Non sorprende che il settore bancario sia uno degli obiettivi più comuni per gli hacker che tentano di violare la sicurezza IT delle aziende attraverso tattiche di phishing. Sebbene buone misure di sicurezza informatica siano integrate nei siti web e nelle applicazioni bancarie interne ed esterne, spesso è l’elemento umano che permette la buona riuscita delle frodi, provocando danni inestimabili.
Il settore bancario comprende non solo le banche tradizionali che offrono conti correnti e conti di risparmio, ma anche carte di credito come Visa e MasterCard, società di elaborazione dei pagamenti come PayPal ed e-tailer web come Amazon, Apple ed eBay.
I criminali informatici prendono di mira anche i portafogli elettronici a seguito dell’introduzione di Bitcoin e di altre cosiddette criptovalute che vengono utilizzate al posto delle monete tradizionali.
Per comprendere appieno l’impatto degli attacchi di phishing, è necessario prima comprendere gli scenari di attacchi phishing che si verificano. Quindi, sarebbe facile comprendere i passaggi per evitare e prevenire questa minaccia.
Sommario degli argomenti
Perché phishing bancario?
Profitto, la parola d’ordine.
L’accesso a un conto bancario o alla rete interna di un istituto finanziario equivale al ritrovamento dell’isola del tesoro.
A differenza dei “bei vecchi tempi”, quando irrompere in una banca richiedeva l’apertura di un tunnel sotterraneo e una squadra altamente qualificata che includeva certamente uno scassinatore, oggi a farla da padrone sono i criminali informatici.
I truffatori del web possono fare molti più danni a distanza con pochissime abilità e molto meno rischi; ora ci sono gruppi del dark web che creano malware o app di cracking delle password e li mettono in vendita.
Negli ultimi due anni quasi tutti sono stati costretti a cambiare le proprie routine.
Il modo in cui lavoriamo, acquistiamo, comunichiamo e raggiungiamo l’assistenza clienti: tutto si è spostato nell’ambiente online. E questo, sfortunatamente, ha creato le condizioni ideali per la nascita delle truffe finanziarie.
Con la diffusione del lavoro a distanza, molti dipendenti si sono abituati a lavorare da casa.
Di conseguenza, hanno iniziato ad accedere alle reti aziendali da dispositivi diversi dai computer dell’ufficio, rendendo molto più facile per gli hacker tentare di attaccare il perimetro informatico dell’azienda. Per i superiori, è anche molto più difficile far rispettare gli standard interni e i requisiti di riservatezza quando la maggior parte dei dipendenti lavora da casa.
Inoltre, poiché la maggior parte dei negozi, delle banche e degli uffici è stata chiusa a causa delle restrizioni, le aziende hanno dovuto passare immediatamente al telefono e ai canali di comunicazione digitale.
Sfortunatamente, poiché la maggior parte delle aziende si sono affrettate al fine di rendersi disponibili ai propri clienti il prima possibile, le organizzazioni a volte hanno trascurato le misure di sicurezza, rendendole più facili bersagli per i criminali informatici.
In aggiunta a questo, l’aumento degli acquisti online, nonché l’enorme disponibilità dei pagamenti online hanno generato nuove opportunità per i phisher.
Tipologie di phishing bancario
Il phishing bancario può essere suddiviso per tipologia a seconda di chi fornisce l’autorizzazione: una persona autorizzata o non autorizzata.
Entrambi utilizzano un insieme di strumenti tecnologici e tentano d’influenzare e ingannare la vittima. Tuttavia, praticamente in tutti i casi, la frode viene commessa effettuando pagamenti o prelievi dai conti delle vittime che non sono coerenti con i loro normali movimenti bancari.
Di seguito le principali categorie di phishing bancario.
Frodi interne
Gli autori di questa frode bancaria online potrebbero essere il personale della banca o i dipendenti dei fornitori di servizi tecnologici di supporto.
Questa frode può essere difficile da rilevare e può passare inosservata per lunghi periodi di tempo a meno che non sia in atto un sofisticato sistema di monitoraggio delle frodi, poiché queste persone hanno una buona conoscenza dei sistemi interni della banca.
Gli autori di questa minaccia interna possono utilizzare i privilegi degli utenti per ottenere l’accesso diretto ai conti delle vittime o per trasferire fondi dai conti di pagamento interni della banca ai conti dei consumatori. Successivamente, i soldi vengono trasferiti su conti bancari esterni.
Secondo la ricerca ACFE, le frodi interne sono aumentate del 48% per le banche e per i fornitori di servizi finanziari.
Truffe di phishing
Ogni giorno, milioni di e-mail e SMS fasulli vengono inviati a nome di banche, società, agenzie di consegna, autorità fiscali, servizi sanitari e molte altri enti.
Abbiamo analizzato anche noi alcune truffe phishing bancarie: come il caso di Banca MPS.
Le e-mail contengono collegamenti che, se cliccati da un utente ignaro, scaricano e installano immediatamente malware sul proprio dispositivo che raccolgono le informazioni personali necessarie per il controllo degli account della vittima.
Gli attacchi di phishing bancario sono vertiginosamente aumentati, a seguito della pandemia di Covid-19.
Vishing e Smishing bancario
Sebbene l’e-mail sia utilizzata in quasi tutte le operazioni di phishing, non è l’unica via utilizzata dagli hacker per rubare i nostri dati.
Infatti, potrebbero impiegare telefonate e messaggi; il vishing è una tecnica attraverso la quale cui un truffatore finge di essere un rappresentante di un’organizzazione.
Smishing, d’altra parte, utilizza messaggi SMS che sembrano provenire da “mittenti attendibili“, come banche e siti e-commerce.
In genere, questi messaggi contengono collegamenti che inducono gli utenti ad accedere a siti web e rivelare informazioni sensibili.
I visher usano spesso falsi profili ID chiamante per far sembrare autentici i numeri di telefono che usano in modo da sembrare più convincenti.
Le tecniche dei truffatori possono subire delle variazioni in modo da adattarsi alle diverse soluzioni; ad esempio, possono affermare che c’è un problema di sicurezza sull’account del destinatario o fingere di essere il capo di un’organizzazione fidata. Il loro obiettivo finale è lo stesso del phishing via e-mail: denaro.
Truffa del supporto tecnico
Abbiamo fatto affidamento sui nostri laptop, tablet e telefoni molto più del normale durante la pandemia, il che ha fornito agli hacker un’ottima opportunità per colpire i nostri dispositivi. Nello specifico, spacciandosi per un servizio di supporto tecnico.
Un truffatore del supporto tecnico può telefonare e fingere di essere uno specialista di computer di una nota organizzazione, affermando di aver scoperto un problema con il tuo computer o di aver notato comportamenti sospetti su di esso. Quindi, chiedono alle vittime di concedere loro l’accesso remoto al computer e fingono di eseguire test diagnostici.
Potrebbero anche tentare di attirare la vittima con una finestra pop-up che sembra essere un avviso di errore dal loro sistema operativo o software antivirus. Il messaggio nella finestra avverte di un rischio per la sicurezza del computer e indica all’utente di chiamare un numero di telefono per assistenza o d’installare un apposito software per contattare il supporto tecnico di una nota azienda gratuitamente.
Secondo una ricerca di Microsoft, tre consumatori su cinque sono stati vittime di una frode da parte di un finto supporto tecnico bancario nel 2021.
Mentre la maggior parte di loro ha perso in media circa $200 pagando per il “supporto tecnico”.
Frode con pagamento push autorizzato
Quando un cliente o un dipendente viene indotto con l’inganno a inviare denaro al truffatore, questo è noto come frode di pagamento push autorizzato. Esistono molti tipi di schemi di pagamento push autorizzati. Ad esempio, le vittime potrebbero essere informate che i loro conti sono stati infiltrati e che devono trasferire i loro risparmi su un nuovo conto per prevenire il furto. Inoltre, potrebbero anche ricevere una fattura che sembra provenire dal loro principale fornitore ma in realtà proviene da un truffatore.
Poiché le vittime effettuano questi pagamenti da sole e quindi superano facilmente tutti i controlli di sicurezza, recuperare i soldi è un problema oggettivo.
La maggior parte dei fondi persi a causa di frodi non vengono mai recuperati, il che lascia utenti e organizzazioni in seria difficoltà.
Prevenire il phishing bancario
Sicuramente, non si deve fare affidamento solo sulla tecnologia per prevenire gli attacchi phishing.
Poiché la maggior parte di queste attività fraudolente si basano sull’ingegneria sociale e sulle tattiche di manipolazione, è necessario avvisare continuamente i clienti di prestare attenzione se ricevono e-mail o messaggi con collegamenti o telefonate che richiedono informazioni personali.
Gli utenti non devono mai fornire le proprie credenziali di accesso, informazioni del conto bancario, numero di previdenza sociale o qualsiasi altra informazione personale senza prima verificare l’identità della persona che effettua la richiesta e devono ricontrollare tutte le fatture prima di trasferire il pagamento.
La frode interna, purtroppo, può essere una delle sfide più difficili da gestire per una banca o un’istituto bancario.
Le aziende potrebbero limitare il potenziale di tali frodi disponendo di più firme per le transazioni bancarie, facendo in modo che più persone verifichino le transazioni o richiedendo ai consumatori di verificare i pagamenti. La valutazione regolare delle responsabilità e dei privilegi degli utenti, oltre a limitare l’accesso a particolari sezioni del sistema, può anche aiutare nella prevenzione e nell’individuazione delle frodi all’interno degli istituti finanziari.
Conclusione
Il phishing bancario è in continua evoluzione poiché i truffatori escogitano nuove tecniche per aggirare le difese delle loro vittime.
Infatti, recenti report hanno segnalato un aumento di chiamate automatizzate fraudolente e messaggi di testo che fingono di provenire da Amazon e chiedono agli utenti di fare clic su un collegamento per ottenere un rimborso.
Tuttavia, non importa come i metodi degli attacchi di phishing bancario cambino forma, per avere successo faranno comunque affidamento sul carattere umano. I truffatori avranno successo, come sempre, sfruttando la paura, la preoccupazione e la volontà delle loro vittime di credere che le loro comunicazioni provengano da fonti ufficiali.
Le frodi bancarie sono in netto aumento e la questione su chi sia responsabile delle perdite che ne derivano diventa sempre più pressante.
In generale, le banche sono obbligate a rimborsare le vittime di truffe nel caso in cui il truffatore dia inizio al pagamento.
Le banche hanno tradizionalmente sempre evitato la colpevolezza in circostanze in cui gli utenti sono vittima di pagamento push autorizzato.
Sebbene vi sia un’ampia gamma di frodi bancarie, esiste un solo metodo praticabile per rilevarle e prevenirle;
abbinare la transazione fraudolenta al modello di attività passato del titolare del conto o dell’utente del sistema.
Concludendo, nello sviluppo delle soluzioni, è fondamentale concentrarsi non sulle varie forme di frode ma sui comportamenti tipici dei correntisti, affinché le anomalie possano essere riconosciute e prevenute.
Onorato Informatica Srl
Sicurezza informatica per aziende da oltre 10 anni
Onorato Informatica è un’azienda informatica, specializzata in sicurezza informatica, da oltre 10 anni.
Ci occupiamo di Cyber Security dalle nostre sedi di Mantova, Parma, Milano e Los Angeles. Siamo un’azienda certificata ISO 9001, ISO 27001 e azienda etica. Se vuoi conoscere i servizi di sicurezza informatica e sapere come possiamo aiutarti, contattaci.
- Autore articolo
- Ultimi articoli
Sono un giovane italo-tunisino appassionato della camminata. Da piccolo cambiavo sempre il mio tragitto per andare a scuola e nel 2008 mi trasferivo in Italia per iniziare un nuovo cammino.
Questa passione mi ha consentito di raggiungere importanti traguardi formativi, quali il diploma come perito tecnico industriale con il massimo dei voti e la laurea triennale in ingegneria biomedica.
Attualmente, sono uno studente laureando alla magistrale di Biomedical Engineering. Di recente ho vinto l’assegnazione della Cybersecurity Scholarship 2021 – 2022 Cisco.
