Archivi autore: Paolo Dal Checco

Informazioni su Paolo Dal Checco

Consulente Informatico Forense specializzato in Perizie Informatiche e Consulenze Tecniche di Parte e d'Ufficio per privati, avvocati, aziende, Tribunali e Procure.

Frode dei bonifici tramite falsa mail e IBAN

Come difendersi dalle truffe dei bonifici con i falsi IBAN

Sono passati ormai oltre tre anni da quando l’FBI ha avviato un’impegnativa opera di divulgazione e formazione preventiva circa la truffa dei bonifici tramite compromissione della posta elettronica e falsi IBAN. Da allora, il fenomeno è aumentato in modo esponenziale e ancora oggi ogni giorno numerose aziende italiane sono vittima del raggiro del bonifico deviato verso un falso IBAN tramite false email e fatture od offerte PDF modificate ad arte.

Falsa fattura in PDF per la truffa bancaria "Man in The Mail"

Poiché lo Studio esegue anche attività in ambito d’incident response  o digital forensics in ambito di questo tipo di truffa mediante email false, IBAN modificati e bonifici fraudolenti, riteniamo utile riprendere il discorso e presentare alcune caratteristiche di questo fenomeno che sta facendo perdere agli italiani decine di milioni di euro trasferiti spesso su conti IBAN esteri.

Un fenomeno in crescita

L’Italia è terreno fertile per questo tipo di truffa bancaria informatica e conta ormai migliaia di vittime con svariati milioni di soldi rubati tramite i bonifici o le spedizioni di merce. Nel 2015 ho partecipato a un servizio per Striscia la Notizia dove un’azienda ha raccontato la sua avventura con un bonifico fraudolento proveniente da un cliente estero che non è arrivato perché deviato – grazie all’ausilio di false email che sembravano provenire dall’azienda –  verso un IBAN di un conto di un prestanome che lo ha poi svuotato impedendo così il recupero della somma bonificata.

Truffa dei bonifici con falso IBAN a Striscia la Notizia

Come agiscono i delinquenti

Questo tipo di truffe informatiche risulta piuttosto complesso da identificare, perché le modalità con le quali i delinquenti colpiscono le vittime sono svariate:

  1. Attacco alla casella di posta tramite phishing, brute force o utilizzo di credenziali riciclate su più account provenienti dai vari leak disponibili in rete con conseguente monitoraggio della mailbox a volte anche tramite inoltro delle mail tramite forward e blocco di alcuni indirizzi;
  2. Installazione di trojan e spyware sui PC o smartphone di chi esegue o riceve i bonifici o comunica con clienti e fornitori;
  3. Attività di social engineering (su Linkedin, Facebook, etc…) finalizzato a identificare le relazioni tra membri della società così da poter inviare false mail con richieste di bonifici fraudolenti verso IBAN creati ad hoc;
  4. Registrazione di domini simili a quello della vittima o dei suoi fornitori e clienti, utilizzando poi le caselle di posta per perpetrare la truffa dei trasferimenti deviati verso IBAN di terzi;
  5. Non sempre il furto avviene tramite bonifici, in alcuni casi i criminali hanno convinto le vittime a spedire del materiale verso indirizzi controllati da loro (magazzini, capannoni, etc…) fingendosi gli acquirenti che in realtà sono ignari della nuova destinazione della merce che hanno in realtà realmente pagato (ma bonificando la cifra richiesta su conti bancari diversi da quello del fornitore);
  6. Talvolta i delinquenti arrivano a fare anche telefonate utilizzando il numero dei clienti o dei fornitori, mediante servizi come SpoofCard che permettono di fare telefonate o inviare SMS da numeri di persone o aziende ignare;
  7. In alcuni casi la compromissione delle mail permette ai delinquenti di sostituirle in tempo reale tramite IMAP e la funzione di upload e modifica dei messaggi, rendendo così superfluo l’invio di posta da canali fraudolenti, dato che diventa più semplice modificarla direttamente sul server della vittima prima che questa ne scarichi il contenuto.

Come posso difendermi dalle truffe dei bonifici con IBAN falsi?

La miglior difesa è, purtroppo, la formazione del personale che deve essere ben consapevole che se un fornitore richiede un repentino cambiamento del conto IBAN sul quale versare il saldo indicato in fattura, è necessario eseguire adeguate verifiche tramite telefonate, fax o PEC. Imparare a distinguere una falsa mail destinata a perpetrare la frode dei bonifici può permettere all’azienda di non diventarne vittima.

Frode dei bonifici tramite falsa mail e IBAN

Ovviamente le email false avranno una forte somiglianza con quelle originali, sia negli indirizzi sia nel contenuto, ma spesso uno sguardo attento è sufficiente per cogliere gli elementi distintivi e capire se si tratta di un messaggio originale o prodotto dai delinquenti a fini di truffa e raggiro.

Dal punto di vista tecnico, esistono diverse soluzioni che permettono di configurare dei filtri sulla posta elettronica finalizzati a identificare potenziali email fraudolente e segnalarle all’utente o agli amministratori di sistema. Una mail che arriva in azienda da indirizzo di posta aziendale ma partendo da server esterni può ad esempio essere un’indice di compromissione, così come la presenza di un indirizzo “Reply to:” diverso da quello del mittente.

Poiché client di posta elettronica tipo Outlook non mostrano chiaramente il vero indirizzo del mittente, che può quindi essere più facilmente mascherato, è importante verificare, nel momento in cui si risponde a un messaggio, a quale indirizzo arriverà la risposta.

Se si ricevono mail da parte dell’Amministratore Delegato o di apicali che richiedono l’esecuzione di un bonifico pregando di non informare nessuno e di procedere speditamente, è indispensabile richiedere una conferma telefonica o di persona. Molto spesso infatti nelle truffe di tipo “CEO Fraud” non vi sono accessi abusivi alle caselle di posta ma i delinquenti provano a inviare mail da indirizzi di posta falsi, fingendosi dirigenti o apicali e sperando che i destinatari non si accorgano della differenza ed eseguano gli ordini ricevuti. Spesso vengono messi in copia anche Avvocati o Studi Legali finti (o veri ma con indirizzi falsi) così da rendere più autorevole la richiesta.

Come vengono chiamate queste truffe dei bonifici?

La truffa dei bonifici deviati verso IBAN falsi tramite email create ad hoc così da ingannare il ricevente è nota con i termini di CEO Fraud, Payment Diversion, Executive Scam, Business Executive Scam, Bogus Boss, Boss Fraud, CEO scam o CEO phishing, Wire Transfer Fraud, Corporate Account Takeover o CEO impersonation.

Quando si rileva anche un’attività di compromissione e accesso abusivo alla mail aziendale, si parla di truffa di tipo Man in The Mail, Business Email Compromise, BEC, BEC Scam, BEC Fraud o BEC Attack. In questi casi, la mail, i server o il PC delle vittime sono (stati) posti sotto controllo da parte dei delinquenti, che a un certo punto si sostituiscono a uno dei due interlocutori impersonandolo.

Posso recuperare la cifra che ho bonificato all’IBAN sbagliato?

In genere, i bonifici fraudolenti vengono fatti verso conti esteri oppure conti italiani registrati da prestanome. Una volta ricevuto, i criminali utilizzano una rete di money mule per svuotare il conto, cioè persone che – consapevolmente o meno – si fanno inviare alcune migliaia di euro a testa e li rigirano verso conti terzi dopo aver trattenuto una percentuale per il “lavoro”. Questo passaggio rende molto più complicato tracciare il flusso di denaro sottratto con l’inganno alla vittima e permette di svuotare il conto molto velocemente, così che quando la vittima capisce di essere stata truffata tramite bonifici fraudolenti spesso non è in grado di recuperare il maltolto.

Devo fare denuncia presso l’Autorità Giudiziaria?

Ovviamente non c’è obbligo di denuncia querela ma certamente può essere importante farla, se non altro per rendere le Forze dell’Ordine consapevoli dell’entità del fenomeno. Raramente la denuncia porterà al recupero dei fondi rubati, spesso non si riuscirà a capire neanche dove sono stati trasferiti, in ogni caso è eticamente e civilmente sensato sporgere denuncia querela facendosi supportare da legali esperti se possibile in informatica giuridica.

Dal punto di vista del GDPR e della protezione dei dati, invece, se la truffa è di tipo “Man in The Mail” e l’accesso alla casella di posta è avvenuto tramite phishing, trojan o brute force, può essere obbligatorio segnalare al Garante l’avvenuto data breach.

Di chi è la responsabilità? Della banca? Del fornitore? Del cliente?

Spesso chi fa il bonifico all’IBAN sbagliato avrebbe la possibilità di accorgersene prestando attenzione agli indirizzi utilizzati dai delinquenti. Ciò che impedisce alle vittime di realizzare quanto sta accadendo è, spesso, il fatto che i delinquenti utilizzano (nel caso di Man in The Mail) uno scambio di corrispondenza con uno storico tale da rendere “credibile” la fonte e superflue verifiche.

Quando a una visione attenta della mail è possibile verificare che il mittente non è davvero il fornitore certamente una parte di responsabilità può essere demandata alla vittima. Vero è che se la truffa è stata possibile grazie alla compromissione di caselle o computer del fornitore, il rapporto di responsabilità può invertirsi.

Anche la banca può in alcuni casi essere considerata responsabile, se ad esempio accetta di aprire un conto a un prestanome con il nome di una società di cui egli non è il titolare, oppure se riceve grandi quantità di denaro destinate a persone o aziende diverse da quella indicata nell’intestazione del conto, per quanto in alcuni casi non sembra ci sia l’obbligo di verifica.

Se le mail false e fraudolente tramite le quali i delinquenti richiedono i bonifici falsificando i PDF delle fatture provengono realmente dagli indirizzi di posta dei fornitori, certamente la responsabilità può essere demandata ad essi, perché la carenza di misure minime e controlli di sicurezza ha fatto sì che i criminali riuscissero a entrare nelle caselle di posta e utilizzarle per la truffa.

Cosa posso fare se sono stato truffato?

Sicuramente può essere strategica una perizia informatica sulla truffa Man in The Mail avvenuta via bonifico a falso IBAN presso banca estera o italiana, finalizzata a identificare eventuali responsabilità, capire se c’è stato un data breach, un accesso abusivo tramite trojan, phishing, brute force oppure se la compromissione può essere lato fornitori o clienti o ancora se non si rilevano malware o violazioni alla sicurezza ma solo l’utilizzo di account di posta o domini opportunamente plasmati.

La perizia informatica sul Man in The Middle può essere utilizzata da uno studio legale specializzato in informatica forense, per produrre una querela o una richiesta di conciliazione con il cliente o il fornitore coinvolto a sua insaputa nella truffa. La responsabilità della parte il cui account di posta o i cui sistemi sono stati compromessi infatti è un elemento che può permettere alla parte che ha perso il denaro (o la merce) di richiedere uno storno, una spedizione, un risarcimento.

 

 

Tavili di Lavoro 231 - Rivista 231

Tavoli di Lavoro 231 – 8 marzo 2018

Tavili di Lavoro 231 - Rivista 231Mercoledì 8 marzo 2018 si terrà a Milano, presso l’Hotel Michelangelo di Via Scarlatti 33 a Milano, la VII edizione dei Tavoli di Lavoro 231, organizzati dalla società Plenum Srl e dal portale Rivista 231. L’edizione dell’8 marzo 2018 dei Tavoli 231 vedrà la partecipazione di otto relatori scelti tra i collaboratori della Rivista, che hanno ormai raggiunto il numero di 380 fra Professori Universitari, Magistrati ed esponenti del mondo delle imprese, delle professioni e delle associazioni di categoria.

Il programma della giornata di corso sul D.Lgs 231 che si terrà a Milano è il seguente:

Mattino, ore 9:30-13:00

Le novità normative e giurisprudenziali
Dott. Luca Pistorelli, Consigliere della Corte di Cassazione

L’introduzione del whistleblowing nei modelli organizzativi: problematiche giuridiche e soluzioni operative
Avv. Michele Pansarella, Socio ordinario KPMG – Studio Associato Consulenza legale e tributaria

I rischi 231 nella gestione dei siti internet istituzionali e dei social network
Dott. Paolo Dal Checco, Consulente Informatico Forense, Prof. a Contratto presso l’Università degli Studi di Torino

I canoni di valutazione dei modelli organizzativi a livello internazionale
Dott. Giovanni Tartaglia Polcini, Consigliere giuridico presso il Ministero degli Affari Esteri

Pomeriggio, ore 14:00-17:30

La nuova direttiva PIF e l’istituzione della Procura europea (EPPO): sanzioni e indagini estese anche ai reati 231
Dott. Alessio Scarcella, Consigliere della Corte di Cassazione

La corruzione tra privati e la responsabilità degli enti nella prospettiva di attuazione delle direttive comunitarie
Dott.ssa Rossella Catena, Consigliere della Corte di Cassazione

La sospensione con messa alla prova nel procedimento a carico degli enti
Avv. Mara Chilosi, Studio legale Chilosi Martelli, Milano

I protocolli privacy nei modelli organizzativi
Avv. Giuseppe Vaciago, Partner R&P Legal, Milano

Tavoli di Lavoro 231 - Plenum SrlI Tavoli di lavoro 231 – edizione 2018 sono giornate di lezione che si svolgono presso l’Hotel Michelangelo di Milano (4 minuti a piedi dalla Stazione Centrale).​ Le attività dei Tavoli di lavoro 231 impegneranno i partecipanti per un totale di n. 5 giornate nel corso dell’anno: giovedì 8 marzo, mercoledì 16 maggio, mercoledì 4 luglio, martedì 25 settembre, martedì 20 novembre. ​Sarà possibile fare intervenire un diverso partecipante per ciascuna giornata, in modo da coinvolgere sempre la figura più interessata agli argomenti trattati. Ogni giornata sarà filmata in alta definizione e i video saranno disponibili dopo ciascun evento nel portale www.tavoli231.it.

È previsto il rilascio di un attestato di partecipazione, oltre all’attribuzione dei crediti formativi da parte degli Ordini professionali dei Dottori Commercialisti ed Esperti Contabili, degli Avvocati e degli Ingegneri. Per informazioni e moduli d’iscrizione, invitiamo gli interessati a visitare il sito dei Tavoli di Lavoro 231.

Corso su Bitcoin, Trading e Aspetti Fiscali della Criptomoneta

Tre giornate di corso su Bitcoin e Criptovalute

Corso su Bitcoin, Trading e Aspetti Fiscali della CriptomonetaE’ in procinto di prendere il via un ciclo di tre giornate di corso sul Bitcoin, che si terranno a Torino presso l’Environment Park di Via Livorno 60 e  tratteranno diversi aspetti della criptomoneta, da quelli tecnici al trading fino ad arrivare agli aspetti giuridici, fiscali e contributivi. Le tre giornate di corso su Bitcoin sono fruibili anche separatamente e non prevedono una consequenzialità, certamente può essere produttivo seguirle tutte e tre poiché trattano di tre aspetti complementari del mondo delle criptomonete.

Introduzione al Trading con le Criptomonete – 9 marzo 2018, Vincenzo Aguì

La prima giornata di corso si terrà venerdì 9 marzo 2018, dalle ore 9 alle ore 17 e sarà tenuta da Vincenzo Aguì, che ci parlerà del trading online con le cryptovalute.  Durante la giornata Vincenzo illustrerà non soltanto il mercato del bitcoin, ma verrà approfondito anche il mercato e l’ecosistema delle ‘alt-currencies’. Per informazioni sui costi e prenotazioni è possibile visionare il link diretto alla pagina del corso presso la società Green Sistemi che organizza le lezioni e gestisce la logistica.

Bitcoin, dark web e ransomware, aspetti tecnici e investigativi – 21 marzo 2018, Paolo Dal Checco

Durante la seconda giornata del corso sul Bitcoin, che si terrà mercoledì 21 marzo dalle ore 9 alle ore 17, parlerò di Bitcoin dal punto di vista tecnico e investigativo, introducendo le basi della criptomoneta, i principi di funzionamento, i concetti d’indirizzo, chiave privata, chiave pubblica, wallet, blockchain, transazione, mnemonic, i software e le soluzioni di sicurezza fino ad arrivare alle possibilità di tracciamento di wallet, indirizzi e transazioni bitcoin che a talvolta permettono di superare lo pseudo-anonimato del protocollo Bitcoin. Poiché spesso legati al mondo del Bitcoin, si parlerà anche del dark web e delle problematiche relative ai ransomware, che tendono purtroppo a conferire al protocollo Bitcoin e alle criptomonete in generale un’accezione negativa. Per informazioni sui costi e prenotazioni è possibile visionare il link diretto alla pagina del corso presso la società Green Sistemi che organizza le lezioni e gestisce la logistica.

Bitcoin, analisi di un sistema monetario alternativo – 26 marzo 2018, Stefano Capaccioli

Per concludere il ciclo d’incontri e seminari sul Bitcoin, le criptomonete e il trading, avremo il lunedì 26 marzo 2018 il Dott. Stefano Capaccioli – uno dei massimi esperti in ambito di aspetti giuridici e fiscali delle cryptomonete – che presenterà un’analisi aggiornata delle questioni legali e contributive che gravitano intorno al mondo delle monete matematiche. Come noto, spesso si dibatte circa la legalità del Bitcoin, la tassazione di acquisto o vendita o sui profitti, l’IVA, i requisiti di KYC, identificazione e verifica del cliente da parte di Exchange, plusvalore, F24 o dichiarazione dei redditi ed è difficile avere una visione chiara di quali sono i punti chiave delle decisioni dei Governi e dei Ministeri e lo stato delle cose. Il Dott. Stefano Capaccioli cercherà di chiarire i vari punti basandosi sulla sua esperienza sul campo e sulla documentazione disponibile. Per informazioni sui costi e prenotazioni è possibile visionare il link diretto alla pagina del corso presso la società Green Sistemi che organizza le lezioni e gestisce la logistica.

Destinatari dei corsi

I corsi sono pensati per tecnici, sistemisti, responsabili IT, commercianti, giornalisti, Forze dell’Ordine, Avvocati, professionisti, appassionati ed esperti di trading, commercialisti e chiunque sia interessato ad approfondire le questioni tecniche, investigative, giuridiche e contributive del Bitcoin o capire i principi e gli strumenti per il trading delle criptomonete.

Il livello dei corsi sul Bitcoin e le criptomonete sarà introduttivo/intermedio, con la possibilità di agevolare chi si è avvicinato da poco al mondo delle criptovalute con una parte introduttiva iniziale. Non è quindi necessario, per iscriversi al corso, avere già conoscenze in ambito di monete matematiche anche se certamente una base di nozioni permette di seguire più agevolmente le lezioni.

Informazioni e iscrizioni

Per informazioni su costi o iscrizioni al corso sul Bitcoin e le criptovalute si prega di contattare direttamente l’organizzazione all’indirizzo [email protected] o al 345 764 5901.

 

Formazione 2018 presso la Scuola Superiore di Magistratura

Si è concluso un nuovo corso presso la Scuola Superiore di Magistratura di Scandicci (Firenze) dove da alcuni anni ho l’onore di essere annoverato nell’albo docenti. L’argomento di questo corso per Pubblici Ministeri e Giudici è stato quello delle nuove frontiere dell’investigazione scientifica e garanzie dei diritti fondamentali dell’uomo, che va a coprire diversi aspetti, dalle neuroscienze alle indagini genetiche, dalla captazione mediante installazione di trojan alle perquisizioni informatiche, toccando temi come la ripetibilità o irripetibilità delle acquisizioni forensi che da anni animano le discussioni di coloro che operano in ambito d’informatica forense e che dal punto di vista legale regolamentano le procedure in ambito Giudiziario di digital forensics.

Come ogni anno, non posso che confermare la qualità degli interventi – che ascolto sempre con grande interesse – e l’attenzione e preparazione dei partecipanti, che rendono la docenza presso la SSM un’occasione di confronto e arricchimento culturale personale.

L’organizzazione dei corsi presso la Scuola Superiore di Magistratura, inoltre, è sempre un punto d’eccellenza, con attenzione ai particolari anche logistici e giusto bilanciamento tra lezioni, dibattiti, tavole rotonde e gruppi di lavoro che rendono le giornate di corso più scorrevoli e fruibili.

Sicurezza Informatica e GDPR, due giornate formative a Torino

Venerdì 16 e sabato 17 febbraio, a Torino, presso Sala Lauree Rossa del Campus Luigi Einaudi in Lungo Dora Siena 100A si terrà la conferenza su “Gli adempimenti di Sicurezza Informatica ai sensi del Regolamento Europeo in Materia di Protezione dei Dati Personali (GDPR)“, organizzata dall’Università degli Studi di Torino, Dipartimento di Giurisprudenza.

Le due giornate formative e di aggiornamento professionale sul GDPR e la Sicurezza Informatica seguiranno il seguente programma, visionabile anche scaricando anche da questa locandina in PDF.

Venerdì 16 febbraio 2018: Principi e Compliance

Moderatore: Prof. Massimo Durante (Università di Torino, Dipartimento di Girispreudenza)

Conferenza sul GDPR e la Sicurezza Informatica a Torino

14.30- 15.00
Registrazione partecipanti

15.00- 16.00
I principi della sicurezza nel “GDPR” e rapporto tra GDPR, Direttiva NIS e Regolamento E-privacy

  • Avv. Monica Senor (Studio Legale Catalano Penalisti Associati e Fellow del Nexa Center for Internet & Society)
  • Avv. Carlo Blengino (Studio Legale Catalano Penalisti Associati)

16.00-16:30
Il principio di accountability

  • Prof. Ugo Pagallo (Università di Torino, Dipartimento di Giurisprudenza)

16:30-17:30
Cyber Crime e compromissione dei dati

  • Prof. Cosimo Anglano (Università del Piemonte Orientale, Dipartimento di Informatica)
  • Avv. Carlo Blengino (Studio Legale Catalano Penalisti Associati)

Sabato 17 febbraio 2018: Violazioni e Rimedi

Moderatore: Prof. Massimo Durante (Università di Torino, Dipartimento di Giurisprudenza)

8:30-9:00
Internal auditing e DPIA: best practice

  • Avv. Giovanni Battista Gallus (Array – Studio Legale)

9:00-9:30
Misure minime e adeguate: Protezione dei dati personali by design e by default

  • Avv. Francesco Paolo Micozzi (Array – Studio Legale)

9:30-10:30
Gli standard di sicurezza: certificazioni e codici di condotta

  • Avv. Giuseppe Vaciago (R&P Legal studio associato)
  • Dr. Paolo Dal Checco (Consulente Informatico Forense)

10:30-11:30
Misure di sicurezza e gestione dei Data Breach

  • Prof. Francesco Bergadano (Università di Torino, Dipartimento di Informatica)
  • Fabio Cogno (Certimeter Group)
  • Luca Bechelli (P4I e Clusit)

11:30-12:00
Soluzioni assicurative per il trasferimento del rischio

  • Orazio Rossi (CHUBB Italia)

La conferenza sul GDPR che si terrà a Torino è gratuita per gli studenti, mentre richiede un contributo d’iscrizione di € 30 pr gli altri. Per informazioni o registrarsi all’evento sul GDPR è sufficiente contattare la Dr. Paola Aurucci all’indirizzo [email protected].