Man-in-the-mail: quando le minacce arrivano dalla posta elettronica
La continua evoluzione degli strumenti di pagamento, grazie all’aumento della velocità e rapidità degli scambi, ha contribuito ad innalzare vertiginosamente il volume globale delle transazioni, con conseguenti ripercussioni sul versante della sicurezza. Fra le più moderne tecniche di attacco possiamo infatti trovare il cosiddetto man-in-the-mail, ovvero la modalità di attacco secondo cui un soggetto terzo si frappone tra due interlocutori assumendo l’identità di uno di essi, ed intrattiene rapporti fraudolenti con l’ignaro interlocutore, finalizzati alla realizzazione di un successivo atto illecito.
Per operare la sostituzione, l’attaccante deve poter disporre di un valido patrimonio informativo circa i dati della vittima, che talvolta derivano dall’attività di un insider, magari un dipendente infedele della medesima azienda, mentre in altri casi le informazioni vengono estratte attraverso la consultazione di fonti aperte e la messa in campo di sofisticate tecniche di social engineering.
Frequente, inoltre, la correlazione con altri reati-presupposto: l’accesso abusivo informatico a caselle di posta elettronica ed altri account in uso alla vittima, ed il loro successivo utilizzo, consentono ad esempio all’intruso di osservare, intercettare o modificare il contenuto della corrispondenza. Può verificarsi, inoltre, una vera e propria intrusione illecita nei dispositivi in uso alla vittima, strumentale all’inoculazione di malware mediante tecniche di hacking o di phishing che permettono all’attaccante di assumere il controllo del dispositivo e carpire ogni informazione contenuta al suo interno.
Acquisito il necessario patrimonio informativo preliminare, lo scopo delle organizzazioni criminali è quello di sostituirsi fraudolentemente nei rapporti commerciali tra le aziende “spiate”, così da indurre le medesime, con messaggi ingannevoli, a trasferire le somme dovute per i rispettivi rapporti di credito/debito, su conti correnti appositamente creati, in uso alle organizzazioni criminali e spesso allocati all’estero, nell’intento di rendere più difficoltose le attività d’indagine e recupero dei crediti.
Le possibili soluzioni di contrasto si indirizzano verso attività finalizzate a conseguire, presso gli Istituti bancari e finanziari, il blocco tempestivo delle somme provento di reato, nonché il rilascio di dati utili ai fini dell’indagine (dati di transazione, indirizzi IP, dati bancari relativi alle movimentazioni dei conti correnti utilizzati per commettere il reato ed ai loro titolari).
L’esperienza operativa della Polizia Postale e delle Comunicazioni ha tuttavia dimostrato come oggi la via preferenziale del contrasto verso tali reati, non possa prescindere dal consolidamento della cooperazione internazionale di polizia e dalla partnership pubblico-privato con gli Istituti bancari e finanziari.
Un esempio è quello della piattaforma informatica denominata OF2CEN – On-line Fraud Cyber Centre and Expert Network, come ci racconta il bell’articolo La truffa dei bonifici online, ecco il “man in the mail”: come difendersi di AgendaDigitale, nata per raccogliere in tempo reale, da parte degli istituti di credito e forze di polizia, tutti i dati economico – informatici relativi ad una frode, in atto o consumata, rappresenta un valido strumento di prevenzione e contrasto dei cosiddetti Financial Cybercrimes.
Il fattore umano: la maggiore vulnerabilità nella sicurezza delle aziende
Per mitigare i rischi sempre più cangianti e sofisticati degli attaccanti non dobbiamo, però, dimenticare quella che rappresenta la maggiore vulnerabilità ad oggi presente nelle realtà aziendali: il fattore umano.
È necessario implementare iniziative di training sulla sicurezza, non solo al fine dell’adeguamento ad obblighi di compliance, ma come occasioni per imparare a mettere in sicurezza il business dell’azienda e il proprio posto di lavoro.
Modalità di attacco come man-in-the-mail si presentano come particolarmente insidiose, poiché vanno ad incidere direttamente sull’integrità patrimoniale di aziende assai rilevanti per il tessuto produttivo del Paese, minandone seriamente le fondamenta, e l’implementazione di efficaci strategie di tutela, come la formazione del personale per poter ridurre i problemi di sicurezza IT dovuti ad errori umani, non può non considerare la necessità di un approccio globale per la sicurezza informatica.
Un incentivo a questo approccio aziendale, anche per motivare una scelta importante di investimento da parte del management, è la valutazione degli effetti economici riconducibili a un attacco informatico: come ci racconta l’articolo Sistemi per la sicurezza informatica aziendale, come costruire una strategia efficace di ZeroUno sono diverse le implicazioni da prendere in considerazione, e vanno dalla riduzione della produttività, al costo di azioni legali, dalla mancata compliance, alla possibile perdita di clienti, oltre ovviamente al danno reputazionale.
Attacchi come il man-in-the-mail ci ricordano, comunque, che il fattore tecnologico è una sola delle componenti, e nemmeno la più importante, nella gestione di una sicurezza aziendale fatta innanzitutto di persone e di processi.