Il settore finanziario, con al suo interno banche e assicurazioni, è quello maggiormente attaccato da almeno cinque anni[1]: non è difficile comprendere come il profitto monetario immediato costituisca un’attrazione irrefrenabile verso questo settore per il cyber crime[2].
Se l’obiettivo finale sono i depositi bancari, il mezzo è quasi sempre il cliente della banca. L’attacco avviene attraverso tecniche miste che combinano social engineering, phishing e malware specializzati, oppure con hacking ed emulazione dello smartphone, con una forte crescita degli attacchi SIM swap.
L’attacco diretto verso l’infrastruttura bancaria, di minore frequenza rispetto all’accesso fraudolento con le credenziali del cliente, avviene quasi sempre sfruttando vulnerabilità pubblicamente note ma non prontamente fissate.
In quest’area l’attacco è automatizzato in una modalità scan-and-exploit, con script che interrogano l’ambiente della vittima, ne testano le eventuali vulnerabilità e in caso positivo l’attaccano immediatamente.
Gli attacchi zero-day rimangono casi sporadici, molto più frequenti invece quelli che sfruttano vulnerabilità durante i primi giorni o settimane dalla divulgazione e fanno breccia su processi di aggiornamento poco reattivi o carenti.
Continuano le campagne di ransomware mirate a intere organizzazioni, con una porzione del 59% di attacchi double extortion (a doppia estorsione) nella quale i dati vengono esfiltrati per metterli in vendita o renderli pubblici, qualora la vittima scelga di non pagare il riscatto, scelta peraltro sempre consigliata. Molte le organizzazioni vittima di ransomware anche in Italia.
Servizi bancari spesso vittima anche di Ransom-based Distributed Denial of Services (RDDoS), una particolare accezione del DDoS con attacchi lanciati qualora non si accondiscenda all’estorsione da parte degli attaccanti.
Indice degli argomenti
Il panorama dei financial malware
I financial malware sono malware specializzati nel furto delle credenziali di accesso o dei fattori di autorizzazione dei servizi bancari.
In questo settore QakBot, TrickBot, DanaBot e Bugat sono stati i principali malware dell’anno, seguiti da altri malware con un impatto minore.
Il primo diagramma descrive la distribuzione dei malware rilevati sugli endpoint infetti. Continua la frammentazione su un numero crescente di malware, ciascuno con una porzione di vittime sempre minore, che è in atto già da qualche anno. Questa non è una buona notizia per chi deve seguire i malware per contrastarli.
Dall’analisi del traffico malware generato dagli endpoint infetti che tentano di accedere al sito web banking lo spaccato è leggermente diverso, con Ursnif/Gozi, Urlzone, Zeus, Ramnit che hanno generato maggiore attività, e a seguire una lunga lista di altri malware. I malware adottano diverse strategie di funzionamento e questo ha ripercussioni su quello che riusciamo ad osservare.
La crescita del phishing bancario è ormai senza freni
Il phishing verso il settore finanziario italiano continua a crescere, apparentemente senza freni. Nel corso del 2020 avevamo osservato una media di 3,2 nuove pagine di phishing al giorno attivate e perfettamente funzionanti, con una crescita graduale nel corso dell’anno ed un picco di 5,6 nuove pagine al giorno nel mese di dicembre 2020.
Con l’ingresso del nuovo anno la crescita non si è arrestata ed ha segnato un nuovo record a marzo 2021 con circa 7,6 nuove pagine di phishing verso il settore bancario italiano attivate ogni giorno.
Il phishing presenta anche un danno collaterale non banale e spesso non visibile in prima battuta. Molti phishing kit espongo in chiaro i dati delle vittime. Questa è probabilmente una scelta di convenienza di chi crea il phishing kit, ma che espone le credenziali degli utenti al rischio di essere usate e riusate in diverse campagne.
Una pagina di phishing ha generalmente una vita breve e nel 72% dei casi osservati dura meno di 48 ore. Il ricambio è però tale da mantenere il numero di pagine attive sempre sostenuto.
Alcuni arresti operati proprio nei primi mesi dell’anno verso gruppi italiani dediti al phishing non hanno apparentemente avuto ripercussioni visibili. Il 91% delle URL di phishing usa il protocollo HTTPs che conosciamo come HTTP “sicuro”.
In realtà c’è poco di sicuro e se l’uso di una connessione HTTP semplice non fornisce alcuna garanzia sulla controparte, l’uso dell’HTTPS senza ulteriori verifiche sul tipo di certificato, chi lo ha emesso e per quali scopi, ancora una volta non può darci nessuna garanzia di sicurezza.
Cyber crime finanziario: la manipolazione dell’utente
Phishing o malware puntano a impossessarsi delle credenziali di accesso ai sistemi di pagamento, oppure dei dati delle carte di pagamento, oppure ancora di sostituire le coordinate di pagamento ad insaputa della vittima.
La direttiva europea PSD2 ha recentemente imposto sia per il web banking che per i siti di eCommerce l’autenticazione forte del cliente, o Strong Customer Authentication. Questo ha introdotto una complessità maggiore negli attacchi e necessariamente cambiato il modus operandi degli attaccanti che ora devono impossessarsi anche dei fattori addizionali di autorizzazione o one-time password che servono per autorizzare operazioni.
Quasi tutti gli attacchi includono un certo grado di manipolazione dell’utente, ingaggiandolo attraverso un finto operatore bancario che guida l’utente in alcuni passi critici della frode. Quasi tutti gli schemi di attacco prevedono che l’utente venga contattato al telefono oppure ingaggiato via chat, e questo per fargli rivelare il fattore addizionale necessario per le operazioni dispositive.
Alcuni sistemi VOIP consentono la configurazione del numero chiamante in uscita, quindi è raro che alcune chiamate dai finti operatori arrivino proprio dal numero della banca.
Approccio simile si ha nelle finestre di chat live presenti su alcune pagine di phishing. In questo caso l’operatore via chat ha lo stesso ruolo dell’operatore telefonico nel caso descritto precedentemente e mira a catturare gli elementi di autenticazione o autorizzazione ancora mancanti.
Vista la semplicità realizzativa e il basso costo, si prevede una ascesa di tecniche miste di manipolazione dell’utente che combinano nello stesso schema di attacco phishing, malware e ingegneria sociale attraverso un operatore umano.
Il SIM swap è uno dei fenomeni che ha registrato maggiore crescita nei mesi scorsi, non solo in Italia ma in tutta Europa.
Il settore finanziario ha demandato una porzione importante della propria strategia di sicurezza al numero di telefono del cliente, e quindi al possesso della corrispondente SIM. Questa strategia si è rivelata quantomai azzardata.
L’operatore telefonico e la sua rete di vendita si sono rilevati l’anello debole della catena, in quanto in più occasioni hanno rilasciato SIM non ai legittimi intestatari del numero ma ad altri soggetti criminali che l’hanno usata per autorizzare transazioni fraudolente.
L’attacco SIM swap parte da una nuova SIM con stesso numero telefonico della vittima, ed emessa a sua insaputa usando un documento contraffatto o rubato, e in taluni casi anche in assenza del documento sfruttando la compiacenza del rivenditore, e consente di ricevere gli SMS o gli altri codici autorizzativi inviati dalla banca alla vittima.
Questo, associato a phishing tradizionale, permette di impossessarsi completamente dell’account della vittima (account takeover) attraverso gli SMS usati come one time password (OTP) nel processo di autenticazione o autorizzazione.
Nel tentativo di arginare il fenomeno del cyber crime finanziario, promettenti sono gli esperimenti portati avanti da AGCOM e alcuni operatori telefonici che segnalano all’intestatario l’emissione di una nuova SIM e gli danno un certo tempo per bloccare l’operazione.
Cyber crime finanziario: governare la complessità
Alla crescente complessità degli schemi di attacco si uniscono la grande quantità di dati e applicazioni on-premise e nel cloud e la velocità di attacchi per lo più automatizzati. Tutto questo lascia davvero poco tempo per valutare e rispondere in maniera adeguata agli eventi di sicurezza. È necessario reinventare la risposta, sia dal un punto di vista tecnologico che organizzativo.
Alcune tendenze stanno emergendo con prospettive molto promettenti.
Anzitutto c’è il Machine Learning, soprattutto nell’analisi comportamentale degli utenti (User Behavioural Analytics) con modelli che riescono a catturare segnali deboli ma importanti per evidenziare comportamenti anomali dell’utente, ben adattandosi alla unicità di ciascun utente.
Poi c’è il tema dell’uso della threat intelligence nelle soluzioni di sicurezza, potenziando ciascuna soluzione con informazioni puntuali su minacce e attacchi che contestualizzati nello specifico settore e area geografica in cui opera l’organizzazione e confrontati con quanto realmente installato permettono di capire se, come e dove l’organizzazione è a rischio oppure è stata già colpita.
NOTE
X-Force Threat Intelligence Index 2021, February 2021. ↑
Pier Luigi Rotondo: Elementi sul cybercrime nel settore finanziario in Europa – Rapporto CLUSIT 2021 sulla sicurezza ICT in Italia, marzo 2021. ↑
