Da sempre, l’ecosistema finanziario è un bersaglio prediletto per il cybercrime, che oltre alla tipica sottrazione di dati a scopo di lucro – rischio cui tutte le aziende e le industry sono soggette – può puntare in modo diretto al risultato, cioè ad acquisire somme di denaro mediante trasferimenti indebiti (e illeciti). Non è un caso che, secondo il più recente Cost of a Data Breach report di IBM, l’industria dei financial services faccia registrare un costo medio di 5,72 milioni di dollari per ogni data breach, con una crescita consistente rispetto al 2020 e secondo solo all’healthcare.
Proteggere dati, dipendenti e clienti
Nel corso degli anni, i cyber criminali hanno affinato le proprie tecniche, rendendole sempre più sofisticate e insidiose, ma gli obiettivi non sono mai cambiati: sottrazione delle credenziali di accesso e di quelle dispositive per i sistemi bancari e di pagamento; sottrazione dei dati delle carte di credito ed, elemento leggermente più sofisticato; sostituzione fraudolenta dei dati di pagamento di bonifici e transazioni.
Tra le diverse peculiarità del settore finanziario c’è il target degli attacchi: non solo i sistemi e i dipendenti dell’azienda, che con le loro credenziali e attività possono attivare trasferimenti e operazioni finanziarie di ogni genere, ma anche – e soprattutto – i clienti della banca, che di solito hanno un’awareness inferiore rispetto ai dipendenti e sono anche molti di più.
Tutto ciò è alla base delle molteplici sfide affrontate dagli operatori: proteggere i propri sistemi dalle vulnerabilità, proteggere i dipendenti e controllare l’attività dei clienti identificando eventuali comportamenti sospetti, il tutto condito con un’attività di awareness rivolta sia all’interno dell’organizzazione che verso l’esterno.
Cybercrime finanziario: dai malware as-a-service al phishing
Per quanto concerne le modalità di attacco verso l’ecosistema finanziario, possiamo riferirci al più recente Rapporto Clusit 2021. Secondo la ricerca, che dedica un intero capitolo alle financial fraud, i vettori di attacco sono sostanzialmente tre:
- Malware impiegati per rubare credenziali di accesso a sistemi bancari;
- Hacking del dispositivo mobile: è il caso del SIM Swap, utilizzato per ottenere password OTP;
- Phishing per il furto di credenziali di accesso e codici dispositivi
Nonostante il forte focus sul phishing rafforzato da tecniche di social engineering, i malware rappresentano sempre l’arma più insidiosa. Essendo indirizzati soprattutto verso i clienti finali, non stupisce che il meccanismo di infezione sia il più vecchio e consolidato di tutti: l’allegato alle e-mail, soprattutto il classico file eseguibile o un Word che, a seguito dell’attivazione delle macro, scarica il malware vero e proprio e si prepara al furto delle credenziali. Una variante è il malware che punta ad acquisire credenziali della posta elettronica: in questo caso il target è il personale della banca, poiché l’accesso alla posta permette di confezionare attacchi BEC (Business email Compromise), magari potenziati da social engineering.
Se l’allegato all’e-mail è uno strumento classico, i meccanismi di diffusione e di ‘fruizione’ dei malware sono innovativi: molti stanno infatti evolvendo verso vere e proprie piattaforme di attacco che i gruppi criminali mettono a disposizione di terzi secondo il modello MaaS (Malware as-a-service).
Il Covid ha fortemente giocato a favore dei cyber criminali: sfruttando lo smart working e il clima di incertezza determinato dalla disruption globale, per loro è stato senza dubbio più semplice confezionare una comunicazione efficace incentrandola sul mix di timore e urgenza.
Phishing, per superare la strong authentication
In questa situazione non stupisce che il phishing continui indisturbato a insidiare il settore bancario e finanziario: secondo il Rapporto Clusit, a fine 2020 si è osservata un’attivazione di 3,2 nuove pagine di phishing ogni giorno, con picco di 5,6 pagine a dicembre.
Tra le tendenze attuali ci sono le phishing factory, strutture che riescono a registrare e attivare numerose pagine di phishing con estrema rapidità, e il sempre maggior ricorso allo smishing, ovvero phishing tramite SMS. Il motivo è chiaro: tra tutti gli strumenti di comunicazione business, l’SMS (che è ormai scomparso dalla comunicazione tra privati) ha un open-rate altissimo. In altri termini, cattura l’attenzione molto di più di un’e-mail o un messaggio WhatsApp.
Tra le tendenze del momento ci sono senza dubbio i metodi con cui i cyber criminali puntano ad arginare la strong authentication, resa obbligatoria dall’entrata in vigore della direttiva PSD2. Gli stratagemmi sono sostanzialmente due:
- SIM Swap. Le password temporanee via SMS possono essere intercettate e, soprattutto, i malintenzionati (in possesso di un documento falsificato) possono attivare una nuova SIM con lo stesso numero all’insaputa del suo titolare. I messaggi della banca vengono indirizzati sulla nuova SIM e utilizzati dai criminali, che ovviamente devono già possedere le altre credenziali (user id, password).
- Falsi contact center. I malintenzionati creano pagine in tutto e per tutto identiche a quelle legittime e attivano anche contact center accessibili attraverso comunicazione vocale (voice phishing, o vishing) o chat di testo. Via e-mail, essi inducono il cliente a contattare il contact center, che poi provvede a far creare un codice one-time al cliente e ad usarlo immediatamente per un trasferimento fraudolento. La perfetta traduzione delle e-mail e le conversazioni live in un ottimo italiano possono indurre in errore il malcapitato.
La protezione passa dall’awareness
Come proteggersi dal cybercrime finanziario? Partiamo da un presupposto: a causa della forte regolamentazione del settore, banche e operatori finanziari sono sempre stati punti di riferimento sotto il profilo delle misure tecniche di cyber security. Questo, unito alla complessità di proteggere sia l’operato dei dipendenti che quello dei clienti, ha reso sempre più centrale il ruolo dell’awareness, che deve crescere di pari passo con le misure tecnologiche di protezione.
Le parole chiave sono quindi: informazione al cliente e formazione del dipendente, che si sommano a soluzioni di protezione endpoint avanzate contro i malware, a tecnologie di identificazione sicura, di classificazione (scoring) del livello di rischio lungo tutto il percorso di operatività del cliente. Parliamo di analisi comportamentale, di tecnologie avanzate di identificazione e accesso, di protezione dei dispositivi, di analisi degli attributi di rete e molto altro. Citando il rapporto Clusit, tutti questi fattori possono essere combinati con l’ausilio dell’intelligenza artificiale, la threat intelligence e lo scambio di informazione con altri servizi di prevenzione dai cyber attacchi.
L’awareness dei dipendenti non è mai stata così importante. Tanto più che determinati schemi fraudolenti, come la CEO Fraud, sono in continua crescita e presuppongono sempre l’inganno – e quindi il coinvolgimento inconsapevole – di uno o più dipendenti. Piuttosto, tutto sta a capire come rendere efficaci i percorsi di awareness, superando i vincoli della formazione tradizionale. La parola chiave deve essere engagement, coinvolgimento: bisogna trovare un modo di coinvolgere i dipendenti in questo tema, poiché sta a loro e ai loro comportamenti creare una vera e propria cultura della sicurezza aziendale. Largo quindi alle piattaforme interattive, a pillole di formazione particolarmente engaging, all’alternanza di contenuti live a quelli preregistrati, alla collaborazione e all’interazione, ma anche all’impiego di dinamiche di Gamification e a simulazioni, che permettano di valutare il miglioramento delle competenze nel corso del tempo.