Il phishing da 500mila euro

Il phishing da 500mila euro

Il concetto del phishing è ormai noto alla maggior parte delle persone che navigano il web. È la truffa informatica per antonomasia. Si concretizza mediante una mail con loghi contraffatti di istituti di credito, società di intermediazione finanziaria, di commercio elettronico ecc.

Il contenuto della mail, la maggior parte delle volte, invita il destinatario a fornire credenziali riservate come: numero di carta di credito, password del servizio di home banking, della mail ecc., giustificando tale richiesta con linguaggio autoritario e minacciando “gentilmente” con presunte ragioni di ordine tecnico, il più delle volte ermetiche, così da annullare qualsiasi possibile resistenza.

Mentre una volta il raggiro si annullava da solo leggendo attentamente il contenuto della mail, non sempre scritto in un italiano corretto, ma infarcito di svarioni, attualmente si ricevono mail “ben fatte” con loghi se non autentici molto simili a quelli degli istituti o del soggetto cui si fanno le veci.

Il raggiro si concretizza attraverso il messaggio di posta elettronica che rimanda solo apparentemente al sito web dell’istituto di credito o del servizio.  In realtà il sito a cui si collega è subdolamente allestito identico a quello originale. Quando il destinatario inserisce qui i propri dati riservati, questi diventano disponibili agli hacker.

Altre volte la mail chiede di prendere visione della motivazione del sollecito scaricando l’allegato che, dicono, contiene la fattura, la contravvenzioni, oppure l’avviso di consegna del pacco.

Purtroppo l’allegato cela un virus informatico camuffato da file in formato .doc o .pdf. Il virus quindi si attiva sull’apparato del destinatario per carpire dati e informazioni.

In questo modo i criminali vengono in possesso oltre che della posta elettronica, dell’e-commerce, o peggio delle credenziali bancarie, anche di tutte le altre informazioni presenti sull’apparato.

Per maggiori ragguagli rinvio al sito del <Commissariato della PS online> visibile al link

//www.commissariatodips.it/approfondimenti/phishing.html

Comunque molto materiale è presente in rete sull’argomento. Avvisi dai gestori telefonici, dalle associazioni di categoria, come pure dal <Garante per la protezione dei dati personali>

//www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/5779914

Oggi quindi si pensa che la maggior parte dei naviganti del web sia immune da tali inganni, o al limite si pensa che i soggetti non etici dediti a simili inganni peschino solo tra persone non culturalmente preparate o credulone.

Fatti recenti purtroppo smentiscono.

Sono spariti 500mila euro dagli uffici di Avenue de la Joyeuse Entrée 1 a Bruxelles; sede della delegazione di Confindustria presso l’Unione Europea.

Tutti i dettagli sono stati illustrati da diverse testate giornalistiche, riporto:

//www.ilfattoquotidiano.it/2017/10/01/truffe-online-il-mistero-dei-500mila-euro-persi-da-confindustria/3888178/

//www.repubblica.it/cronaca/2017/09/30/news/beffa_a_bruxelles_mister_confindustria_truffato_e_licenziato-176906111/

//www.nextquotidiano.it/la-storia-delle-mail-cui-confindustria-si-fatta-rubare-mezzo-milione-euro/

Quanto accaduto è la dimostrazione della cronica mancanza di cultura digitale e della prassi comune e consolidata a scavalcare procedure e politiche amministrative.

Il signore al centro del fatto: G.D. non è un pensionato credulone o uno sprovveduto navigante del web, neppure un grigio impiegato dell’amministrazione, ma riportano le cronache: “… un dirigente confindustriale nato e cresciuto nelle fredde stanze dell’associazione. Livornese, classe 1955, con un significativo passato politico: è stato giovane militante del Partito Radicale di Marco Pannella, poi per due legislature europarlamentare”.

Gli attacchi di questo tipo non si improvvisano, non è la solita mail inviata a centinaia di persone, cioè a strascico dove prendo tutto quello che capita. L’attacco ha dimostrato una certosina raccolta di informazioni sull’obiettivo, dai livelli più bassi dell’organizzazione fino ad arrivare alla dirigenza, così da colpire il bersaglio prescelto. In questo caso è stato tutto fin troppo facile.

Questa certosina raccolta è nota come social engineering:  //it.wikipedia.org/wiki/Ingegneria_sociale

Il sig. G.D. ha ricevuto la mail incriminata alla mail aziendale, utilizzata come direttore della delegazione di Confindustria presso l’Unione Europea.

La mail è stata costruita attentamente utilizzando un linguaggio lontano dall’insospettire il destinatario. Questo sta a dimostrare che il colpo è stato fatto da qualcuno a conoscenza del contesto informatico dell’organizzazione, dei ruoli, dei rapporti tra le persone e del modo di esprimersi delle stesse.

La mail ricevuta da G.D. è della dirigente dott.ssa Marcella Panucci. Una prima anomalia è che non arriva da un account di Confindustria, ma da un indirizzo mail privato m.panucci@icloud.com.

Il resoconto indica inoltre che G.D. legge il messaggio sul cellulare dove compaiono solo nome e cognome del mittente, non accorgendosi dell’anomalia procedurale per tali importanti operazioni.

Il contenuto perentorio, ma laconico, invita ad eseguire subito un consistente bonifico su un conto estero. Inoltre, riportano le cronache, “avendo cura di non disturbare la mittente dichiaratamente impegnata al seguito del presidente Vincenzo Boccia”!

Nulla ha fatto insospettire G.D., quindi esiste una prassi consolidata pure nel non disturbare la mittente. Sempre le cronache riportano che lo scambio di mail è stato numericamente significativo tra G.D. e la finta dott.ssa Marcella Panucci (alla fine rimbalzeranno una sessantina di messaggi), ma sempre ovviamente via mail privata della medesima.

Neppure un sospetto sulla cifra non ordinaria, né sulla procedura d’urgenza del tutto irrituale che si ritiene fuori dalle normali procedure amministrative. Questo indica la conoscenza da parte dell’hacker dell’esistenza di una prassi, preoccupante, a questo genere di spostamenti di danaro.

Quello che infine resta è la considerazione che la mancanza di cultura del mezzo e delle regole porta a queste situazioni. Oggigiorno l’immediatezza che la società impone spinta dalle nuove tecnologie ritenute innocue, in quanto di utilizzo quotidiano, distrugge qualsiasi remora.

Bastava che il sig. G.D. fosse a conoscenza dei pericoli indotti dal mezzo e della prima regola di difesa dagli attacchi di phishing, la sana diffidenza che impone la domanda: la dott.ssa Marcella Panucci è usa ad utilizzare durante il lavoro la mail personale?

Necessitano regolari corsi di formazione, non tanto tecnologici, ma di sensibilizzazione sui rischi che si possono correre abbassando le difese. Corsi rivolti a tutti i cittadini, dai semplici impiegati amministrativi ai massimi dirigenti, si è tutti esposti e coinvolti a vario titolo nei raggiri informatici.

Scritto da: Marcello Pistilli