CONTRO-PHISHING: COME FUNZIONA E COME DIFENDERSI DALLA NUOVA TRUFFA

Se siamo qui a parlarti della nuova truffa del contro-phishing è per via di un articolo che ha attirato la nostra attenzione, pubblicato di recente su cybersecurity360, un sito di settore. Oltre questo sito, nessuno ancora ne parla.

Il Cybersecurity Specialist autore del post spiega con estrema semplicità ciò che sembra un doppio/triplo gioco estrapolato da un libro poliziesco. Peccato che si tratta di realtà, di truffa della peggiore specie.

Chi mette in atto una truffa del genere non è un cyber criminale ma un delinquente che agisce attraverso un gioco di specchi. Un gioco sporco che fa apparire l’imbroglio come un malinteso: disorienta la vittima snobbando banche, Garante Privacy e la stessa legge.

Addentriamoci nei meandri di questa nuova truffa online che potrebbe diffondersi a macchia d’olio se non venisse arginata in tempo.

PRIMA DI PARLARE DI CONTRO-PHISHING, RIPASSIAMO LA TECNICA DEL PHISHING

Per comprendere meglio in che consiste e come funziona il contro-phishing (il ‘contro-pacco‘), dobbiamo necessariamente descrivere ciò che conosciamo meglio: il phishing.

Il malvivente invia una e-mail alla potenziale vittima. Sembra autentica e, se il malcapitato non verifica bene l’autenticità dell’indirizzo di provenienza, cliccando su un link o su un allegato presente all’interno del messaggio scarica un ransomware. Questo tipo di malware cripta ogni file e database del privato o dell’azienda.

In alternativa, la malcapitata vittima fa l’errore di inserire la password bancaria in un sito-clone (sito fasullo che riproduce, ad esempio, quello di una banca). In questo modo, la password viene copiata, rubata e riutilizzata.

In altri casi, l’e-mail truffaldina richiede di effettuare con urgenza un bonifico per un motivo o per l’altro versando su un conto impossibile da verificare, che si trova in un paese off-shore (‘fuori giurisdizione’).

UN ESEMPIO PRATICO DI CONTRO-PHISHING

Spiegare in teoria cos’è il contro-phishing senza fare un esempio pratico è quantomeno limitativo.

Ecco l’esempio:

La nostra azienda ha venduto 3 mesi fa un servizio ma il bonifico non arriva. Telefoniamo al cliente che, però, assicura di aver già pagato versando il corrispettivo su un conto indicato in una nostra e-mail a lui inviata 2 mesi prima.

Non gli abbiamo inviato nessuna e-mail ma il cliente ce la mostra. Ci rendiamo conto che qualcuno ci ha rubato le credenziali con cui si è fatto inviare soldi su un altro conto (non di certo il nostro) allegando un PDF alquanto credibile e firmando con uno scarabocchio.

Cerchiamo di indagare sul nostro provider di posta: ci comunica che non abbiamo subito attacchi fino ad un mese fa (il limite, per legge, in cui si possono registrare dati).

Denunciando la truffa alla Polizia Postale facciamo presente che le prove dell’e-mail sono sparite per via del GDPR. I soldi finiti sul conto off-shore potrebbero essere stati ricevuti da un ‘compare’ che poi restituirà parte dei soldi o, nel peggiore dei casi, il conto off-shore è intestato proprio al cliente.

Il ‘contro-pacco’ gli è servito per pagare la metà il servizio ricevuto. E’ autore di un reato e, magari, vorrebbe pure passarla liscia…

CONTRO-CONTRO-PHISHING: LA TRUFFA RADDOPPIA

Nel contro-contro-pacco sono due gli attori che recitano la loro parte truffaldina.

C’è il venditore turistico online che, per sopravvivere in tempi di magra, non riuscendo a vendere il pacchetto vacanze escogita un piano con la complicità di un cliente. Gli propone il grande affare: acquistare una vacanza all-inclusive al 50% del prezzo senza esserne autorizzato dai proprietari dell’agenzia turistica.  Prepara le pratiche, la soluzione di vendita e si mette d’accordo con li cliente per il pagamento in negozio della metà del prezzo. L’altra metà a saldo. Insieme ai documenti genera il conto da saldare inviando una falsa e-mail di phishing.

Entra in scena il secondo attore, il cliente, che finge di ‘cascarci’ effettuando un bonifico a saldo su un conto off-shore intestato al venditore turistico oppure ad un complice che, in seguito, gli restituirà i soldi in forma anonima.

Il venditore ci guadagna il premio di vendita dai titolari dell’agenzia. Il cliente complice paga la vacanza al 50% del prezzo effettivo. Il venditore fingerà di insistere per il pagamento del saldo. Il cliente mostrerà la ricevuta del bonifico giustificandosi di non sapere che il conto fosse off-shore ma che appartenesse all’agenzia. Due delinquenti da non confondere con hacker e cybercriminali.

COME CONTRASTARE LE TRUFFE CHE VIAGGIANO SUL WEB

Il problema di fondo è questo: non si può individuare il sito malevolo se l’imbroglio si verifica  prima dei 30 giorni in cui viene fatta la richiesta di un bonifico a saldo. Tracce o prove vengono cancellate allo scadere dei 30 giorni.

Per motivi di privacy, in osservanza del Regolamento 2016/679 (GDPR), non è possibile risalire ad un backlog precedente ai 30 giorni di traffico per la posta elettronica.

Il modo per contrastare il phishing ed il contro-phishing presuppone l’introduzione di leggi specifiche, di una volontà politica di contrasto e di una normativa penale ad hoc.

E’ altrettanto importante rendere obbligatorio l’avvio di indagini di informatica forense che coinvolgano anche le banche riguardo a transazioni sospette.

Non esistono soltanto gli hacker, i cybercriminali ma anche semplici, volgari delinquenti  truffatori che sfruttano sufficienti conoscenze informatiche, conoscono la cybersecurity e le normative di settore.

E’ necessario tutelare privati ed aziende dal far-west informatico e del crimine undergound online.

Una legge mirata può consentire agli operatori di cyber sicurezza di utilizzare nuovi strumenti per contrastare le truffe che viaggiano sul web.