Europa
Addio passamontagna e pistole: i rapinatori di banche si sono trasferiti online, dove possono accedere ai ricchi conti correnti di utenti e aziende con uno sforzo minimo. E’ quanto denuncia l’agenzia europea per la sicurezza delle reti e dell’informazione (ENISA), secondo cui la recente operazione ‘High Roller’ dimostra come gli attacchi informatici alle banche siano ormai estremamente sofisticati e sempre più proficui.
Come descritto dal report di McAfee e Guardian Analytics, i metodi utilizzati nell’operazione ‘High Roller’ – che ha portato al furto di almeno 60 milioni di euro da banche europee e sudamericane – dimostrano che i criminali informatici prediligono ormai i server cloud, bersagliati da attacchi quasi completamente automatizzati in grado di estendere le frodi a livello globale.
Chi ha organizzato High Roller ha utilizzato metodi di attacco ormai consolidati, quali Zeus e SpyEye, ma non si è limitato a sfruttare le solite reti botnet, utilizzando server dedicati a questo tipo di attacco fraudolento, ognuno dei quali specializzato per un’istituzione banca o per una determinata regione.
Tre le ragioni per cui, secondo ENISA, High Roller ha segnato una svolta nella storia degli attacchi fraudolenti.
La prima: l’elevata automatizzazione, che ha permesso ai criminali di agire limitando al minimo l’intervento manuale.
La seconda: il livello di sofisticazione che ha consentito di aggirare le misure di protezione delle banche, quali l’autenticazione a due fattori e il rilevamento frodi. Gli utenti – spiega ENISA – non si sono accorti subito delle transazioni fraudolente perchè queste erano nascoste da un malware.
La terza: l’alto livello di specificità degli attacchi, che ha permesso di mirare solo ai Pc di utenti con conti correnti dai saldi elevati.
I cyber attacchi sono stati condotti in tre fasi: la prima è stata l’identificazione dei bersagli con conti correnti sostanziosi (da qui il nome ‘high roller’); la seconda è il caricamento del malware (SpyEye, Zeus e Ice 9) sul PC della vittima, calibrato per il sito di banking online dell’utente. Appena questi avvia una nuova sessione, il malware si attiva ed effettua spostamenti di denaro in maniera automatizzata. Le somme così sottratte vengono trasferite da conti di risparmio a conti correnti e poi, attraverso la complicità dei cosiddetti ‘muli’, vengono inviate ai malfattori tramite sistemi di money transfer del tutto legali come Western Union.
Alla luce di tutto ciò, ENISA consiglia alle banche di non sottovalutare questi rischi e di partire dal presupposto che tutti i Pc possono essere infetti.
Partendo da questa prima considerazione, quindi, andrebbero aggiornati tutti i dispositivi per il banking online – i creatori di codici, i lettori di smart card ecc. – il cui funzionamento si basa sull’assunto che i computer di chi li usa non siano infetti. Le banche dovrebbero invece partire dalla convinzione opposta e cioè che qualunque Pc può essere infetto e mettere in atto ulteriori misure di sicurezza come la verifica di una transazione via sms o attraverso una telefonata.
Essenziale, quindi, secondo ENISA, una maggiore collaborazione per abbattere i centri di comando globali: High Roller, ad esempio, è stato effettuato utilizzando server di comando e controllo dinamico situati in tutto il mondo, botnet fast flux e fornitori di hosting sicuri. Tutti escamotage usati dai criminali per rendere difficile l’origine dell’attacco.
Pertanto, è necessaria una forte collaborazione globale, sia in termini di prevenzione che di risposta, principalmente tra le squadre nazionali di pronto intervento (CERT), le Forze dell’ordine e tra i paesi Ue.
L’Agenzia europea – che conduce esercitazioni su larga scala (Cyber Europe 2010, Cyber Atlantic 2011 e il prossimo Cyber Europe 2012) e collabora coi CERT e gli Stati membri per migliorare le capacità di risposta e prevenzione a tali attacchi – sottolinea infine di prestare più attenzione anche agli smartphone, visto che questi dispositivi sono sempre più utilizzati anche per effettuare transazioni.
