Il cybercrime finanziario si è evoluto e il pericolo di frode finanziaria è aumentato in modo esponenziale nel 2018. Anche il 2019 ha visto importanti evoluzioni sia dei malware usati che del modus operandi dei gruppi cyber criminali. Ma cosa serve affinché una frode produca un ritorno economico? L’ultimo punto vi stupirà.

 

Che cos’è il cybercrime finanziario?

Da tempo il cybercrime finanziario risulta la terza categoria di frode economico-finanziaria ed è preceduta solo da appropriazione indebita e corruzione.

Gli espedienti sono vari: furti di numeri e dati di carte di credito, phishing che simula offerte o avvisi di Banche e Assicurazioni, attacchi man-in-the-middle e man-in-the-browser, campagne di spamming, sfruttamento della PowerShell di Windows, applicazioni infette negli app store, furto di cripto-valute.

Non si tratta dell’hacker solitario ma di gruppi criminali ben organizzati e strutturati che pianificano con costanza e meticolosità in tempi anche molto lunghi. Tutto per rendere l’attacco sempre più redditizio. Perché vi sia un consistente ritorno economico è necessaria una compresenza di elementi: questi possono risultare elementari e scontati ma è come vengono applicati che fa la differenza.

 

1) Geniale capacità tecnologica

Il cybercrime finanziario si basa sulla capacità tecnologica di costruire un malware di alto livello. Si parla di anni di evoluzioni e sperimentazioni.

Ad esempio, Marcher è un malware per Android apparso alla fine del 2013 usato per rubare numeri e dati di carte di credito per anni. Il malware TrickBot si concentra su una piattaforma che consente l’acquisto di bitcoin con la propria carta di credito per poi addebitarli sul proprio wallet.

Il malware Ursnif (alias Gozi) è veicolato da una mail che sembra provenire da un’utenza PEC mentre i malware bancari Kronos e Ramnit, nella sola estate 2018, hanno colpito gli utenti di istituti finanziari in Germania, Regno Unito e Francia. Con questi, nella lista dei top malware che si sono contesi il mercato delle frodi finanziarie compaiono anche IcedID e Zeus Panda.

A fine 2018 in Italia c’è stato un boom di allegati malevoli che, una volta aperti, hanno infettato i computer con il malware Danabot. Questo malware compie attacchi man-in-the-browser: mira al furto di credenziali di sistema e di accesso a client email oltre a consentire l’accesso remoto al sistema infetto via VNC e RDP.

Infine, il 2018 si è concluso con una creativa campagna di spamming Gootkit che ha raggirato l’analisi automatica in sandbox di numerosi utenti.

Tutti malware analizzati anche nel Rapporto Clusit 2019 proprio per la loro architettura.

 

2) Alte competenze tecniche

Il cybercrime finanziario necessita di tutte le competenze tecniche per aggiornare questi malware ogni qualvolta vengano identificati dalle soluzioni di advanced fraud protection.

Ovviamente richiede mantenimento anche l’infrastruttura di Command-and-Control e con essa tutte le componenti di anonimizzazione ed encryption del traffico di rete.

Prendiamo come esempio il malware Marcher, apparso ben 6 anni fa per rubare numeri di carte di credito. Nel 2016 questo malware ha poi usato una schermata di overlay all’accesso a Play Store per catturare l’inserimento del numero di carta di credito, la data di scadenza e il codice CVV2 mandando nel panico banche di Francia, Austria e Polonia.

A inizio 2017 avvia una campagna in Francia sviluppando un nuovo modo per intercettare anche l’SMS inviato dalla banca come secondo fattore di autenticazione.

Nel 2018 Marcher si sviluppa colpendo utenti di banche turche. Questa volta il malware è stato inserito all’interno di giochi Android turchi caricati poi su Play Store. Una volta scaricato, Marcher ha monitorato l’attività di numerosi utenti attivandosi non appena si accedeva ad una delle app di banking.

Emblematica anche l’evoluzione di Gootkit in Gootkit v2. Questo malware parte sfruttando webinject aggiungendo la funzionalità per poter studiare dal vivo l’interfaccia del sito bancario senza la necessità di dover fare login e senza lasciare tracce.

 

 

Vuoi la massima sicurezza per la tua azienda?

Ecco cosa possiamo fare per te!

 

 

3) Studio attento e accurato

Gli attacchi del cybercrime finanziario richiedono una conoscenza scrupolosa dell’interfaccia e dell’app di eBanking. Si parla anche di localizzazione nella lingua del soggetto attaccato.

I redirection attack dirottano il traffico della vittima verso siti replica, copie attraverso le quali vengono catturate le credenziali di accesso. Queste vengono riutilizzate per accedere al vero sito di banking per mezzo di un’altra sessione parallela controllata dai cyber-criminali.

Perché la frode sia perfetta occorre creare una copia del sito molto fedele a quello dell’Istituzione presa di mira. Quindi sulla barra del browser compare l’indirizzo del sito di eBanking ma la connessione sta avvenendo con il sito replica. Infatti, l’utente non nota nulla di anomalo sebbene il trojan stia dirottando al nuovo indirizzo.

 

4) Reti di Money Mule

Sembra non esserci nulla di poetico nella traduzione “muli del denaro” ma il loro lavoro è molto delicato in quanto reclutati come agenti di riciclaggio per occultare l’origine dei proventi di attività illecite.

Sono fondamentali per la frode finanziaria in quanto devono far fluire le somme rubate di conto in conto, fino a renderne difficoltoso un eventuale recupero. Si tratta di una vera e propria fitta rete: un’estesa operazione di Polizia coordinata a livello europeo nel 2018 ha smascherato più 1500 spalloni o prestanome.

Come i cyber-criminali reclutano questi numerosi complici? Nella maggior parte dei casi, false offerte di lavoro sui social network.

 

5) Collaborazione della vittima

Ebbene sì, il componente più importante della banda è l’utente. Il cybercrime finanziario fa affidamento sulla vittima: lei stessa spesso scarica e apre allegati malevoli e ignora le più elementari norme di precauzione.

La vittima apre tutto per curiosità, anche se nella maggior parte dei casi non attendeva alcuna mail. Senza alcun minimo sospetto spesso l’utente si fida delle informazioni ingannevoli che legge e collabora attivamente con il criminale spinto da curiosità (es. messaggio di novità), paura (es. messaggio di sollecito) o avarizia (es. sconti o promozioni).

Più raffinato l’attacco in cui la vittima riceve una risposta o un nuovo messaggio da un mittente abituale (colleghi, responsabile, ecc) che in realtà cela un gruppo cyber-criminale. In questo caso il file viene aperto senza porsi troppe domande perché il mittente rassicura la vittima.

 

Con il termine truffa finanziaria si pensa subito a scenari alla Wolf of Wall Street ma oggi il sistema più perverso lo propone il cybercrime, sfruttando le nostre debolezze e ciò che è sempre con noi: i nostri device.

 

 

Share This