Cyber-attacchi: truffe e minacce informatiche - eBook
Dal phishing al man in the mail: casi reali, aspetti tecnici e giurisprudenziali di rilevamento e di prevenzione.
Autore:
CONTENUTO
Stiamo assistendo, sempre più, ad una escalation di attacchi cyber e di crimini informatici a tutto campo, tanto da rendere “chiunque” il potenziale bersaglio.
I metodi per condurre un attacco informatico possono essere svariati, in dipendenza delle particolari minacce, rischi e vulnerabilità dei sistemi che si intendono attaccare, così come altrettanto diverse possono essere le armi o i “cyber weapon”, cioè gli strumenti utilizzati (azioni-minaccia), per porre in essere tali attacchi.
Fra quelli che ormai sono entrati nella terminologia di uso comune ci sono gli attacchi phishing, ossia la tipologia di truffa a base di ingegneria sociale - social engineering - che fa uso di quell’e-mail che ritroviamo spesso nelle nostre caselle di posta elettronica e che ormai sono divenute il più conosciuto e riconosciuto vettore di minacce cibernetiche.
Accanto a questa forma di attacco informatico-finanziario, che oserei definire “consueto”, negli ultimi anni si è fatta strada anche un’altra variante, che riguarda particolarmente l’imprenditoria, più conosciuta come “Business E-mail Compromise” (BEC), la quale rappresenta una delle minacce meno sofisticate, ma tra le più efficaci, dove la tecnologia è soltanto un mezzo nuovo per portare a termine raggiri vecchi, in grado di mettere in serio pericolo le organizzazioni di ogni dimensione, perché fanno uso di e-mail che all’apparenza provengono da un account interno all’azienda”.
Chiunque deve tener presente, sempre di più, sia nei rapporti interprofessionali che nei rapporti con l’esterno, la “consapevolezza” (“awareness”) del rischio e, quel che è ancora più importante, del non sottovalutarlo; il contenuto racchiuso nella parola “consapevolezza” è l'insieme di tre elementi:
- informazione
- aggiornamento
- prevenzione.
Ciò non significa non far uso dei servizi di home banking o di non fare acquisti/vendite in Rete, ma significa imparare ad usare delle accortezze: andare direttamente all'indirizzo web; verificare la sicurezza della pagina di login; verificare le mail provenienti dal proprio Istituto di Credito; ricorrere al sistema della doppia autenticazione (OTP) collegandola ad eventuali messaggi di alert; evitare di collegarsi con i propri dispositivi al Wi-Fi pubblico disponibile se non necessario; controllare frequentemente il proprio account e il proprio conto corrente bancario e, nel caso di anomalie, disconoscere quelle operazioni registrate e rivolgersi prontamente di persona all’Istituto di Credito di riferimento ed alle Forze di polizia qualora necessario.
Fermo restando che può succedere a chiunque di incappare in questi tentativi di truffe, questo libro cerca di fornire in modo approfondito, ad ogni persona fi sica e/o giuridica, un “focus” completo sulle metodologie di attacco dal “phishing” al “man in the mail”, sugli strumenti di rilevamento e soprattutto sulle tecniche di prevenzione, senza tralasciare gli aspetti giuridico-investigativi necessari per addivenire a determinare
i profili di responsabilità civile e penale in cui possono incorrere i loro autori, qualora venissero individuati.
Al tempo stesso si rivolge tanto ai Consulenti Tecnici quanto alle Forze di polizia chiamate ad affrontare il fenomeno, su un piano prettamente investigativo nazionale e/o di cooperazione internazionale, affinché siano capaci di lavorare in perfetta sinergia per raccogliere tutti quegli elementi digitali necessari che consentano di intervenire prontamente e, per lo meno, di evitare che la vittima, pur avendo subito un trauma e una perdita economica, rischi di non veder ascoltata la propria voce e quindi rischi di essere vittima ineffabile del sistema.
PRESENTAZIONE
L’FBI ha calcolato che, negli ultimi cinque anni, gli attacchi di tipo Man in The Mail hanno fruttato alla criminalità un totale stimato di 43 miliardi di dollari. Con un aumento che pare pericolosamente esponenziale e l’introduzione dell’utilizzo della criptomoneta come strumento per il riciclaggio, le truffe definite anche BEC (Business Email Compromise) o EAC (Email Account Compromise) sono al momento tra le più redditizie per i criminali.
Se consideriamo poi tutti gli attacchi di phishing, furto di credenziali o di account, truffe bancarie basate su malware, SIM Swap, ransomware, riciclaggio, estorsione e sextorsion, comprendiamo come il fenomeno cybercrime è ormai giunto a una soglia di attenzione perché la superficie d’attacco è enorme.
Complice anche il fatto che con il Covid l’informatizzazione della società ha avuto un aumento anch’esso esponenziale, siamo ormai in una situazione in cui coloro che fino a un paio di anni fa non si sarebbero sognati di usare online banking o fare acquisti su eCommerce si buttano ora - letteralmente - nella rete.
Il vantaggio di chi colpisce di cybercrime è la facilità nel trovare vittime (spesso sono loro a trovare i criminali) e la buona copertura data dall’anonimato, garantito sia da soluzioni tecniche come Tor o VPN sia dal coinvolgimento di ulteriori vittime che vengono utilizzate come intermediari “involontari” verso il bersaglio finale.
Si pensi ai ransomware, altro fenomeno che ha causato decine di miliardi di dollari di perdite dovute sia al pagamento dei riscatti richiesti dai cybercriminali sia ai costi aziendali per recuperare ove possibile la continuità lavorativa: i colpevoli sono stati identificati in una percentuale bassissima dei casi, la stragrande maggioranza degli attaccanti (o di chi ha operato attività di riciclaggio per essi) è rimasta anonima.
Questo contesto vede chiaramente chi offre servizi informatici/informatizzati sempre più in difficoltà - si pensi appunto alle banche - perché buona parte dei costi vengono impiegati in protezione dagli attacchi e un’altra parte per gestire le perdite, quando questi riescono. Quando poi gli attacchi sono seri, spesso le statistiche vedono persino le aziende chiudere e non riuscire a reggere al colpo.
In questo scenario, l’autore Roberto Murenec ha avuto l’ambizione - riuscendoci pienamente - di dipingere un quadro che ne mostri tutte le sfaccettature districandosi su più livelli, in una sorta di multipla dimensione dove abbiamo da un lato la posizione geografica e quella temporale, dall’altro quella giuridica e tecnico/sociale.
Questo non è il primo libro sul cybercrime e non sarà l’ultimo, ma ciò che lo contraddistingue è l’eclettismo dell’autore, che spazia da contesti puramente tecnici e sistemistici o più spesso informatico forensi a digressioni giuridiche, passando per considerazioni sugli aspetti sociali e riferimenti ad Agenzie, Forze dell’Ordine, Organizzazioni o Direzioni Governative.
Parlando degli aspetti tecnici, la punta di diamante di questa opera sono gli approfondimenti dell’autore sul fenomeno del Man in The Mail, approfondito come in una monografia partendo dalla storia per arrivare ad analizzare con dovizia di particolari le metodologie di attacco e le modalità con le quali i criminali portano a segno i furti che, come evidenziato dall’FBI, hanno ormai impatti miliardari ogni anno.
Analizzato il contesto dell’attacco, l’autore passa sulla linea di difesa mostrando cosa possono fare le aziende e i privati (entrambi vittime di questo fenomeno) per rilevare in tempo gli attacchi o, ove possibile, prevenirli e bloccarli sul nascere. Anche in questo caso, l’analisi è multilivello: si passa dalla sicurezza informatica con tecniche di protezione e incident response alla digital forensics, con tecniche di acquisizione e analisi delle evidenze digitali, dei file di log e delle tracce di compromissione, concentrandosi in particolare sul fenomeno della posta elettronica e del web.
Uno dei denominatori comuni di questi attacchi è l’utilizzo, infatti, di strumenti semplici e consolidati, come la posta elettronica o i siti web, entrambi contesti nei quali l’informatica forense ormai si è consolidata concretizzandosi in standard di cristallizzazione della prova e analisi forense. Vengono quindi illustrate le potenzialità di analisi di log, acquisizione di messaggi di posta elettronica e siti web, tracciamento di email, indirizzi IP, analisi di compromissione e data breach, tutti elementi che nel contesto delle truffe sono spesso elementi discriminanti e strategici al fine di rilevare, identificare e perseguire tentativi di attacco e di truffa.
Infine, per non tralasciare nulla, dato che tutto ormai ha implicazioni giuridiche e sulla privacy, l’autore analizza la situazione di attacchi di phishing e Man in The Mail dal punto di vista delle responsabilità e della protezione dei dati, così da completare un quadro che si spera possa essere di aiuto a potenziali vittime per evitare di diventare tali o – a vittime ormai purtroppo confermate - per gestire l’attività di analisi forense, identificazione dei fatti tecnici e delle responsabilità, con le conseguenti cause penali e civili che ne derivano.
Paolo Dal Checco, Ph.D.
Consulente Informatico Forense
STRUTTURA
A |
E-MAIL COME VETTORE DI MINACCE CIBERNETICHE |
A1 |
Posta elettronica: aspetti tecnici di base |
A2 |
Protocollo in uscita SMTP: uno dei più antichi nell'era di internet |
A3 |
Elementi costitutivi di una mail: Envelope - Header - Body |
A4 |
Headers SMTP e headers delle e-mail |
A5 |
Vulnerabilità della posta elettronica e le sue possibili minacce |
A6 |
Come cercare di ottenere una e-mail sicura: i protocolli di autenticazione e-mail |
A7 |
Alternative al protocollo SMTP: la PEC e la posta crittografata PGP (cenni) |
B |
FORME DI ATTACCO INFORMATICO-FINANZIARIO: DAL "PHISHING" AL "MAN IN THE MAIL" |
B1 |
E-mail quale strumento di cyber-attack |
B2 |
Forma di attacco informatico-finanziario per eccellenza: il phishing |
B3 |
Forme di attacco informatico-finanziario più moderne e affinate: la BEC |
B4 |
Target delle truffe BEC: soprattutto le PMI |
B5 |
Fasi metodologiche di cyber-attack |
B6 |
Metodologie di attacco e acquisizione informazioni attraverso forme di vulnerabilità tecnica e di vulnerabilità umana |
B7 |
Social engineering |
C |
STRUMENTI DI RILEVAMENTO E MODALITÀ DI AZIONE DEL PROFESSIONISTA O DEL CONSULENTE |
C1 |
Perizia informatica |
D |
STRUMENTI DI RILEVAMENTO E MODALITÀ DI AZIONE DELLA PG |
D1 |
Il ricorso a figure specialistiche |
D2 |
Possibilità di blocco delle operazioni bancarie |
D3 |
Azioni svolte dalla pg delegata nei confronti degli internet service provider (ISP) |
D4 |
Acquisizione di informazioni afferenti a una comunicazione, alla localizzazione sul web o all'istante di apertura di una determinata comunicazione elettronica |
D5 |
Indagini sulle tracce lasciate dal denaro |
E |
COOPERAZIONE INTERNAZIONALE NELLE INVESTIGAZIONI SUL CYBER-CRIME |
E1 |
Raccolta del dato digitale all'estero |
E2 |
Raccolta delle prove digitali a distanza (cenni) |
E3 |
Cooperazione giudiziaria tra autorità giudiziarie e di forze di polizia |
E4 | Verso un rafforzamento della cooperazione giudiziaria: il secondo protocollo addizionale alla Convenzione sul cybercrime |
E5 |
Organismi europei di cooperazione internazionale e coordinamento investigativo |
E6 |
Procura europea (EPPO - European public prosecutor's office) |
F |
Metodologie di difesa e tecniche di prevenzione |
F1 |
Definizione dei livelli di protezione, sicurezza e strategia aziendale al fine di prevenire un possibile data breach |
F2 |
Definizione dei livelli di sicurezza da e verso il personale |
F3 |
Definire procedure di gestione delle emergenze |
F4 |
Definizione dei livelli di protezione e sicurezza da parte dell’istituto di credito |
G |
PROFILI DI RESPONSABILITÀ E POSSIBILI VIOLAZIONI |
G1 |
Possibili responsabilità e/o corresponsabilità |
G2 |
Responsabilità del soggetto o dei soggetti attivi del reato |
G3 |
Altre possibili responsabilità civili nel rapporto intermediari finanziari - Clienti/vittima |
CONDIZIONI
Per l’acquisto di pubblicazioni digitali o l’abbonamento ai servizi on-line, comprensivi di aggiornamenti e assistenza tecnica, occorre:
• | dotarsi di un dispositivo mobile (tablet) con schermo di almeno 7”, meglio 10” (caratteristiche di lettura leggermente inferiori ad una pagina formato B5 - 16,7 x 24,5). L’utilizzo di smartphone è fortemente sconsigliato; |
• | versare la quota di abbonamento o di acquisto della pubblicazione digitale; |
• | scaricare l'app Egaf Libri dagli store Android e Apple; |
• | leggere il Manuale d'uso; |
• | inserire nome utente e password nelle Impostazioni dell'app utilizzando le stesse credenziali già usate per l'acquisto online e per gli altri servizi Egaf (l'operazione è consentita non prima di 10 minuti dall'acquisto se il versamento effettuato mediante carta di credito on line dal sito Egaf; per le altre modalità di pagamento è necessario attendere il giorno lavorativo successivo); |
• | scaricare la pubblicazione digitale; |
Sono consentiti:
• | l’installazione dell’app e della pubblicazione digitale abbinata al proprio account una sola volta e su un solo dispositivo in quanto si intendono in licenza d’uso monoutente; |
• | lo "spostamento", su un altro dispositivo, di tutta la Libreria contenente le pubblicazioni, nel caso di dismissione del vecchio dispositivo, max 1 volta all'anno contattando l'assistenza clienti al numero 0543-473347 o via mail gruppo@egaf.it; |
• | l’accesso ai servizi on-line H24 (per tutto l’arco delle 24 ore giornaliere) ad eccezione dei tempi tecnici periodicamente necessari per la manutenzione del sistema; |
Non sono ammessi:
• | il rimborso o un ulteriore scarico della pubblicazione, in nessun caso (neppure ad es. furto, smarrimento, ecc.), ad eccezione dello "spostamento" sopraindicato; |
• |
la riproduzione, anche parziale, di software di gestione e/o di materiale, didattico e/o informativo in quanto protetti dalla normativa sulla tutela del diritto d’autore, della proprietà intellettuale e del costitutore di banche dati. |
Garanzie e responsabilità
• | Tutti i prodotti Egaf sono curati da esperti del settore che ne garantiscono l’attualità e la correttezza; |
• | Egaf Edizioni srl e gli autori, pur assicurando la massima attenzione nella redazione dei testi, non rispondono di eventuali danni causati dall’uso del loro contenuto; |
• | gli scritti riflettono esclusivamente le opinioni dell’Autore e non impegnano in alcun modo l’Ente di cui sia dipendente. |
Tutte le Condizioni generali di acquisto e/o abbonamento sono consultabili su www.egaf.it.