La nuova truffa del contro-phishing: cos’è, come funziona e come porvi rimedio

Questo articolo è un poliziesco avvincente sul piano cyber e rivelatore di una modalità sempre più di moda che va “oltre” il phishing che tutti conosciamo e che si sta diffondendo e si diffonderà, se non viene arginata, sempre di più: stiamo parlando della nuova truffa del contro-phishing.

Prima descriveremo la differenza tra le tre modalità di imbroglio perpetrato non da criminal hacker, ma da malviventi ai danni di chi è in buona fede, che prima o poi si sperimenta in prima persona o si conosce il racconto di chi ci è cascato, e che può costare qualche decina di euro ma anche di più, o molto, molto di più.

Attraverso un “gioco di specchi” del contro-phishing non sempre intuibile, spieghiamo di seguito come una semplice e-mail può “offuscare” questa tecnica di imbroglio fino a farla sembrare un banale qui-pro-quo, in barba al truffato, al Garante Privacy, alla Guardia di Finanza, alle banche e, in sostanza, alla Legge.

Viene in mente a ben pensarci un sottobosco degno del miglior Nanni Loy nel film “Pacco, doppiopacco e contropaccotto”.

Ma per meglio capire vediamo di cosa stiamo parlando: partiamo dal phishing (l’imbroglio che tutti conosciamo e sul quale saremo molto brevi), analizziamo il contro-phishing (il contropacco), fino ad addentrarci nei meandri del contro-contro-phishing (il contro-contro imbroglio) e succedanei.

Caro vecchio phishing

La faccio brevissima: arriva una email che sembra autentica ma se non si indaga bene la provenienza, non appena si clicca su un link o su un allegato riportato nel testo del messaggio si scarica un ransomware che cripta completamente ogni file dell’azienda compresi i database. Oppure si inserisce la password bancaria in un sito-clone e dunque viene copiata e dunque rubata e riusata. O ancora viene richiesto di bonificare al più presto i propri soldi per i motivi più vari (convenienza, affare, beneficienza ecc.) su un conto non indagabile, residente in paesi off-shore.

Questo era il phishing.

In cosa consiste la nuova truffa del contro-phishing

Si impone ora una speciale attenzione ad un meccanismo che espone tutti ad un nuovo modo di truffare, mediante quello che possiamo chiamare, per l’appunto, contro-phishing. Vediamo come con un esempio pratico:

1. Non bonificano il saldo della caparra di anticipo su un servizio che avevamo venduto tre mesi fa.
2. Telefonando al cliente, egli afferma di aver già saldato su un conto citato in una nostra e-mail, inviatagli precedentemente due mesi fa.
3. Purtroppo, non abbiamo inviato nessuna e-mail.
4. Il cliente ci mostra allora l’e-mail che gli è arrivata a stampa, noi insistiamo di non averla mai inviata.
5. Il cliente allora afferma che siamo stati vittime di furto di credenziali, con le quali qualcuno si è fatto inviare dei soldi su un altro conto, allegando un PDF molto credibile e firmando con uno scarabocchio del venditore conosciuto in agenzia.
6. Controlliamo la nostra posta, verificando di non aver inviato nulla, allora indaghiamo sul nostro provider di posta, che ci comunica che non abbiamo subito alcun attacco fino a un mese fa (per legge non si possono registrare dati più indietro nel tempo).

Ovviamente in questo specifico caso, il contro-phishing è sospetto e occorre comunicare tutto alla Polizia Postale sotto forma di truffa, facendo presente che le prove dell’e-mail (intestazione, dalla quale si vedrebbe da dove è stato inviato il messaggio) sono “scomparse” per via del GDPR, i soldi bonificati sul conto (off-shore) esposto nella email di phishing potrebbero essere incassati da un “compare” che restituirà la gran parte o la metà dei soldi, o – nei casi più temerari – l’intestatario del conto off-shore è lo stesso cliente. Ha pagato il servizio la metà, ha commesso un reato, e leggeremo poi in seguito come tenterà di farla franca.

Proviamo ora ad alzare la posta parlando di contro-contro-phishing cercando di capire di cosa si tratta facendo un altro esempio pratico. In tempi di “magra”, un venditore turistico online che non riesce a vendere le vacanze in crociera, neanche con degli sconti competitivi (gli affari vanno male perché il settore è in crisi) escogita tutto quello che abbiamo già detto precedentemente, ma stavolta è il venditore stesso che si mette d’accordo con il cliente X per permettergli di acquistare – affarone – una vacanza all-inclusive a un prezzo che altrimenti il cliente X non potrebbe permettersi di acquistare e per la quale il venditore non avrebbe mai il permesso di scontare oltre un certo limite.

Per fare questo, allora, questo venditore disonesto, per far pagare al cliente, comunque, la vacanza il 50% del prezzo senza esserne autorizzato dai proprietari dell’agenzia turistica, prepara comunque le stesse pratiche e la stessa soluzione di vendita, si accorda perché il cliente versi subito nel negozio la metà del prezzo della vacanza e l’altra metà a saldo.

Il venditore a quel punto è deciso a commettere il reato generando contestualmente ai documenti il conto da saldare attraverso una falsa e-mail di phishing. Grazie a questa e-mail il cliente fingerà di “abboccare” bonificando il saldo (che andrà di nuovo su un conto off-shore intestato al venditore stesso o a un suo compare, dal quale poi il venditore restituirà il denaro in un secondo tempo in contanti e in forma anonima).

In questo caso abbiamo due malviventi: il venditore, che ha commesso un reato e ha venduto il servizio turistico percependo comunque un premio di vendita dai proprietari dell’agenzia, e il cliente disonesto, che ha commesso un reato inscenando di essere vittima di un phishing e ha pagato la vacanza la metà.

Per scoprire come tenteranno di farla franca vedremo più sotto come proveranno a manipolare i fatti avvalendosi delle leggi in vigore.

Già, ma adesso come se ne esce? Ci sono troppi personaggi e troppi quesiti che vanno chiariti. Soprattutto tutte le menzogne devono andare a posto come in un perfetto puzzle ma – come in giallo che si rispetti – qualcosa non quadra.

Contro-phishing e contro-contro-phishing

Ma cosa accadrà quando i proprietari si accorgeranno di quanto avvenuto?

Semplice: i venditori, in qualunque caso, continueranno ad insistere nella richiesta di saldo dell’ammontare mancante, il cliente X sosterrà di nuovo di aver già bonificato tutto, mostrando i documenti di bonifico bancario autentici ma sul conto che dichiarerà di non aver immaginato fosse “off-shore” ad “uso phishing”, ma che credeva appartenere all’agenzia.

A questo punto entrano in ballo la cyber security e le regole di privacy.

Infatti, come in una partita di scacchi, ci si avvia alla conclusione in semplici 10 mosse.

1. Il cliente sosterrà di aver ricevuto un regolare invito al pagamento (le agenzie, i negozi e i venditori online raramente utilizzano o costringono ad utilizzare PEC o scaricamento di documenti attraverso strong-authentication).
2. Il venditore dovrà chiedere al cliente evidenza della e-mail di phishing.
3. Il cliente dovrà esibire l’e-mail ricevuta ma preferirà produrne una stampa autenticata facendosi tutelare da un avvocato (dal formato elettronico si capirebbe subito che è falsa).
4. Il venditore disconoscerà l’autenticità dell’invio di quella e-mail stampata su carta e sia l’agenzia sia il cliente si rivolgeranno alla tutela di un avvocato.
5. Di nuovo il venditore sosterrà che quella e-mail non è mai stata inviata dal negozio. Sottolineando un phishing.
6. A questo punto il cliente lascerà l’onere della prova al venditore dichiarando un “hackeraggio” della posta elettronica del venditore che, a questo punto, potrà richiedere al suo provider dei servizi di posta la certificazione di non essere stato vittima di hacking oppure il backlog di tutto il traffico esistente del server di posta elettronica al negozio
7. Il provider potrà, invece, per la nota legge sulla privacy (GDPR), generare soltanto:
   1. la certificazione di non aver mai subìto attacchi hacking nei datacenter dove viene ospitata l’e-mail del cliente e dunque neanche nel server e-mail del cliente;
   2. l’affermazione che per motivi di privacy non si può risalire ad un backlog precedente a 30 giorni di traffico e-mail;
   3. l’impossibilità, in osservanza del Regolamento 2016/679 (GDPR) di trasmettere traffico informatico che possa rivelare dati sensibili del cliente, ma la disponibilità, su richiesta, a ricercare all’interno del backlog di 30 giorni l’esistenza di una e-mail proveniente da un sito malevolo.

La conclusione della storia

Il sito malevolo è sconosciuto al cliente che non può individuarlo non potendo aver letto, al momento della ricezione, l’intestazione in chiaro della e-mail. Il fatto è accaduto prima o molto prima dei 30 giorni in cui la richiesta viene ormai fatta.

Mancano le prove, le tracce di quelle che potevano esserci sono state cancellate allo scadere dei 30 giorni.

Anche nel caso del contro-contro-phishing qualche tempo dopo, “calmate le acque” come si suol dire nelle serie televisive poliziesche, quel cliente riceverà indietro in contanti i soldi che aveva versato sul conto off-shore.

Come rimediare alla nuova truffa del contro-phishing

Innanzitutto, si deve poter intervenire direttamente per legge: non tutti sono ingegneri informatici, non tutti sono hacker, non tutti sanno usare le nuove tecnologie e via dicendo e quindi molti reati presuppongono una conoscenza tecnica che la maggior parte dei comuni cittadini non hanno.

Se la norma penale verrà introdotta sul contro-phishing doloso, di facile intuizione e non “troppo” tecnica o di difficile comprensione ai più, si potrebbe attivare subitaneamente e obbligatoriamente in caso di versamento di denaro su conti a seguito di phishing una attività di tutela informatica forense preventiva ed obbligatoria che abbia come obiettivo l’estrazione delle dinamiche avvenute e la prova o il ragionevole dubbio sulla autenticità della truffa.

Un possibile iter: forensics preventivo obbligatorio

Implicare un’indagine di informatica forense obbligatoria in caso di phishing di qualunque natura, che indaghi l’accaduto e gli attori dell’episodio nel tentativo di restituire il maltolto alla vittima, e ne scopra le implicazioni in altri casi.

Nel caso in cui il phishing abbia criptato i dati dell’azienda attraverso un ransomware, avviare – contestualmente all’intervento di recupero – obbligatorie indagini di informatica forense per comprendere l’eventuale dinamica della catena d’attacco, autorizzare il pagamento dell’assicurazione in caso provvisto, perseguire gli ignoti autori del reato di attacking, indicare eventuali complicità, scoprire implicazioni aziendali interne aventi come obiettivi insider trading o spionaggio industriale, attivare l’indagine presso le banche transate all’estero per poter ottenere le informazioni necessarie.

In caso di dolo, proteggere i singoli e l’azienda, i settori organizzativi, aiutare nella redazione dell’apposita reportistica per il Garante, le autorità competenti, denunciare l’accaduto, bloccare futuri tentativi ulteriori di tutta la catena di business dell’azienda, dei fornitori, di altri ulteriori clienti in possibile pericolo.

Sembra insomma ci sia un “gap” tecnologico in cui, mentre si guarda ancora al phishing come ad un sopraffino metodo di ingegneria sociale, si tralascia, d’altro canto, tutta l’implicazione finanziaria cercata da un sottobosco criminale che conosce quanto basta l’informatica e la cyber security e piuttosto bene la normativa di settore.

Se la politica e le leggi vorranno proteggere, durante questo periodo post Covid-19, tutti gli operatori, gli onesti lavoratori, i professionisti, i piccoli imprenditori, ma anche le grandi realtà industriali, realizzando normative applicabili e regolamentando l’attuale far-west informatico, gli operatori di cyber security sapranno utilizzarle per spezzare questa pericolosa lancia in mano al crimine underground che gli hacktivist e i black-hat hackers potrebbero aver messo facilmente in mano alle mafie ma anche e purtroppo soltanto a malviventi neanche troppo attrezzati.