Le frodi informatiche che prendono di mira le attività finanziarie sono senza dubbio le più sensibili, visto il settore che coinvolgono. Inoltre, i danni economici che i clienti potrebbero subire sono notevoli e potrebbero avere un forte impatto sull’economia e i risparmi dei cittadini.
In Italia, il brand di Poste Italiane è sicuramente tra quelli maggiormente presi di mira per frodi informatiche di ogni tipo, proprio per la capillarità sul territorio dell’Istituto e l’alta probabilità, sui grandi numeri, che il lancio di una campagna malevola colpisca un effettivo titolare cliente di Poste o che abbia avuto qualcosa a che fare con l’ente, anche in passato.
In questa guida si analizzano le diverse tipologie di truffe e frodi online che finora hanno impattato su questo brand, per conoscerle ed evitarle.
Truffe online: le più diffuse, come riconoscerle e i consigli per difendersi
Indice degli argomenti
Il phishing contro Poste Italiane
Ogni giorno nascono e vengono diffuse tante pagine Web che letteralmente copiano (anche per il tramite di tool appositi), il design e i contenuti di pagine strategiche di Poste Italiane, contenenti form da compilare con dati personali.
Il phishing, infatti, ha come primario obiettivo proprio quello di raggirare la vittima sfruttando la somiglianza delle pagine malevoli con quelle ufficiali al fine di carpirne i dati sensibili personali.
Questi dati, per le cyber gang, rivestono un ruolo fondamentale nella pianificazione di altri attacchi futuri, sempre più mirati, proprio grazie alle informazioni che clienti ignari hanno consegnato loro tramite queste finte pagine Web che, da un’analisi leggermente più attenta, non hanno niente a che vedere con l’organizzazione ufficiale di Poste Italiane.
Queste pagine Web fraudolente nascono sotto domini impensabili e difficilmente raggiungibili senza conoscerne l’URL, ma si diffondono sotto forma di link, pulsanti e infografiche cliccabili trasmesse mediante messaggi e-mail o SMS.
Nei casi più complessi, le campagne di phishing a tema Poste Italiane vengono arricchite di informazioni sulla vittima, recuperate da condivisioni pubbliche e aperte sui social network, di modo da indirizzare la campagna malevola in maniera più credibile per la vittima.
Nonostante tutto, è importante identificare il mittente di queste comunicazioni, soprattutto nel caso di e-mail che, per la maggior parte dei casi, riporteranno un indirizzo di posta elettronica facilmente riconoscibile come non appartenente a Poste Italiane.
Qualsiasi sia il contenuto della comunicazione, resta inoltre fondamentale verificarne l’oggetto prima di dar seguito alle istruzioni contenute, per esempio contattando il nostro riferimento di Poste Italiane nel caso fossimo clienti o verificando nell’area riservata del nostro account sul sito ufficiale dell’Istituto, ma sicuramente senza mai cliccare sui link contenuti nelle e-mail o nei messaggi SMS.
Se non dovessimo trovare alcuna corrispondenza tra le comunicazioni disponibili, allora quasi certamente siamo di fronte a una truffa.
Attacchi di tipo man-in-the-middle
Il classico phishing via e-mail di Poste Italiane è stato individuato, in alcune campagne malevole, equipaggiato da allegati infetti distribuiti sottoforma di archivi ZIP o fogli di calcolo Excel, che al loro interno hanno il codice utile a scaricare altri malware. La tecnica che questi malware sfruttano è nota come man-in-the-middle.
Sostanzialmente, una volta infettato un dispositivo, il software malevolo si frappone tra la vittima e l’operazione che sta svolgendo con la capacità di modificarne all’ultimo momento utile i dati che inserisce quando utilizza app o compila campi di testo nei form presenti sul sito web dell’istituto bancario.
Per fare un esempio, si può facilmente rappresentare questo attacco con l’operazione di bonifico, effettuata tramite l’area riservata dell’account BancoPosta, operazione ormai comune per chiunque sia da computer sia da app mobile.
Se il dispositivo che stiamo utilizzando è stato precedentemente infettato, durante la compilazione del codice IBAN destinatario, il malware interverrà, rispetto a ciò che desideriamo inserire noi, e modificherà le coordinate con IBAN sotto il controllo criminale, senza che noi ce ne accorgiamo.
Di fatto, quindi, confermeremo l’operazione portando avanti uno spostamento di denaro a vantaggio del frodatore e non del legittimo destinatario che noi pensiamo di avere indicato.
Normalmente, quando ci si accorge dell’errato movimento, risulta essere sempre troppo tardi perché di fatto il bonifico sarà già trasmesso e, se arrivato a destinazione, potenzialmente prelevato dal conto di arrivo, di modo da non consentirne il richiamo.
Questo è il tipico esempio di sfruttamento del man-in-the-middle, tecnica al centro della cronaca proprio di recente per via di una massiccia operazione riguardante Poste Italiane e coordinata dal Servizio Polizia Postale di Roma e dal Centro Operativo per la Sicurezza Cibernetica di Bologna.
In questo caso, solo a seguito di accurate e lunghe indagini si è riuscito a risalire alla cifra sottratta con la frode che, visto l’importo (ben 1.300.000 euro) ricopriva carattere di urgenza.
Ci sono, però, tanti piccoli movimenti, con importi meno significativi, che sottraggono cifre ai legittimi proprietari tramite questa tecnica e che difficilmente vengono recuperati, proprio perché non assoggettati a indagine.
La minaccia subdola del social engineering
Può sembrare una tecnica superata nel 2022, ma il vecchio “raggiro” è ancora oggi considerato tra le tecniche più prolifiche anche ai danni dei clienti di Poste Italiane.
L’ingegneria sociale, applicata a tecniche di phishing tramite SMS o e-mail, conferisce all’attaccante un potere condizionale sulla vittima, rendendolo così capace di operare operazioni economiche ai danni della clientela.
Nel caso specifico, queste truffe iniziano sempre con un contatto di phishing il cui mittente viene accuratamente emulato dall’attaccante per apparire legittimo e nel quale si richiedono dei dati personali specifici.
Se la vittima viene indotta a “completare” questo primo passaggio, la frode passa al livello successivo che, normalmente, avviene con una chiamata telefonica nella quale, fingendosi personale interno di Poste Italiane, gli attaccanti convinceranno la vittima ad eseguire determinate operazioni per risolvere alcuni aspetti di sicurezza o attivare, ad esempio, la carta di credito.
Tutte motivazioni assolutamente false se estrapolate dal contesto, ma Cybersecurity360 ha avuto modo di intervistare un campione di vittime che hanno subito attacchi di questo tipo, di età differente, e ciò che avviene è quasi una ipnosi del cliente che davanti alla voce dell’autorità riconosciuta (il dipendente di Poste Italiane), difficilmente riesce a discernere la natura delle operazioni che gli viene richiesto di eseguire.
La più tristemente nota, ancora oggi in corso, è la campagna condotta mediante una chiamata telefonica durante la quale la vittima viene convinta a uscire di casa, recarsi presso uno sportello Postamat, rimettersi in contatto con il malvivente e, davanti al dispencer di denaro, effettuare con la propria carta ricariche di carte prepagate spacciate come necessarie per testare il servizio di pagamento della propria carta. La realtà è che, di fatto, viene svuotato il conto corrente dell’ignara vittima operazione dopo operazione (viene fatta ripetere di solito dalle 3 alle 5 volte).
Resta un mistero come le persone riescano a fidarsi così tanto di una persona mai sentita prima, via telefono. Però questo è fatto quotidiano di cronaca, che impatta su una larga fascia di clientela indipendentemente dall’età.
La truffa BEC (Business Email Compromise)
Questa truffa, accaduta di recente, è rivolta direttamente a Poste Italiane e non ai suoi clienti: grazie a una finta e-mail interna, opportunamente manomessa, i cyber criminali sono riusciti a ricevere il pagamento per una maxi commessa realmente esistente della quale sono venuti a conoscenza nella fase preparatoria dell’attacco, durante la quale hanno intercettato e spiato le comunicazioni tra i differenti uffici.
Poste Italiane è dunque rimasta vittima, suo malgrado, di un attacco tipicamente noto come Business Email Compromise.
In pratica, è arrivata una banale e-mail agli uffici centrali di Poste Italiane: come destinatario c’è proprio il responsabile dei pagamenti di quell’ufficio.
Il testo dell’e-mail richiedeva il saldo di una rata verso un nuovo IBAN, in sostituzione del vecchio fino ad allora utilizzato, per una grossa fornitura da parte di Microsoft (che chiaramente è del tutto estranea alla faccenda).
Per portare a segno la truffa, i criminali hanno utilizzato un indirizzo di posta, creato ad hoc, con dominio @mlcrosoft e non @microsoft, ovvero una “elle” minuscola al posta della “i”: un “errore” che non ha destato preoccupazione all’ufficio che ha prontamente autorizzato il pagamento.
Il risultato è che i cyber criminali pare siano riusciti a mettere a segno un colpo da 5 milioni di euro versati sul loro conto corrente dal quale poi sono stati prelevati quasi simultaneamente (grazie a numerosi complici) da sportelli bancomat dislocati in varie parti del mondo per far perdere le tracce del contante.
Come possiamo notare, dunque, l’attacco BEC è perpetrato ai danni di un’organizzazione aziendale, via e-mail, e operato su scala mirata e non random come il normale phishing.
I criminali, in questo caso, conoscevano l’effettiva natura della fattura Microsoft e come era strutturato l’accordo o le comunicazioni fino ad allora intercorse tra le due aziende. Ciò, ovviamente, prevede una precedente fase di compromissione dei sistemi (mediante software malevolo o mediante insiders) per carpire quante più informazioni interne possibili, utili successivamente a mettere in pratica la truffa.
Conclusioni e mitigazioni
Gli scenari analizzati finora sono le possibili truffe che la cronaca ci ha insegnato a monitorare ai danni di Poste Italiane e dei suoi clienti. Tutte queste frodi, come possiamo desumere, hanno un fattore di rischio comune: il fattore umano.
L’anello debole di molte di queste catene della sicurezza informatica infatti passa proprio per il fattore umano. Volendo trovare un modo efficace di difesa, in questo scenario, non possiamo far altro che consigliare di lavorare sulla consapevolezza dei rischi cyber da parte dei propri dipendenti.
L’educazione del personale aziendale su temi cyber riveste un ruolo sempre più importante, soprattutto per accendere una lampadina di allarme davanti a gesti, apparentemente normali, come possono essere la chiamata telefonica o la lettura di una comunicazione via e-mail.
Allo stesso tempo, i clienti/cittadini devono imparare che né Poste Italiane né altri istituti di credito chiameranno mai telefonicamente i propri clienti per risolvere problemi relativi alla sicurezza dell’account, chiedendo una collaborazione attiva.
Gli uffici centrali sono perfettamente in grado di disporre qualsiasi tipo di operazione sui servizi che ci stanno offrendo, senza il nostro intervento.
Le credenziali di accesso, i dati delle carte di credito e i codici segreti o PIN di carte e applicazioni, devono rimanere segreti. Sono strettamente personali e non esisterà mai alcun motivo valido per comunicarli ad una terza persona con alcun mezzo di comunicazione orale o scritto.
Fondamentale anche imparare a riconoscere il mittente di un messaggio di posta elettronica, così come riconoscere eventuali link presenti all’interno del testo prima di cliccarci sopra. È importante, inoltre, diffidare sempre da comunicazioni ricevute e non attese, soprattutto se contenenti messaggi particolarmente allarmanti o attraenti (sconti e offerte), ancor di più se ci sono anche allegati.
Infine, ricordiamo che tramite il nostro osservatorio phishing, è possibile rimanere aggiornati su cosa accade in Italia e nel mondo sul fronte di questo genere di frodi informatiche. Abbiamo attivato, inoltre, un indirizzo di posta elettronica dedicato: phishing@cybersecurity360.it, al quale è possibile segnalare i casi di sospetta frode, inviando anche quanto ricevuto per l’analisi da parte dei nostri esperti.
