Stiamo assistendo, sempre più, ad una escalation di attacchi cyber e di crimini informatici a tutto campo, tanto da rendere “chiunque” il potenziale bersaglio.
I metodi per condurre un attacco informatico possono essere svariati, in dipendenza delle particolari minacce, rischi e vulnerabilità dei sistemi che si intendono attaccare, così come altrettanto diverse possono essere le armi o i “cyber weapon”, cioè gli strumenti utilizzati (azioni-minaccia), per porre in essere tali attacchi.
Fra quelli che ormai sono entrati nella terminologia di uso comune ci sono gli attacchi phishing, ossia la tipologia di truffa a base di ingegneria sociale - social engineering - che fa uso di quell’e-mail che ritroviamo spesso nelle nostre caselle di posta elettronica e che ormai sono divenute il più conosciuto e riconosciuto vettore di minacce cibernetiche.
Accanto a questa forma di attacco informatico-finanziario, che oserei definire “consueto”, negli ultimi anni si è fatta strada anche un’altra variante, che riguarda particolarmente l’imprenditoria, più conosciuta come “Business E-mail Compromise” (BEC), la quale rappresenta una delle minacce meno sofisticate, ma tra le più efficaci, dove la tecnologia è soltanto un mezzo nuovo per portare a termine raggiri vecchi, in grado di mettere in serio pericolo le organizzazioni di ogni dimensione, perché fanno uso di e-mail che all’apparenza provengono da un account interno all’azienda”.
Chiunque deve tener presente, sempre di più, sia nei rapporti interprofessionali che nei rapporti con l’esterno, la “consapevolezza” (“awareness”) del rischio e, quel che è ancora più importante, del non sottovalutarlo; il contenuto racchiuso nella parola “consapevolezza” è l'insieme di tre elementi:
- informazione
- aggiornamento
- prevenzione.
Ciò non significa non far uso dei servizi di home banking o di non fare acquisti/vendite in Rete, ma significa imparare ad usare delle accortezze: andare direttamente all'indirizzo web; verificare la sicurezza della pagina di login; verificare le mail provenienti dal proprio Istituto di Credito; ricorrere al sistema della doppia autenticazione (OTP) collegandola ad eventuali messaggi di alert; evitare di collegarsi con i propri dispositivi al Wi-Fi pubblico disponibile se non necessario; controllare frequentemente il proprio account e il proprio conto corrente bancario e, nel caso di anomalie, disconoscere quelle operazioni registrate e rivolgersi prontamente di persona all’Istituto di Credito di riferimento ed alle Forze di polizia qualora necessario.
Fermo restando che può succedere a chiunque di incappare in questi tentativi di truffe, questo libro cerca di fornire in modo approfondito, ad ogni persona fi sica e/o giuridica, un “focus” completo sulle metodologie di attacco dal “phishing” al “man in the mail”, sugli strumenti di rilevamento e soprattutto sulle tecniche di prevenzione, senza tralasciare gli aspetti giuridico-investigativi necessari per addivenire a determinare
i profili di responsabilità civile e penale in cui possono incorrere i loro autori, qualora venissero individuati.
Al tempo stesso si rivolge tanto ai Consulenti Tecnici quanto alle Forze di polizia chiamate ad affrontare il fenomeno, su un piano prettamente investigativo nazionale e/o di cooperazione internazionale, affinché siano capaci di lavorare in perfetta sinergia per raccogliere tutti quegli elementi digitali necessari che consentano di intervenire prontamente e, per lo meno, di evitare che la vittima, pur avendo subito un trauma e una perdita economica, rischi di non veder ascoltata la propria voce e quindi rischi di essere vittima ineffabile del sistema.
PRESENTAZIONE
L’FBI ha calcolato che, negli ultimi cinque anni, gli attacchi di tipo Man in The Mail hanno fruttato alla criminalità un totale stimato di 43 miliardi di dollari. Con un aumento che pare pericolosamente esponenziale e l’introduzione dell’utilizzo della criptomoneta come strumento per il riciclaggio, le truffe definite anche BEC (Business Email Compromise) o EAC (Email Account Compromise) sono al momento tra le più redditizie per i criminali.
Se consideriamo poi tutti gli attacchi di phishing, furto di credenziali o di account, truffe bancarie basate su malware, SIM Swap, ransomware, riciclaggio, estorsione e sextorsion, comprendiamo come il fenomeno cybercrime è ormai giunto a una soglia di attenzione perché la superficie d’attacco è enorme.
Complice anche il fatto che con il Covid l’informatizzazione della società ha avuto un aumento anch’esso esponenziale, siamo ormai in una situazione in cui coloro che fino a un paio di anni fa non si sarebbero sognati di usare online banking o fare acquisti su eCommerce si buttano ora - letteralmente - nella rete.
Il vantaggio di chi colpisce di cybercrime è la facilità nel trovare vittime (spesso sono loro a trovare i criminali) e la buona copertura data dall’anonimato, garantito sia da soluzioni tecniche come Tor o VPN sia dal coinvolgimento di ulteriori vittime che vengono utilizzate come intermediari “involontari” verso il bersaglio finale.
Si pensi ai ransomware, altro fenomeno che ha causato decine di miliardi di dollari di perdite dovute sia al pagamento dei riscatti richiesti dai cybercriminali sia ai costi aziendali per recuperare ove possibile la continuità lavorativa: i colpevoli sono stati identificati in una percentuale bassissima dei casi, la stragrande maggioranza degli attaccanti (o di chi ha operato attività di riciclaggio per essi) è rimasta anonima.
Questo contesto vede chiaramente chi offre servizi informatici/informatizzati sempre più in difficoltà - si pensi appunto alle banche - perché buona parte dei costi vengono impiegati in protezione dagli attacchi e un’altra parte per gestire le perdite, quando questi riescono. Quando poi gli attacchi sono seri, spesso le statistiche vedono persino le aziende chiudere e non riuscire a reggere al colpo.
In questo scenario, l’autore Roberto Murenec ha avuto l’ambizione - riuscendoci pienamente - di dipingere un quadro che ne mostri tutte le sfaccettature districandosi su più livelli, in una sorta di multipla dimensione dove abbiamo da un lato la posizione geografica e quella temporale, dall’altro quella giuridica e tecnico/sociale.
Questo non è il primo libro sul cybercrime e non sarà l’ultimo, ma ciò che lo contraddistingue è l’eclettismo dell’autore, che spazia da contesti puramente tecnici e sistemistici o più spesso informatico forensi a digressioni giuridiche, passando per considerazioni sugli aspetti sociali e riferimenti ad Agenzie, Forze dell’Ordine, Organizzazioni o Direzioni Governative.
Parlando degli aspetti tecnici, la punta di diamante di questa opera sono gli approfondimenti dell’autore sul fenomeno del Man in The Mail, approfondito come in una monografia partendo dalla storia per arrivare ad analizzare con dovizia di particolari le metodologie di attacco e le modalità con le quali i criminali portano a segno i furti che, come evidenziato dall’FBI, hanno ormai impatti miliardari ogni anno.
Analizzato il contesto dell’attacco, l’autore passa sulla linea di difesa mostrando cosa possono fare le aziende e i privati (entrambi vittime di questo fenomeno) per rilevare in tempo gli attacchi o, ove possibile, prevenirli e bloccarli sul nascere. Anche in questo caso, l’analisi è multilivello: si passa dalla sicurezza informatica con tecniche di protezione e incident response alla digital forensics, con tecniche di acquisizione e analisi delle evidenze digitali, dei file di log e delle tracce di compromissione, concentrandosi in particolare sul fenomeno della posta elettronica e del web.
Uno dei denominatori comuni di questi attacchi è l’utilizzo, infatti, di strumenti semplici e consolidati, come la posta elettronica o i siti web, entrambi contesti nei quali l’informatica forense ormai si è consolidata concretizzandosi in standard di cristallizzazione della prova e analisi forense. Vengono quindi illustrate le potenzialità di analisi di log, acquisizione di messaggi di posta elettronica e siti web, tracciamento di email, indirizzi IP, analisi di compromissione e data breach, tutti elementi che nel contesto delle truffe sono spesso elementi discriminanti e strategici al fine di rilevare, identificare e perseguire tentativi di attacco e di truffa.
Infine, per non tralasciare nulla, dato che tutto ormai ha implicazioni giuridiche e sulla privacy, l’autore analizza la situazione di attacchi di phishing e Man in The Mail dal punto di vista delle responsabilità e della protezione dei dati, così da completare un quadro che si spera possa essere di aiuto a potenziali vittime per evitare di diventare tali o – a vittime ormai purtroppo confermate - per gestire l’attività di analisi forense, identificazione dei fatti tecnici e delle responsabilità, con le conseguenti cause penali e civili che ne derivano.
Paolo Dal Checco, Ph.D.
Consulente Informatico Forense
STRUTTURA
A
E-MAIL COME VETTORE DI MINACCE CIBERNETICHE
A1
Posta elettronica: aspetti tecnici di base
A2
Protocollo in uscita SMTP: uno dei più antichi nell'era di internet
A3
Elementi costitutivi di una mail: Envelope - Header - Body
A4
Headers SMTP e headers delle e-mail
A5
Vulnerabilità della posta elettronica e le sue possibili minacce
A6
Come cercare di ottenere una e-mail sicura: i protocolli di autenticazione e-mail
A7
Alternative al protocollo SMTP: la PEC e la posta crittografata PGP (cenni)
B
FORME DI ATTACCO INFORMATICO-FINANZIARIO: DAL "PHISHING" AL "MAN IN THE MAIL"
B1
E-mail quale strumento di cyber-attack
B2
Forma di attacco informatico-finanziario per eccellenza: il phishing
B3
Forme di attacco informatico-finanziario più moderne e affinate: la BEC
B4
Target delle truffe BEC: soprattutto le PMI
B5
Fasi metodologiche di cyber-attack
B6
Metodologie di attacco e acquisizione informazioni attraverso forme di vulnerabilità tecnica e di vulnerabilità umana
B7
Social engineering
C
STRUMENTI DI RILEVAMENTO E MODALITÀ DI AZIONE DEL PROFESSIONISTA O DEL CONSULENTE
C1
Perizia informatica
D
STRUMENTI DI RILEVAMENTO E MODALITÀ DI AZIONE DELLA PG
D1
Il ricorso a figure specialistiche
D2
Possibilità di blocco delle operazioni bancarie
D3
Azioni svolte dalla pg delegata nei confronti degli internet service provider (ISP)
D4
Acquisizione di informazioni afferenti a una comunicazione, alla localizzazione sul web o all'istante di apertura di una determinata comunicazione elettronica
D5
Indagini sulle tracce lasciate dal denaro
E
COOPERAZIONE INTERNAZIONALE NELLE INVESTIGAZIONI SUL CYBER-CRIME
E1
Raccolta del dato digitale all'estero
E2
Raccolta delle prove digitali a distanza (cenni)
E3
Cooperazione giudiziaria tra autorità giudiziarie e di forze di polizia
E4 Verso un rafforzamento della cooperazione giudiziaria: il secondo protocollo addizionale alla Convenzione sul cybercrime
E5
Organismi europei di cooperazione internazionale e coordinamento investigativo
E6
Procura europea (EPPO - European public prosecutor's office)
F
Metodologie di difesa e tecniche di prevenzione
F1
Definizione dei livelli di protezione, sicurezza e strategia aziendale al fine di prevenire un possibile data breach
F2
Definizione dei livelli di sicurezza da e verso il personale
F3
Definire procedure di gestione delle emergenze
F4
Definizione dei livelli di protezione e sicurezza da parte dell’istituto di credito
G
PROFILI DI RESPONSABILITÀ E POSSIBILI VIOLAZIONI
G1
Possibili responsabilità e/o corresponsabilità
G2
Responsabilità del soggetto o dei soggetti attivi del reato
G3
Altre possibili responsabilità civili nel rapporto intermediari finanziari - Clienti/vittima
Leggi di più
Riduci descrizione
