I messaggi di phishing che cercano di rubare i codici di accesso ai conti sono in calo. Ma le frodi aumentano grazie alla diffusione di trojan molto più pericolosi. Computer Magazine è andato a vedere come operano gli investigatori della Polizia Tributaria e della Polizia delle Comunicazioni che contrastano le frodi telematiche

Il phishing continua a colpire. Nella forma più innocua, quella dei messaggi di posta elettronica apparentemente inviati da un istituto di credito e che rimandano a un sito che riproduce quello della banca. E tramite trojan e malware che si installano in un computer poco protetto. Alcuni di questi codici contengono un database con oltre duemila indirizzi di istituzioni finanziarie e istituti di credito. In un computer infetto basta digitare uno di quei siti e il trojan si “risveglia”, spostando la connessione a un sito clone o addirittura rilevando codice di accesso e la password direttamente dalla pressione dei tasti del computer. Si chiama pharming, ed è molto più subdolo del phishing perché non lascia molto spazio d’azione alle forze dell’ordine per prevenire le frodi telematiche. Computer Magazine è andata a vedere come si muovono i nuovi cracker e come vengono contrastati da banche e forze dell’ordine.

Un fenomeno preoccupante

Secondo il recentissimo “Rapporto sul furto di identità elettronica tramite Internet” promosso da ABI Lab, il centro di ricerca e sviluppo delle tecnologie per la banca promosso dall'Associazione Bancaria Italiana, in Italia ci sono 6,5 milioni di conti correnti online, il 55% dei quali usati anche per fare bonifici con una media di 15.000 euro all’anno per conto. Non sorprende, dati alla mano, che la criminalità organizzata guardi con ghiottoneria a questi conti. Anche perché i cracker si sono accorti che non vale la pena di cercare di penetrare direttamente nei sistemi informativi delle banche, molto ben sorvegliati. Meglio sfruttare l’anello debole della catena: i computer spesso poco aggiornati e insicuri dei loro clienti.
Il phishing tradizionale ha fatto il suo debutto in Italia nel marzo dello scorso anno, con un attacco a Banco Posta. Poi è stato un crescendo sino a ottobre, quando sono state attaccate una dozzina di banche. Secondo i dati raccolti dalla Centrale d’allarme per attacchi informatici di ABI Lab i casi sono scesi fino allo scorso marzo, mese in cui c’è stato un ulteriore incremento. A giugno infine, un forte attacco contro Banca Intesa, arginato con buona efficacia. Il tempo medio di attività dei siti di phishing, secondo ABI, è diminuito sensibilmente e al mese di dicembre si è attestato ben al di sotto delle dodici ore.

Dal phishing al pharming

“Anche quando i messaggi di phishing tradizionali sono pochi, abbiamo notato che i soldi dai conti correnti online continuano comunque a sparire” ha spiegato a Computer Magazine Alessandro Carini, responsabile della sezione crimini economici della Polizia delle comunicazioni. “In realtà credo che le e-mail che invitano a fornire spontaneamente i codici di accesso siano solo uno specchietto per le allodole, che serve a distogliere l’attenzione dal un problema ben più serio, quello del pharming. Un fenomeno più preoccupante di quello del phishing, perché in presenza di un’e-mail che richiede i dati di accesso e di un sito tangibile al quale effettivamente ci si collega per fornirli, possiamo intervenire quasi in tempo reale. Nel caso del pharming invece non c’è un preallarme e possiamo fare ben poco”. Sulla stessa lunghezza d’onda è anche Alessandro Colafranceschi, responsabile servizi informatici e telematici di Unicredit Banca. “Nelle ultime settimane abbiamo registrato una mezza dozzina di casi di ammanchi tramite questo tipo di truffa. Il fatto è che il phishing è tutto sommato gestibile, mentre il pharming proprio perché invisibile al cliente, viene percepito quando il danno è accaduto”.

Come funziona il pharming

Il pharming, parola che non ha un’origine ben definita, è una tecnica di cracking messa a punto con l’esclusivo obiettivo di rubare dati sensibili: password dispositive a conti correnti, numeri di carte dei credito e così via. Il pharming sfrutta una delle caratteristiche di base di Internet: la conversione dei normali indirizzi digitati nel browser negli indirizzi IP che servono per raggiungere il server web che corrisponde al dominio digitato. Questa conversione viene fatta dai server DNS dei provider. Alcuni cracker riescono a indirizzare le richieste fatte a un dominio qualsiasi, supponiamo www.unicredit.it, a un indirizzo IP corrispondente a un sito clone della banca, modificando l’abbinamento tra url digitato e IP direttamente nel server DNS del provider. Si chiama anche DNS poisoning. E’ difficilmente rilevabile, in quanto un serve DNS infettato senza che il browser segnali alcuna anomalia. Il sistema più frequente, e di facile attuazione, adottato dai phisher è quello di diffondere trojan che, una volta installati in una macchina, modificano in locale gli abbinamenti tra dominio e indirizzo IP. In Windows, ad esempio, vengono modificati gli abbinamenti nel file “hosts” che si trova nella cartella “etc” raggiungibile da Windows, system32, drivers. Quando scriviamo un indirizzo nella barra del browser, Windows verifica in prima istanza le associazioni all’interno di Hosts e solo se non ne trova all’interno di quel file passa l’interrogazione al server DNS del provider. Un’altra tecnica dei trojan è quella di andare a modificare nel registro di sistema i DNS predefiniti. Il risultato è che il computer infetto non userà più quelli del solito provider, ma quelli del cracker, ovviamente alterati ad hoc.


Botnet affittasi

I messaggi di posta elettronica che cercano di carpire i codici di accesso alle banche e le e-mail che cercano “operatori finanziari” per riciclare il denaro sottratto ai conti correnti non sono spediti dai computer dei truffatori. Per questo lavoro sporco e facilmente tracciabile usano le botnet, reti di computer compromessi da appositi trojan e malware. In pratica, un messaggio criminoso potrebbe risultare partito da un computer il cui utente, assolutamente inconsapevole del fatto, rischia di trovarsi le forse dell’ordine in casa o in ufficio per le verifiche sulla macchina. La criminalità organizzata che sta dietro al phishing e al pharming ha creato botnet di centinaia di computer. E, nei momenti di inattività, è anche in grado di affittarle a spammer e per attacchi DDoS, quelli in grado di paralizzare un sito anche di grosse dimensioni sommergendolo di richieste inutili e ripetitive. Difficile arrivare ai creatori di botnet. Ha fatto notizia qualche tempo fa l’arresto e la condanna a cinque anni di reclusione di Jeanson James Ancheta, un informatico californiano che gestiva una botnet di 500 mila computer che lui stesso aveva creato. La affittava a spammer e a chiunque volesse “buttar giù” un sito tramite contatti su IRC.

Come difendersi

Non basta dunque più ignorare i messaggi di spam dei finti istituti di credito per vivere tranquilli in rete anche sul versante del banking online. La situazione non è comunque così drammatica per chi ha un computer in buono stato di salute. Un buon antivirus, costantemente aggiornato, un firewall ben impostato, un programma in grado di scovare ed eliminare gli spyware e un sistema operativo al quale sono applicate tutte le patch in tempo utile, sono una discreta garanzia contro phishing e pharming. Siccome nell’informatica la sicurezza totale non esiste, è anche il caso di operare online soltanto con gli istituti di credito che propongono sistemi di autenticazione forte. Nel linguaggio delle banche, sono le password dispositive che cambiano ad ogni operazione tramite una chiavetta che le rinnova ogni manciata di secondi. Per ora soltanto Unicredit e BNL l’hanno adottata. Una soluzione comunque abbastanza sicura è quella delle card con una cinquantina di password da alternare, mentre gli istituti di credito che consentono di fare bonifici con una password statica, che non cambia mai, sono i più a rischio. Come Banca Intesa, che al momento di scrivere queste righe usa ancora un’autenticazione debole. Sarà per quello che in giugno è stata la più attaccata?

Il Commissariato Virtuale

Movimenti sospetti sul conto corrente? Le frodi su Internet avvengono in tempo reale e presentare la denuncia a un commissariato il giorno dopo può essere già tardi. Meglio usare il “Commissariato Virtuale” della Polizia di Stato, raggiungibile ll’indirizzo www.commissariatodips.it. “Il commissariato virtuale è il primo del genere in Europa – spiega a Computer Magazine Maurizio Masciopinto, direttore della divisione investigativa della Polizia Postale e delle Comunicazioni – e da quando è stato attivato, tre mesi fa, abbiamo ricevuto ben 1.800 segnalazioni”. Per quanto riguarda i reati telematici bisogna “entrare” nella stanza numero 2, nella quale si può iniziare l’iter per una denuncia, sottoporre semplici segnalazioni di e-mail sospette o anomalie nell’accesso al conto corrente, leggere approfondimenti su argomenti che spaziano dall’hacking allo spamming, dalla pedofilia online al diritto d’autore.

A volte ritornano

Nemmeno il tempo di dire che il phishing è morto, ed eccolo tornare più saldo che mai. Forze dell’ordine e banche avevano notato un forte rallentamento nell’invio di messaggi di phishing nei primi mesi di quest’anno, anche se le frodi continuavano con sistemi più subdoli quali il pharming. Il 20 giugno invece una nuova ondata di e-mail apparentemente inviate da Banca Intesa. Bastava fare un clic su un qualsiasi punto del testo del messaggio, che in realtà era un’immagine linkata, e si arrivava a un sito diverso dai soliti. Non una pagina Web replica della banca, ma un modulo in cui sia gli utenti privati e sia le imprese erano invitate a inserire User ID, password ed E-mail. A distanza di poche ore il sito è stato chiuso.
Una settimana dopo un’altra ondata di e-mail. Quasi beffarde. In italiano quasi corretto “Banca Intesa” comunicava che per motivi di sicurezza il conto bancario online era stato sospeso e invitava, per confermare di non essere vittime di un furto di identità, di riconfermare i propri dati (figura 1). Seguendo il link indicato, www.bancaintesa.it/verifica_profilo/index.htm si arrivava alla pagina che si può vedere in figura 2, che Computer Magazine ha trovato ancora attiva a distanza di qualche ora. Scrivendo i propri dati d’accesso appariva la pagina in figura 3. Naturalmente, chi ha fornito i codici li ha forniti ai truffatori. Non certo a Banca Intesa

AAA riciclatori cercasi

I soldi prelevati dagli ingenui che hanno fornito ai cracker i codici di accesso al loro conto finiscono nei conti di quelli che le forze dell’ordine chiamano “muler”. Altri ingenui reclutati tramite e-mail che promettono un lavoro da intermediari finanziari a chi mette a disposizione il proprio conto corrente, un numero di telefono e due ore di lavoro al giorno. Il meccanismo è semplice: i cracker, anche se hanno i codici di accesso a un conto, non possono prelevare il denaro e fare direttamente bonifici su banche estere perché gli istituti di credito monitorano molto bene i bonifici internazionali e in molti casi non permettono questo genere di movimenti. Allora reclutano persone nello stesso Paese della vittima a cui prelevano i soldi dal conto. Li trasferiscono in quello del muler, il quale deve immediatamente prelevarli, trattenersi la commissione promessa, del 5 o del 10%, e inviarli tramite MoneyGram o Western Union a destinatari di solito situati nei paesi dell’Ex Unione Sovietica. Il fatto è che il muler è tracciabilissimo dalle forze dell’ordine, perché ovviamente la banca vede a quale conto sono stati inviati i soldi spariti in un altro conto. In un attimo si troverà la polizia a casa e, sul groppo, una pesante accusa di riciclaggio. Nelle tre immagini il primo messaggio di reclutamento per diventare muler, e le risposte date dai criminali a un Computer Magazine aspirante riciclatore. Poi ci siamo fermati perché era venuto il momento di fornire loro i dati del conto corrente. E i soldi sarebbero ben presto arrivati. Assieme alla polizia.

Non aprite quella posta

L’autorità giudiziaria ha diffuso i nomi, gli indirizzi Internet e le e-mail delle società che cercano persone disponibili ad aprire un conto corrente sul quale far confluire i proventi delle truffe, raccomandando a tutti di ignorare ogni messaggio proveniente da queste organizzazioni. Ecco i nomi e, tra parentesi, gli indirizzi o i siti: Sateny Finance Group ( Questo indirizzo e-mail è protetto dallo spam bot, abilitare Javascript per vederlo , Questo indirizzo e-mail è protetto dallo spam bot, abilitare Javascript per vederlo ), Worldexchange MarketBonds LLC Company (www.market-bonds.com), www.digicreator.net ( Questo indirizzo e-mail è protetto dallo spam bot, abilitare Javascript per vederlo ), Platinway Corp. ( Questo indirizzo e-mail è protetto dallo spam bot, abilitare Javascript per vederlo ), CoralAir Inc. ( Questo indirizzo e-mail è protetto dallo spam bot, abilitare Javascript per vederlo ), Xmediabuild (www.Xmediabuild.com), Rusromance ( Questo indirizzo e-mail è protetto dallo spam bot, abilitare Javascript per vederlo ), Europe Sells LTD.


Mille pesci nella rete

I primi effetti in massa delle nuove tecniche dei phisher hanno colpito mille clienti della National Australian Bank. Hanno fornito i codici di accesso al loro conto, ma senza abboccare all’amo delle tradizionali e-mail di phishing, quelle con il logo e la falsa pagina della banca. Questa volta il messaggio, arrivato da un destinatario qualsiasi, parlava di una probabile bancarotta della banca australiana e suggeriva di collegarsi alla pagina www.worldbankinformation.com/news.php per avere maggiori informazioni. Una pagina apparentemente innocua, ma che in realtà in realtà installava un malware nel computer di chi si collegava. Al primo collegamento reale con la banca, il codice maligno avrebbe intercettato i codici di accesso digitati e inviate automaticamente al phisher.


In prima linea contro il crimine

Siamo andati a vedere come operano due delle forze dell’ordine in prima linea nella battaglia contro le frodi telematiche: la Polizia Postale e la Polizia Tributaria

Polizia Postale

Alessandro Carini appartiene alla Sezione crimini economici della divisione investigativa della Polizia delle comunicazioni. Computer Magazine è andato a vedere come opera la squadra che dagli uffici presso il Ministero degli Interni coordina i 2.000 agenti della Postale sparsi in 76 sezioni in tutta Italia, molti dei quali specializzati in computer crime. La seconda divisione investigativa, a cui appartiene Carini, si occupa di High Tech Crime, pornografia minorile diffusa via internet e crimini economici. Carini è il responsabile di quest’ultima sezione, che indaga su attività criminose legate a carte di credito, phishing e diritto d’autore.

Phishing, Pharming… si sta attaccando sempre di più l’anello debole della catena, i computer di chi fa banking online?

Sì, cracker si sono accorti che è troppo complesso attaccare direttamente il sistema informativo di una banca e allora hanno perfezionato le tecniche per lavorare attraverso i terminali dei loro clienti

Il phishing non è una cosa nuova…

Lo è però il pharming, almeno in Italia. Da gennaio di quest’anno abbiamo cominciato a registrare i primi evidenti segnali di questo nuovo fenomeno. Da gennaio a marzo, mesi in cui le e-mail di phishing sono rallentate, ci siamo accorti che le frodi continuavano. Colpa del pharming e dei trojan che continuano a lavorare indisturbati.

Se i trojan sono così efficienti, perché continuare a mandare quelle e-mail in pessimo italiano, alle quali in teoria non dovrebbe più abboccare nessuno?

Forse anche sotto a questo c’è una strategia precisa: si crea un allarme e si aspetta che il cittadino abbassi la guardia perché si convince che il pericolo venga soltanto dalle a queste e-mail. Non si pone il problema che se digita direttamente il sito della sua banca, qualcosa nel computer potrebbe cambiare l’indirizzo vero in indirizzo falso.

E quel qualcosa potrebbe essere un trojan come Anserin, vero?

Sì, è molto pericoloso. Abbiamo lavorato in stretto contatto con Symantec a questo proposito. Per la criminalità informatica, grazie a codici di questo tipo, c’è un doppio canale per la raccolta delle password: da un parte chi le fornisce spontaneamente e dall’altra che le fornisce inconsapevolmente perché ha una macchina compromessa.

Compromessa in che modo?

La pratica di scaricare a casaccio musica e film dalla rete, al di là delle violazioni della legge, è insidiosa perché si aprono le porte del computer a trojan di questo genere, che si annidano in file mp3, jpg, avi… Questi codici maligni possono raggiungere un computer anche tramite javascritp, allegati ad e-mail. Il fatto è che, in casa e in azienda, bisognerebbe tenere separati i computer: quello per divertirsi e curiosare in rete totalmente staccato da quello che viene usato per il accedere al conto corrente e per le attività lavorative.

Non è un po’ drastico?

In ogni caso bisogna difendere adeguatamente il computer con antivirus e firewall. E possibilmente formattarli ogni sei mesi.

Ma intanto i crimini informatici continuano, e in maniera sempre più invisibile.

In presenza di un’email che richiede i codici e di un sito tangibile al quale effettivamente ci si collega per fornire i dati, noi possiamo intervenire quasi in tempo reale. Con i trojan invece non c’è un preallarme e la polizia può attivarsi soltanto se c’è una collaborazione più ampia: l’utente segnala anomalie nella connessione alla banca e questa dovrebbe girare a sua volta immediatamente queste segnalazioni alla polizia. Un intervento tempestivo su segnalazione precisa ci consente di verificare qual è il DNS a cui si stava collegando effettivamente il cittadino.

Polizia Tributaria

Il tenente Tenente Colonnello Cesare Maragoni è comandante del Gruppo repressione frodi del nucleo regionale della polizia tributaria della lombardia. La sua squadra si occupa di libertà economica, falsificazione, truffe, scommesse clandestine, e contraffazione: non solo nei tradizionali canali, ma anche in quelli legali alle nuove tecnologie, con in testa Internet. Le frodi telematiche di cui si occupa comprendono “illecita attività bancaria e finanziaria, emissione abusiva di moneta elettronica, illecita commercializzazione di prodotti finanziari nn autorizzati, illecito utilizzo di carte di credito/debito e furti di identità”.

L’anno scorso avete arrestato oltre settanta persone durante una complessa operazione contro le frodi ai conti correnti online. Ma il fenomeno non si è arrestato,vero?

Cesare Maragoni: Tutt’altro. Con i trojan in circolazione oggi, capaci anche di rilevare le battute sulla tastiera e di simulare una connessione sicura https, le minacce ai conti correnti sono concrete. In questo momento (metà giugno, ndr), ci sono ben 601 siti per la raccolta di password attivi in giro per il mondo. Riusciamo a farli chiudere abbastanza in fretta, ma il problema rimane.

E le banche stanno a guardare?

Abbiamo una buona collaborazione con le banche, che stanno investendo molto nella sicurezza. Alcuni istituti di credito danno ai loro clienti un “token”, una chiavetta che ogni sessanta secondi fornisce una password diversa per accedere al conto.

Sono sicure?

E’ il massimo della sicurezza possibile oggi, ma in linea teorica un cracker potrebbe in quell’arco temporale riuscire a completare un bonifico fraudolento. Dobbiamo tenere presente che, finora, a ogni contromisura la criminalità informatica è sempre riuscita a mettere a punto nuovi sistemi di attacco.

E’ un problema di sicurezza individuale?

Certo. Sono in pochi a tenere i computer aggiornati. E pochissimi cambiano la password frequentemente. E sono parole d’ordine che spesso sono raccabili con un normale vocabolario o con un “profiling” della persona che le ha scelte. Una società di analisi di mercato ha fatto compilare a 470 un modulo con informazioni banali, come in nome della mamma da nubile, la data di nascita dei figli e così via. Ha poi chiesto se nelle informazioni fornite fossero contenute password abitualmente utilizzate. Il 70% ha risposto di sì.

Alle spalle del phishing c’è un’unica organizzazione?

Le nostre indagini ci hanno portato quasi sempre nei Paesi dell’Ex Unione Sovietica. Ma ci siamo accorti che le strutture sono separate: a volte chi ruba le credenziali tramite phishing e trojan non sono gli stessi che effettuano i bonifici in frode sui conti messi a disposizione da chi è stato reclutato come financial manager. La banche dati con password sono un po’ come quelle che contengono gli indirizzi e-mail usati dagli spammatori: vengono vendute a un tot a codice. Infine ci sono le botnet, che a volte vengono affittate dalla criminalità informatica e a volte vengono create in proprio.

Non correte il rischio di perquisire un ufficio o una casa alla ricerca di un cracker e di trovare semplicemente una macchina compromessa da un trojan?

Quando controlliamo un IP partiamo sempre dall’idea che il titolare di quell’IP sia innocente, mentre è la macchina ad essere compromessa. Po naturalmente facciamo le opportune verifiche.