della banca e per questo ha bisogno dei codici one-time che proprio in quel momento la banca invia al nostro cellulare o alla App installata sul nostro smartphone, e che l’addetto fraudolento non può avere senza il nostro inconsapevole aiuto. C’è da notare che molti sistemi VoIp consentono la configurazione del numero chiamante in uscita, quindi non c’è da sorprendersi se alcune delle chiamate dei finti operatori arrivano da un numero di telefono che è proprio quello della banca. Approccio simile, anche nelle finestre di chat live che cominciano a essere presenti su alcune pagine di furto di credenziali. In questo caso, l’operatore via chat ha lo stesso ruolo dell’operatore telefonico nel caso descritto precedentemente, e mira a carpire gli elementi di autenticazione ancora mancanti, e l’elemento di autenticazione forte, necessario per alcune operazioni a più alto rischio, inclusa l’immissione bonifici. Vista la semplicità realizzativa e il basso livello di rischio da parte di chi mette in atto la frode, si prevede una crescita di questo approccio combinato al phishing. Un fenomeno che per la sua semplicità non vede battute d’arresto, e si reinventa continuamente per aggirare le contromisure imposte dalle regolamentazioni di settore e messe in campo dalle istituzioni finanziarie.

Leggi anche:  Più di un terzo delle informazioni aziendali sensibili immesse nelle applicazioni di AI generativa sono dati personali regolamentati

Pier Luigi Rotondo membro del Comitato Scientifico di CLUSIT