Conti correnti svuotati attraverso SIM – home banking – carte di credito
L’attuale situazione di grave emergenza sanitaria non ferma purtroppo i grandi attacchi di cyber criminali che entrano in server nazionali ed internazionali al fine di rubare i nostri dati personali. Si tratta di “data breach” che si aggiungono alle tecniche più classiche, phishing o malware utilizzati dai criminali per sottrarre dati dai pc o dai cellulari. I malintenzionati (phisher) contattano gli utenti tramite email (phishing), SMS (smishing), WhatsApp o addirittura telefonate (vishing). Questi messaggi sono molto simili, nella grafica e nel contenuto, a quelli della banca, ma servono a carpire informazioni riservate e sensibili.
Il furto d’identità può avvenire ormai in tanti modi, anche senza colpa alcuna da parte della vittima. Il criminale può rubare l’identità sui social network per impersonare qualcuno e attribuirgli dichiarazioni mai dette in modo da ledere la sua reputazione.
I furti di identità avvengono spesso per gradi. Si parte dal furto della mail accedendo alla quale si possono ottenere le password di tutti i servizi collegati (con “recupero password”).
Il criminale, avendo accesso alla casella di posta elettronica, riesce a monitorare la corrispondenza fra un’azienda ed un cliente e quando c’è un ordine di acquisto, trasmette al cliente una mail in cui chiede di effettuare il pagamento su di un altro conto corrente: avendo spiato la corrispondenza, il truffatore può fare riferimento a nomi, dettagli numero d’ordine esatti, rendendo la corrispondenza mail più credibile. Le frodi più frequenti riguardano l’acquisto di oggetti a rate con finanziamento, l’acquisto di credito/servizi di telefonia, l’apertura di conti correnti per l’emissione di assegni a vuoto, oppure l’attivazione di una SIM a nome di colui al quale viene rubata l’identità. In tal caso è possibile registrarsi a tanti servizi, che usano quel numero di telefono come autenticazione ed attivare un finanziamento, a carico di altri oppure è possibile impartire a proprio vantaggio un bonifico. Recentemente stanno aumentando le sottrazioni illecite di somme di denaro dal proprio home banking attraverso la propria SIM telefonica.
La truffa (SIM SWAP) viene realizzata quasi sempre nel tardo pomeriggio del fine settimana (es. venerdì o giorno festivo) quando cioè è più problematico contattare il proprio istituto di credito per bloccare l’operazione illecita. L’azione illecita inizia con il blocco del cellulare della vittima che si accorge di non poter effettuare più chiamate in quanto il cellulare risulta “stranamente” non abilitato al traffico entrante. L’ignaro utente segnala il disservizio al call center del proprio gestore telefonico che, dopo un controllo, riscontra di fatti che il suo numero è stato bloccato a seguito di una segnalazione di smarrimento del cellulare. Non solo. L’operatore telefonico conferma che qualcuno, evidentemente sostituendosi all’ignaro utente, ha richiesto l’emissione di una nuova SIM Card con il suo stesso numero. Dopo qualche ora la vittima riceve una notifica sull’applicazione della propria Banca, relativa all’accesso sulla propria home banking di un cellulare diverso dal proprio. Insospettito dall’insolita notifica, considerato che non ha né smarrito, né cambiato il suo cellulare, decide di controllare il suo estratto conto attraverso la home banking e si accorge che purtroppo, a sua insaputa e quindi senza alcuna autorizzazione, sono stati illecitamente impartiti ordini di bonifici a perfetti sconosciuti. In alcuni casi vengono impartiti bonifici accedendo anche a due differenti home banking dello stesso utente (una personale e l’altra societaria) in favore di conti correnti bancari con iban differenti totalmente sconosciuti. In altri casi i pagamenti non autorizzati avvengono tramite carta ricaricabile (pure illecitamente ricaricata). Successivamente le carte di pagamento e la home banking vengono bloccate a seguito del disconoscimento delle suddette operazioni. Spesso gli istituti di credito ritenendo la frode realizzata al di fuori degli ambiti
controllati e controllabili dai propri sistemi di sicurezza, purtroppo, ri-addebitano le somme che, in un primo momento, avevano anticipato “salvo buon fine”.
Lo scenario rappresentato è davvero inquietante. E’ fondato il rischio di avere l’home banking svuotato? Ormai tutte le Banche hanno applicazioni (apps) e comunicano quasi essenzialmente con quelle anziché con gli sms anche per ragioni economiche. L’app è gratuita e costa molto meno del vecchio token. Nella truffa denominata “SIM SWAP” il ruolo della SIM è strategico. Tutti i sistemi di autenticazione a due fattori (2FA), da Facebook, Instagram, Linkedin, fino a G-Mail usano il cellulare come sistema di verifica dell’identità del soggetto. Questo significa che se si dimentica la password di Facebook, di G-Mail, o dello SPID si può richiedere il recupero o il reset della password dal sito. Facebook ad esempio, trasmette un SMS con le istruzioni per il recupero o il reset. Nella truffa SIM Swap queste informazioni arrivano solo sulla SIM duplicata e non su quella della vittima che di fatti è disconnessa dalla rete e quindi non riceverà alcun avviso.
Chi entra in possesso di un duplicato della nostra SIM, ha certamente la possibilità di accedere a tutte le nostre identità digitali. Basterà ottenere il reset/recupero password, mediante il numero di cellulare, per impersonare a pieno titolo le nostre identità digitali. Cambiando la password potrebbe pure impedirci di rientrare a gestire Facebook, Instagram, SPID, o G-Mail. Una volta che un soggetto ha avuto accesso ai nostri account Google, Apple, Facebook etc.. con la tecnica prima descritta, ha una visibilità completa di tutto quello che abbiamo fatto: cronologia navigazione, preferiti, etc.. Il malfattore installerà l’app della Banca, censirà un nuovo dispositivo (il suo cellulare) con il duplicato della SIM. La Banca manderà un sms al numero del titolare del conto bancario per verificare che sia il legittimo attivatore del nuovo dispositivo. Questo sms sarà però ricevuto dal malfattore che ha il controllo del nostro cellulare e non dal titolare del numero che ha il telefono bloccato. Arrivato il messaggio, il malfattore censirà il suo cellulare sulla nostra home banking e quindi potrà accederVi, al posto nostro, sostituendosi a noi, impartendo ordini di due, tre, quattro bonifici per non incappare nei controlli antiriciclaggio, svuotando praticamente il conto !! Il malfattore dal momento che ha censito come legittimo il suo dispositivo, noi non riceveremo alcuna notifica delle operazioni, addirittura la Banca chiederà al malfattore il PIN per autorizzare i bonifici illeciti!!! Quasi sempre si tratta di bonifici diretti verso paesi con una legislazione “compiacente”. In tutto questo meccanismo, ci sono delle gravi responsabilità a carico: a) del gestore telefonico che spesso con troppa facilità fornisce un duplicato della SIM, senza accertarsi della vera identità del soggetto richiedente (attraverso, per esempio, i dati di accesso e di login, un documento di identità oppure semplicemente copia della formale denuncia ai Carabinieri di smarrimento del cellulare; b) della Banca che per censire un nuovo dispositivo non ha effettuato alcun controllo antifrode: sarebbe stato sufficiente usare le funzioni di geo-localizzazione e fare un profiling del tipo di operazioni svolte per accorgersi che i bonifici disposti con buona probabilità non erano “legittimi”.
Il furto d’identità è conseguenza di una violazione dei dati personali, ossia di un data breach (Regolamento sulla protezione dei dati personali UE 2016/679), che attesta inequivocabilmente la mancata adozione di misure tecniche adeguate di protezione atte a prevenire questi gravi eventi ed i conseguenti gravi danni economici. I provvedimenti dell’Autorità Garante della privacy richiamano espressamente l’obbligo di identificare la clientela nell’esecuzione delle diverse operazioni bancarie e ciò al fine di consentire di assumere ogni opportuna iniziativa idonea ad evitare azioni illecite. C’è modo di incastrare il “truffatore”? Tutte le azioni che il malfattore ha posto in essere lasciano tracce indelebili sui sistemi a cui si connette. Acquisendo i dati di accesso alle varie piattaforme e correlandole fra loro, potrebbe essere possibile individuare il malfattore e
documentare la frode posta in essere. E’ necessaria molta attenzione prima di fare un bonifico: bisogna essere certi che l’iban del destinatario corrisponda al beneficiario corretto. Non è sufficiente che il nominativo sia giusto: le banche a volte tengono conto solo dell’iban per autorizzare il bonifico (anche se quello corrisponde a un nominativo diverso da quello inserito dall’utente).
Per prevenire il furto di identità creditizia è utile attivare un servizio di verifica delle operazioni finanziarie fatte con il nostro nome (attivazione finanziamenti o carte di credito). E’ opportuno quindi attivare sia una doppia autenticazione, laddove possibile (per la mail ed i servizi social), sia un servizio di notifica che ci avverta sui movimenti dei conti correnti, sull’utilizzo della carta di credito o sull’inoltro di un bonifico, in modo da consentirci di controllare, in tempo reale, saldi, accrediti, addebiti, scadenze ed esiti di pagamento dei conti, delle carte e degli investimenti. Dovremmo poter scegliere più avvisi, anche via app ed email non solo quindi sul cellulare certificato. Per aumentare la Nostra sicurezza dovremmo poter scegliere di ridurre il limite di spesa sulla carta, di ridurre l’importo dei bonifici on line (non tutte le Banche lo prevedono) e al tempo stesso limitare l’ambito geografico di utilizzo. Non dovremmo poi mai affidare la carta a terze persone, neanche a un familiare, per eseguire operazioni bancarie.
Nonostante i siti e le apps delle banche online siano ormai iper-certificati e progettati con elevati sistemi di sicurezza, crittografia ed avanzate tecnologie, purtroppo ancora non riescono a garantire massimi livelli di sicurezza nell’utilizzo dei servizi bancari e dei sistemi di pagamento elettronici conseguentemente non riescono in assoluto a prevenire frodi.
Bisogna quindi procedere con tempestività a bloccare le carte, denunciare le frodi alle Autorità, al fine di acquisire in modalità forense, mediante esperti consulenti informatici forensi, i dati di accesso alle varie piattaforme in modo da poterli utilizzare in giudizio. Se è pur vero che il malfattore lascia tante tracce è anche vero che in molti paesi stranieri le leggi consentono la conservazione dei dati di accesso per poco tempo. L’adozione di metodologie scientifiche di digital forensics è quindi importante per acquisire un quadro probatorio fondato su elementi oggettivi e verificabili utili in sede giudiziaria.