Man in the mail: frode informatica oltre il phishing

Dal phishing al Man in the mail: la nuova truffa che minaccia il patrimonio aziendale.

Il phishing si è evoluto: molto più sottile e difficile da individuare, è divenuto parte di frodi più complesse come la  “Man in the mail fraud”. Un caso tra i più eclatanti è l’attacco subito da Bitpay: i criminali hanno ottenuto dal Direttore Finanziario della società le credenziali del suo account email e, sulla base delle informazioni recuperate, hanno scritto all’Amministratore Delegato convincendolo ad effettuare svariati versamenti con un danno di oltre 1,6 milioni di euro. Il giro d’affari di questa nuova truffa dei bonifici è in aumento, anche in Italia. 

Come funziona la frode

I criminali inizialmente si limitano a registrare i rapporti commerciali e le tempistiche dei pagamenti che transitano nelle caselle di posta in cui riescono ad accedere; poi si sostituiscono al m ittente inviando alla vittima una mail con una richiesta credibile di invio denaro o modifica delle coordinate bancarie. L’azienda soddisfa alla richiesta con tranquillità visto che il mittente appare sicuro: e la truffa è servita.

Come prevenire la truffa

Azienda e partner devono adottare adeguate misure di sicurezza: dalla formazione del personale ai canali si comunicazione tra management e dipendenti, dalle policy di comportamento e di sicurezza alle soluzioni di protezione informatica.  Le debolezzeinformative che frequentemente continuo a riscontrare nelle aziende sono sempre le stesse: password deboli, mancanza di policy nell’utilizzo dei dispositivi mobili, mancata adozione di policy sul trattamento delle informazioni (chi, come, quando, perché), software non aggiornati (Windows XP, Java, ecc) o non adeguati (molti antivirus), servizi di webmail gratuiti.

Aspetti giuridici: quali tutele?

La realtà è che reagendo all’incidente informatico e alla frode (correndo ai ripari soltanto in seguito all’evento) gli strumenti giuridico-processuali (civili e penali), pur esistenti, si sono dimostrati, sino ad oggi, piuttosto inadeguati e inefficaci.

Sotto il profilo del diritto penale infatti, l’azione fraudolenta tocca molteplici tipologie direato:  truffa (art. 640 c.p.), sostituzione di persona (art. 494 c.p.), frode informatica (art. 640 ter c.p.) anche nell’aggravante del furto o utilizzo indebito dell’identità digitale altrui, accesso abusivo a sistema informatico (615 ter c.p.) rivelazione di segreti (622 c.p.) e altri ancora. Tuttavia, la riuscita dell’azione penale si scontra spesso contro la difficoltà di individuazione dei responsabili e contro la rapidità con cui si conclude la condotta illecita. Senza contare che sovente si pongono dei problemi non indifferenti di giurisdizione (con frodi spesso riconducibili a Paesi extra UE).

Sotto il profilo processual-civilistico la questione è ancora più complessa. Si pone infatti anche qui, in primo luogo, un problema di individuazione dei responsabili (anche se adottando precise policy è più facile capire chi e cosa è successo). Talvolta è ipotizzabile porre in essere azioni di responsabilità da custodia, responsabilità professionale fino ad arrivare alla residuale azione di illecito arricchimento ma spesso la prova in giudizio è tutt’altro che agevole.

Conclusioni

Con le difese alzate sarà sicuramente molto più facile individuare situazioni anomale. Per esempio nel caso in cui arrivi una richiesta di variazione delle coordinate bancarie basterebbe aver un protocollo di procedure interne che imponga di verificare l’anomalia utilizzando una diversa via di comunicazione, come il telefono o il fax, ecc.; o, ancora, per comunicazioni email sensibili (come i pagamenti) basterebbe ricorrere a software come PGP, criptando e firmando i messaggi.

Un atteggiamento proattivo e preventivo (sicurezza informatica ed informativa, stesura di adeguate policy ed educazione dei dipendenti) continua ad essere l’unica soluzione. “Protocolli interni” o “policy”, che dir si voglia, significa mettere nero su bianco responsabilità e responsabilizzazione dei propri dipendenti e quindi salvaguardare, difendere e far crescere il proprio business.

Fonte: Redazione pmi.it

English source: https://lifars.com/2015/09/bitcoin-payment-service-bitpay-loses-1-8m-in-a-classic-phishing-hack/