Secondo l’Osservatorio Cyber del Crif, nel 2023 sono aumentato del 45% i furti di dati nel dark web.
Dall’indagine emerge che i dati che circolano sul dark web a livello internazionale hanno superato la soglia dei 7,5 miliardi, “ma potrebbero ammontare ad oltre 10-11 miliardi, secondo altri report”, commenta Luca Bechelli, Information & cyber security advisor P4I – Partners4Innovation. Infatti, “a preoccupare è la numerosità di tutti gli attacchi, ormai notificati, come i social network, la grande banca, l’assicurazione. Attacchi che determinano il furto di informazioni scarsamente rilevanti, fino al momento in cui la collezione di dati assume una massa critica così importante che i cyber criminali hanno una vista sempre più ampia sulla vita delle vittime, sia sotto il profilo professionale che personale”.
“La crescente minaccia del furto di dati e delle frodi cyber evidenziata dall’Osservatorio Cyber di Crif rappresenta una seria preoccupazione per il settore bancario”, conferma Dario Fadda, esperto di cyber sicurezza e collaboratore di Cybersecurity360, “tuttavia, bisogna rilevare che un’importante fetta di questi dati sono ben noti agli istituti di credito, ancor prima che qualcuno li pubblichi per la vendita. Si tratta, infatti, quasi sempre, di grandi collezioni di dati archiviati da sfruttamento di infostealer, ma anche riciclati da precedenti archivi già negoziati“.
“La crescita dei dati in circolazione sul dark web a livello globale è imputabile a diversi fattori”, aggiunge Pierluigi Paganini, analista di cyber security e CEO Cybhorus, “quali l’incremento degli attacchi con finalità estorsiva e la diffusione di infostealer sempre più sofisticati ed evasivi. L’Italia non è immune a queste tendenze, anzi le PMI del nostro paese sono particolarmente esposte“.
Ecco come mitigare il rischio di frodi in ambito bancario.
Indice degli argomenti
Osservatorio Cyber Crif: oltre 7,5 miliardi di dati circolanti sul dark web
Sono salite del +15,9% le segnalazioni dei dati circolanti sul dark web a livello globale. Anche in Italia il fenomeno cresce a doppia cifra con un aumento significativo (+13,9%) del numero di utenti allertati. Si registra inoltre un incremento del +45% dei dati frutto di violazioni che appaiono sul dark web.
Nel 2023 l’indirizzo email ha acquisito rilevanza perché, associato a una password (in assenza di autenticazone multifattoriale), permette di effettuare l’accesso a vari servizi. L’Osservatorio Cyber Crif ha infatti trovato l’account di posta elettronica combinato con la password nel 94,4% dei casi.
Ogni informazione, disponibile sia in ambienti open che dark web, espone la vittima a diventare bersaglio di messaggi truffa più puntuali e affidabili. Nei messaggi di pagamenti fasulli da autorizzare o account da sbloccare, basta immettere le proprie credenziali in siti fraudolenti da raggiungere tramite link, per cadere nella truffa.
I messaggi di phishing contenenti link malevoli, infatti, cercano di indurre in tentazione la vittima. La spingono a cliccare e ad offrire ulteriori dati ai truffatori.
“Per il furto di dati personali, i cybercriminali utilizzano malware e applicativi che col tempo sono diventati sempre più sofisticati e difficili da distinguere da quelli ufficiali, diventando una trappola per le persone. Inoltre, gli hacker che utilizzano anche l’Intelligenza Artificiale per colpire i consumatori stanno diventando una vera minaccia a causa di truffe email sempre più sofisticate, caratterizzate da un linguaggio corretto e quindi plausibile, e dalla generazione di codice in continua evoluzione per lo sviluppo di app malevole. A tutto questo si aggiunge che molti utenti continuano a tenere comportamenti poco cauti in rete, come mostra il fatto che tendono a riutilizzare la stessa password per account e servizi diversi, e di come salvino le credenziali di accesso direttamente nel browser, esempi di cattive abitudini che li rendono particolarmente vulnerabili”, spiega Beatrice Rubini, Executive Director di CRIF.
Frodi: le tipologie più comuni e il livello di rischio
La gravità degli alert ha messo a segno un incremento del +29% rispetto al 2022. Ciò conferma che aumenta la vulnerabilità della vittima alle cyber truffe per singola esposizione di dati. I cyber criminali infatti raccolgono le informazioni di contatto per completare il profilo della vittima. In un caso su dieci, sono visibili il numero telefonico, l’indirizzo email, associati al nome e cognome della vittima.
“Il dato che emerge dal rapporto, e che preoccupa maggiormente, è la gravità degli alert in aumento rispetto all’anno precedente”, conferma Pierluigi Paganini: “Premesso che andrebbe esplorato con maggior dettaglio questo dato, secondo il rapporto i set di dati disponibili negli hacking forum sono sempre più ricchi di informazioni di contatto. Tutto ciò si traduce in una maggiore capacità offensiva degli attaccanti in disponibilità di queste informazioni”.
Grazie all’intelligenza artificiale, sempre più popolare nei forum di scambio di kit phishing e malware, i criminali informatici possono sferrare truffe accurate e su misura.
“L’uso di sistemi dell’Intelligenza Artificiale sicuramente concorre a rendere gli attacchi più evasivi“, evidenzia Paganini: “Campagne di phishing sempre più sofisticate e l’uso di deep fake in attacchi BEC e CEO fraud sono già realtà“.
Nel 2023 la combinazione di molteplici dati personali e di contatto cresce del +45% rispetto all’anno precedente. Rappresenta una miniera di informazioni per i cyber criminali per sferrare attacchi più personalizzati e dunque più efficaci.
“Quando i cyber criminali conoscono nome e cognome della vittima, tutti i suoi account social, la filiale della banca”, continua Luca Bechelli, “posso dare in pasto questi dati non più a un essere umano, ma all’AI generativa per sferrare attacchi di phishing sempre più sofisticati”.
Un esempio di truffa nell’era dell’AI
“La vittima potrebbe dunque ricevere una telefonata da qualcuno che si finge il direttore di filiale. Attingendo a informazioni postate in precedenza sui social, potrebbe costruire una conversazione così accurata e personalizzata da trarre in inganno chiunque non sia particolarmente sensibilizzato”, avverte Bechelli: “‘Buongiorno dottore, sono il direttore della sua filiale in via Tal dei Tali nel tuo comune e ho visto che eri presenti alla festa di Paese (di cui la vittima ha postato la foto sui social, ndr)’. Chiunque, dopo una telefonata così dettagliata, crederebbe che l’autore delle telefonata sia veramente il direttore della banca”.
“Le intelligenze artificiali generative e, per me, creative, a cui si danno in pasto così tanti dati su una persona, sono in grado di sferrare in modo massivo un numero elevato di questa forma di attacchi personalizzati”, mette in guardia Bechelli.
“La complessità di resistere ad attacchi di phishing è alta. Da parte nostra è sempre più difficile individuarli, riconoscerli e opporvi resistenza. Cadere vittima di questi attacchi diventa sempre più facile anche per chi è sensibilizzato”, prosegue l’Information & cyber security advisor P4I.
“Un aspetto, infine, da cui metto in guardia”, conclude Paganini, “è la divulgazione accidentale di informazioni sensibili nell’iterazione con sistemi basati su LLM (Large Language Model) come ChatGPT. Queste informazioni possono essere utilizzate da attori malevoli per realizzate attacchi estremamente sofisticati e potrebbero essere aggregati con altre informazioni per poi essere rivenduti in nell’underground criminale“.
Gli account più violati
Nelle prime tre posizioni degli account e-mail più presenti spiccano Gmail, Yahoo e Hotmail. Nel 91,1% dei casi si tratta di account e-mail personali. Invece nel restante 8,9% dei casi si tratta di account business, in crescita del +2,1% rispetto al 2022.
Gli account più violati sono legati a siti di intrattenimento (56,6%), eCommerce (16,4%) e social media (11,9%). Il furto di dati può arrecare danni economici diretti per le vittime. Al quarto e quinto posto si posizionano il furto di account di forum e siti web di servizi a pagamento (6,2%) e finanziari (4,8%), come per esempio quelli bancari.
Osservatorio Cyber Crif: I target del cyber crime
Le aziende più colpite appartengono all’arena finanziaria, assicurativa, automobilistica, oltre al mondo dela selezione del personale, fashion e luxury. Associazioni ed enti governativi sono bersaglio di attacchi. In particolare, ambasciate, uffici ministeriali e postali.
La cassetta degli attrezzi del cyber criminale
Kit di phishing (come Modlishka, Evilginx eccetera) e di malware, pronti all’uso anche per i meno esperti, permettono di attaccare i consumatori con campagne di phishing ad hoc. Sfruttando l’AI generativa si elaborano email truffaldine sempre più personalizzate. Capaci di offuscare le capacità del destinatario di distinguere le comunicazioni vere da quelle fasulle.
La possibilità di tradurre velocemente, e in maniera più accurata, in varie lingue consente ai criminali, a livello globale, una maggiore diffusione di attacchi di phishing sempre più sofisticati.
L’app di messaggistica open source Telegram si trasforma nel posto di scambio dei dati trafugati. Ma è anche il luogo dove offrire how-to per realizzare malware pronti all’utilizzo o per la compravendita di tool a servizio degli hacker. Infatti è sufficiente una rapida ricerca dentro le applicazioni per trovare canali e gruppi di scambio di dati personali. Fra questi dati, spopolano quelli delle carte di credito.
Gli infostealer, ideati per rubare dati personali, si diffondono via link malevoli, email fraudolente o siti compromessi. Permettono di operare in maniera furtiva e catturare informazioni e credenziali nel corso della cyber navigazione.
I cyber criminali sono a caccia di informazioni utili per mettere a punto schemi fraudolenti per il furto di account. “Attacchi massivi di pesca strascico”, evidenzia Bechelli, “di cui rischiamo di cadere vittima a causa di attacchi automatizzati con l’AI“.
Osservatorio Cyber Crif: come mitigare il rischio
Password ( 94,4%, in aumento del +4,4% rispetto al 2022), email, username (65,6%), nome e cognome, numero di telefono. Sono questi i dati che circolano prevalentemente sul dark web e dunque risultano più vulnerabili. Il numero di telefono svolge un ruolo di primo piano in questi casi. In combinazione alla password (16,6%, in aumento del +25,6% rispetto al 2022)), alza il livello di esposizione della vittima.
“Bisogna continuare a insistere sulla sensibilizzazione delle persone”, avverte Luca Bechelli, “soprattutto per ricordare di non cliccare sui link – che non dovrebbero mai arrivare da certe istituzioni o da aziende. Le banche non lo fanno, ma il marketing di alcune banche a volte invia link ed è un errore. Anche se si ricevono, non bisogna mai accedere ai siti dai link provenienti da email o Sms. Ma occorre digitale l’url preciso manualmente. Oppure bisogna accedere dall’app (scaricata dal marketplace ufficiale), anche per telefonare al proprio direttore”.
“È importante non cliccare sui link contenuti nelle email o negli SMS sospetti e, soprattutto, non rispondere fornendo dati personali a messaggi apparentemente inviati dalla nostra banca o da un’altra azienda, controllando sempre il numero di telefono o l’indirizzo e-mail del mittente”, spiega Beatrice Rubini.
“Spesso i frodatori utilizzano messaggi che colpiscono l’emotività e fanno leva sul senso di urgenza: non dobbiamo essere impulsivi ma mantenere alto il nostro livello di attenzione. Diventa quindi sempre più importante per aziende pubbliche e private avere sistemi di vulnerability assessment e fare campagne di sensibilizzazione interna dei dipendenti. Dall’altro lato, è consigliabile per i consumatori gestire i propri dati in maniera scrupolosa, affidandosi anche a strumenti che oggi permettono di proteggere i dispositivi e monitorare i nostri dati”, conclude Rubini.
Altro consiglio sempre valido consiste nel “mantenere lo smartphone sempre sotto stretto controllo, assicurandosi che sia protetto, aggiornato, dotato di biometria. Bisogna anche mantenere separate gli ambiti della vita professionale e privata sullo smartphone, dove c’è tutto. Infine conviene utilizzare i sistemi per generare password complesse, da memorizzare e non condividere”, conclude Luca Bechelli.
I consigli per le banche
“La proliferazione di strumenti come i kit di phishing e l’uso sempre più sofisticato dell’intelligenza artificiale rendono le frodi cyber un’impresa sempre più lucrativa e difficile da contrastare”, conferma Dario Fadda: “È essenziale che le istituzioni finanziarie adottino misure proattive per proteggere i propri clienti, come l’implementazione di sistemi di autenticazione multi-fattore robusti e l’educazione continua sulla sicurezza informatica. In questo sicuramente la normativa PSD2 (attualmente in vigore) e la prossima PSD3 (ancora in sviluppo), con regole sempre stringenti, impegneranno le banche a irrobustire questa transizione, ma proteggeranno notevolmente l’operatività dei clienti“.
Tuttavia “gran parte dei gruppi bancari attualmente adottano sistemi che sono in grado di rilevare accessi insoliti rispetto la normale operatività dei clienti, inviando notifica di blocco al cliente con costrizione nel cambio password“, sottolinea Fadda: “Così la singola password in vendita può dirsi inutilizzabile per il servizio bancario (restando invece disponibile per altri servizi qualora il cliente l’abbia utilizzata altrove)”. Infatti le password non dovrebbero mai essere riutilizzate.
Oltre al numero della carta di credito, molto spesso scircolano nel dark web anche cvv e data di scadenza (96,9% dei casi). A livello geografico, svetta il Nord America (54,5% del volume totale), seguito dall’Europa col 23,8%. I Paesi dove si scambiano più dati di carte di credito, sono Stati Uniti, Francia, Messico, Brasile e Russia. Invece l’Italia si piazza in 16° posizione.
“Anche le collezioni di carte di credito hanno vita breve”, evidenzia Dario Fadda, “sia lato istituto bancario, ma ancora prima dal monitoraggio che viene effettuato dai circuiti e poi dai servizi di acquiring, che ne promulgano i blocchi condividendo le loro attività”.
“La sola presenza di queste quantità di dati online, tuttavia, rappresenta gravi pericoli per la clientela meno aggiornata su temi di sicurezza”, avverte Fadda: “truffe ben congegnate possono far abusare dei servizi bancari, pure senza operarne una compromissione dell’accesso, con raggiri che coinvolgono l’ingegneria sociale”.
Da questo punto di vista, “le banche, che operano restrizioni mirate dell’operatività online, sono da apprezzare per scongiurare perdite di denaro. Al contrario, con chi permette per esempio il bonifico istantaneo senza limiti di importo, è necessaria estrema e vigile attenzione su ogni operazione“, conclude Fadda.
