Di cybercrime finanziario si parla da tempo, ma con l’aumento della digitalizzazione unito agli effetti della pandemia e ora del conflitto russo-ucraino, le minacce al sistema finanziario sono mutate. Gli attacchi cyber sono molto più complessi e le manipolazioni a danno degli utenti di banche o istituti finanziari hanno reso il sistema molto vulnerabile.
A questo cyber scenario, il Clusit nell’ultimo Rapporto ha dedicato un capitolo intero in collaborazione con IBM ed esperti del CERT di Banca d’Italia. Durante il recente Security Summit organizzato sempre dal Clusit, si è discusso degli strumenti per prevenire l’instabilità finanziaria dovuta proprio ai rischi legati all’ICT. In particolare, si è parlato del Digital Resilience Operational Act (DORA) atteso nel 2023, che oltre a ricercare standard di sicurezza omogenei a livello europeo per le infrastrutture mira a monitorare i fornitori ICT del settore finanziario e bancario tra cui quelli dei servizi di cloud computing.
Un anno di cyber attacchi nel settore finanziario
Come si legge nel Rapporto Clusit, nell’ultimo anno i crimini informatici verso istituzioni bancarie e assicurative si sono evoluti nel modus operandi con malware e tecniche sempre più complesse. Si riconfermano tra i financial malware QakBot, Ursnif/Gozi e Bugat, ma compaiono nuovi codici malware.
Le tattiche fraudolente sono legate al furto delle credenziali di accesso delle vittime, all’autenticazione multifattore, ai dati delle carte di pagamento e alla sostituzione delle coordinate di pagamento IBAN (il cosiddetto IBAN Swapping) o di wallet elettronico nei dispositivi mobile. Gli attacchi sono inoltre diventati molto rapidi. In Italia, l’89% di campagne di distribuzione di malware bancario sono rimaste attive meno di 48 ore.
Ma il punto di forza dei cyber criminali sono ancora una volta le debolezze umane. Invece di attaccare direttamente la banca, si preferiscono obiettivi umani, i clienti, spesso ignari. Completamente nuovi sono, invece, gli attacchi basati sull’emulazione degli smartphone dove mettendo insieme codici identificativi dei dispositivi corrispondenti a titolari di conto, insieme a coordinate GPS contraffatte, si riesce ad aggirare l’autenticazione a due fattori accedendo agli SMS.
La complessità degli attacchi e la manipolazione dell’utente SIM swap
Il SIM swap è una delle tecniche dove gli attaccanti utilizzano SIM con lo stesso numero telefonico della vittima ma a sua insaputa usando un documento contraffatto. Una tecnica che associata al tradizionale phishing, permette di impossessarsi dell’account della vittima tramite gli SMS usati come OTP (one time password) durante il processo di autenticazione.
Secondo il Rapporto Clusit, il settore finanziario ha una media di 4,3 nuove pagine web di phishing al giorno attivate nei primi 5 mesi del 2021 e un ulteriore dato, strettamente legato e interessante: il 97,5% delle URL di phishing usa il protocollo HTTPs, il cosiddetto HTTP “sicuro” che di fatto si rivela un’indicazione poco affidabile di un sito web.
Il ruolo del CERTFin nel rischio informatico
L’attività del CERTFin, organizzazione pubblico-privata, è stata presentata da Romano Stasi, del direttivo operativo proprio per spiegare come avviene sul campo, la prevenzione e si sviluppa la capacità di facilitare la risposta ad attacchi e incidenti informatici in ambito finanziario.
L’organizzazione si sviluppa su logiche di cooperazione con istituti bancari tra cui Banca d’Italia, Ivass e ABI. Recentemente, il CERTFin ha realizzato I Naviganti – Informati e sicuri, una campagna di sensibilizzazione per clienti di banche e istituti finanziari e per il commercio online che mostra il funzionamento di minacce e attacchi e spiega le regole per non esserne vittima.
La modalità è molto semplice: consigli spiegati con dei video legati alla necessità di incrementare la consapevolezza nelle persone. Ad esempio: cambiare periodicamente le password; aprire solo le e-mail provenienti da indirizzi noti; installare antivirus; contenere la pubblicazione di informazioni personali online e usare password diverse per i vari siti.
La resilienza operativa digitale: DORA
Il Digital Operational Resilience Act è la proposta di legge nata per migliorare la sicurezza informatica e la resilienza operativa del settore dei servizi finanziari. L’adozione di questo nuovo regolamento permetterà di avere un quadro armonizzato e completo per la gestione del rischio ICT e l’allineamento con il quadro NIS. Infatti, secondo la proposta va ad integrarsi con le leggi esistenti come la Direttiva sulla sicurezza delle reti e delle informazioni (NISD) e il Regolamento generale sulla protezione dei dati (GDPR).
DORA non solo ha il compito di portare sinergie a livello dell’UE, ma anche il merito di spingere verso l’adozione del mercato unico digitale per quanto riguarda i servizi finanziari. Il regolamento prevede standard comuni per i test di resilienza operativa digitale per fare in modo che le organizzazioni siano preparate quando si verificano incidenti legati alle TIC. Oltre alla gestione dei rischi e degli incidenti, i test di resilienza operativa includono valutazioni e scansioni di vulnerabilità, analisi open source, valutazioni della sicurezza della rete, penetration test, fino a revisioni del codice sorgente se possibile.
Ulteriore obiettivo è garantire un solido monitoraggio dei rischi ICT derivanti da terzi. In questo modo, i fornitori critici, inclusi quelli di servizi cloud rientrano nella normativa e sono supervisionati dall’autorità di vigilanza europea (ESA), che può richiedere informazioni, condurre ispezioni e infliggere sanzioni. La proposta stabilisce anche le fasi per l’acquisizione di nuovi servizi ICT, requisiti e specifiche contrattuali per i contratti dei fornitori terzi. Richiede di eseguire le valutazioni del rischio prima di ogni stipula contrattuale.
In conclusione, lo scenario attuale in Europa (ma non solo) necessita di un approccio comunitario, con cui rendere la resilienza e la sicurezza un valore comune e un mercato congiunto del settore finanziario che oggigiorno è diventato fondamentale.