last issue
Abbonati alla rivista!

CYBERSICUREZZA E PRIVACY DIGITALE

Il cyber-crime diventa più creativo

Stuart Madnick

Aprile 2023

Il cyber-crime diventa più creativo

Carlo Cadenas

LA DISINFORMAZIONE è spesso citata dai media, di solito nel contesto della politica, ed è considerata sinonimo di fake news. Sebbene si tratti di problemi seri, spesso si trascura un pericolo più grande e più personale: il modo in cui i criminali informatici utilizzano la disinformazione per derubare aziende e privati.

Una definizione di disinformazione è: "informazioni false o imprecise, in particolare quelle deliberatamente destinate a ingannare". Ma questa può essere più efficace e ingannevole quando è combinata con grandi quantità di informazioni vere e accurate, soprattutto quelle che sono note solo a pochi. Sfruttando i cyberattacchi che sottraggono informazioni vere, i criminali possono combinarle con un po' di disinformazione per provocare un forte impatto finanziario su aziende e individui.

Di seguito riporto alcuni esempi. Poiché si tratta di situazioni molto delicate, le organizzazioni coinvolte hanno accettato di spiegarmi la situazione solo a condizione di anonimato. Si tratta di un requisito comune, ed è per questo che si ritiene che i cyberattacchi segnalati pubblicamente rappresentino solo una piccola parte di quelli reali.

 

Furti mediante i bonifici bancari

La maggior parte di noi ha sentito parlare di truffe che rubano i numeri delle carte di credito. Nella maggior parte dei casi, è possibile contestare o annullare gli addebiti impropri sulla carta di credito, in modo da non perdere denaro. Ma c'è una differenza fondamentale con i bonifici bancari: di solito sono immediati e irreversibili. In altre parole, quando viene utilizzato un bonifico bancario, il denaro non c'è più, soprattutto se l'inganno non viene scoperto immediatamente. I criminali informatici hanno sfruttato questa caratteristica in vari modi.

Ad esempio, i criminali si introducono nei sistemi informatici di un'azienda, dove passano il tempo a leggere le e-mail e a imparare le procedure interne. I criminali apprendono quali funzionari sono autorizzati a impartire istruzioni di bonifico all'ufficio finanziario e quali sono le procedure. Poi si spacciano per questi funzionari e, uno dopo l'altro, nell'arco di diversi giorni, impartiscono istruzioni per bonifici, alcuni dei quali per oltre 500.000 dollari, sui propri conti.

Dopo che una società con cui ho parlato si è resa conto di questo costoso problema, sono state messe in atto procedure per verificare che tali bonifici fossero effettivamente richiesti da personale autorizzato. Ciò significava parlare al telefono direttamente con la persona autorizzata e verificare i dettagli della transazione; purtroppo, spesso queste procedure sensate vengono messe in atto solo dopo che il reato è già stato commesso.

Non sono solo le aziende a poter perdere denaro con le frodi telematiche. Gli acquirenti di case di pregio sono bersagli comuni. Una fase fondamentale della maggior parte delle transazioni di acquisto di una casa prevede il trasferimento di una notevole somma di denaro tramite bonifico bancario a una società di deposito a garanzia che lo trattiene fino a quando il titolo di proprietà non viene trasferito al nuovo proprietario e poi - e solo allora - la società di deposito a garanzia trasferisce i fondi al venditore della casa.

I criminali utilizzano un processo in più fasi per guadagnare da queste situazioni. In primo luogo, si introducono nei sistemi informatici dell'agente immobiliare, dell'avvocato o dell'agenzia di deposito titoli. Possono passare settimane o addirittura mesi ad imparare quali siano le chiusure imminenti, le procedure della società e i dettagli con le istruzioni per i bonifici. Poiché possono verificarsi complicazioni all'ultimo minuto, gli acquirenti sono spesso incoraggiati a effettuare il bonifico con un giorno o due di anticipo. La società di proprietà di solito invia le istruzioni con un giorno di anticipo, quindi i criminali informatici invieranno le istruzioni con due giorni di anticipo. Queste istruzioni sembrano provenire dalla società proprietaria, poiché si basano su quelle reali, ma le informazioni sulla destinazione sono alterate. Hanno nascosto un po' di disinformazione in una serie di informazioni vere.

In un solo anno sono stati rubati centinaia di milioni di dollari in questo modo. Infatti, secondo i dati dell'FBI, nel 2020 più di 13.000 persone sono state vittime di frodi telematiche nel settore immobiliare e degli affitti, con perdite per oltre 213 milioni di dollari, con un aumento del 380% rispetto al 2017. Potreste trovarvi in una situazione in cui avete venduto la vostra casa precedente e avete usato il denaro ricevuto più i vostri risparmi per acquistare una casa più nuova e migliore in una città diversa. Potreste essere in macchina a metà strada verso la nuova città per trasferirvi nella nuova casa il giorno successivo, quando ricevete una telefonata dall'agente immobiliare che vi chiede dove sia il vostro pagamento. Dopo molte telefonate concitate, vi rendete conto che il vostro denaro è stato rubato e che ora siete senza casa e al verde.

Ci sono diverse cose che sia i privati che le aziende possono fare per ridurre il rischio di crimini informatici tramite bonifico. Innanzitutto, confermate sempre le istruzioni del bonifico al telefono con la persona che dovrebbe ricevere il denaro prima di inviarlo. I criminali potrebbero aver incluso un numero di telefono fasullo nelle istruzioni ricevute, quindi verificate sempre in anticipo il numero corretto utilizzando un sito web ufficiale o parlando direttamente con una fonte nota che possa verificare le informazioni corrette.

 

Furto di buste paga

Molte aziende forniscono sistemi che consentono ai dipendenti di mantenere e aggiornare i propri dati personali, come l'indirizzo di casa, il telefono e le coordinate bancarie per l’accredito diretto dello stipendio mensile. I criminali si sono introdotti nei conti di alcuni dipendenti ben pagati e, il giorno prima dell'invio del pagamento, hanno modificato le coordinate bancarie. Poi, il giorno dopo, modificano di nuovo le coordinate riportandole alla normalità, in modo da non far notare nulla di anomalo. Hanno continuato questo schema per diversi mesi, fino a quando un dirigente ha ricevuto un avviso di fondi insufficienti su un assegno e solo allora si è reso conto che i pagamenti mensili previsti non erano stati ricevuti dalla sua banca. (Immagino che nessuno di questi dirigenti seguisse i propri conti bancari mensilmente). Questo esempio illustra l'importanza di controllare il proprio conto bancario con una frequenza tale da rilevare attività insolite o errate, soprattutto per confermare che i depositi previsti vengono effettuati.

 

La truffa del “capo”

La maggior parte di noi ha sentito parlare della classica truffa in cui il CEO dell'azienda chiede al CFO di inviare fondi da qualche parte. Se non siete un amministratore delegato, potreste pensare che queste truffe non siano rilevanti per voi, ma non è così. Una forma di truffa, particolarmente diffusa nei campus universitari, prevede che un membro del personale riceva quella che sembra un'e-mail da un superiore, in genere il capo dipartimento. Al dipendente viene raccontata una storia del tipo: "Mi sono appena reso conto che stasera andrò alla festa di compleanno di mio nipote e sarò impegnato in riunioni per tutto il giorno, quindi non avrò il tempo di comprare un regalo. Potresti farmi un piccolo favore e comprare una carta regalo da 100 dollari e mandarmi via e-mail i numeri sul retro?". Una vittima si è lamentata: "Non solo veniva da uno dei miei colleghi, ma anche a nome del mio capo dipartimento". In un caso di cui ho sentito parlare, 8 docenti su 10 di un singolo dipartimento sono caduti nella truffa. Ancora una volta, è importante verificare che il messaggio provenga davvero dal vostro capo.

 

Perché è importante essere cauti

Il punto di tutto questo è che, sebbene la disinformazione, sotto forma di fake news, sia un problema, la combinazione di molte informazioni reali con un minimo di disinformazione può essere devastante. Gli esempi sopra riportati sono solo alcuni esempi recenti. Come già detto, ci sono cose che si possono fare per eliminare o almeno ridurre drasticamente questi crimini, ma queste procedure e precauzioni devono essere messe in atto ora, non dopo il crimine.

I criminali informatici sono incredibilmente creativi e spesso dispongono di molte informazioni su di voi. Potrebbero essere in arrivo altri piani insidiosi, per cui è importante informarsi continuamente sui nuovi piani, essere prudenti e preparare le proprie difese.

 

Ringraziamenti: la ricerca riportata in questo articolo è stata sostenuta, in parte, dai fondi dei membri del consorzio Cybersecurity at MIT Sloan (CAMS).

 

Stuart Madnick è Professore di Information Technologies presso la MIT Sloan School of Management, Professore di Engineering Systems alla MIT School of Engineering e Direttore di Cybersecurity al CAMS (Interdisciplinary Consortium for Improving Critical Infrastructure Cybersecurity) del MIT. È coautore del libro Computer Security (1979).

Commenta scrivi/Scopri i commenti

Condividi le tue opinioni su Hbr Italia

Caratteri rimanenti: 400

Edizione Digitale

Leggi Hbr Italia
anche su tablet e computer

Scopri gli abbonamenti

Newsletter

Lasciaci la tua mail per essere sempre aggiornato sulle novità di HBR Italia

Iscriviti alla newsletter

HBR Italia

Segreteria editoriale
Piazza Borromeo 5 - 20123 Milano
mail info@hbritalia.it
tel 02 36599235
(lun/ven 9-18)

1474881043623 Linkedin
1474880980739 Facebook
1474881029345 Twitter
2021_09_14/instagram-1631632379443 Instagram
2020_09_03/1590014008391-1599142057755 RSS
1470066093958

Copyright © Strategiqs Edizioni

Powered by Miles 33