Archivi tag: truffa bonifici

Conferenza su Frodi nei Servizi di Pagamento per Legal Community Week

Mercoledì 14 giugno 2023, a Milano, presso l’Hotel Principe di Savoia si terrà un incontro in presenza sulle frodi nei servizi di pagamento, organizzato da Chiomenti e Legal Community Week, durante il quale insieme a relatori di altissimo livello si parlerà di punti di vista regolamentari, giuridici, tecnici e investigativi, attacchi informatici, informatica forense, profili di rischio e le novità in arrivo nell’ambito degli aspetti delle frodi bancarie e dei sistemi di pagamento.

Il programma della conferenza, organizzata dallo Studio Legale Chiomenti e dalla Legal Community Week, sulle frodi nei servizi di pagamento, è il seguente:

  • 09:30: Check-in & Welcome Coffee
  • 10:00: Welcome Speech (Francesco D’Alessandro, Partner, Chiomenti)
  • 10:15: Tavola Rotonda con i seguenti relatori, moderati da Nicola Di Molfetta, Editor-in-Chief, Legal Community & MAG:

    Enrico Canna, Group Head of Anti-Fraud management, Intesa Sanpaolo
    Paolo Dal Checco, Digital Forensics Expert
    Francesco Martiniello, Chief Compliance & AFC Officer, illimity Bank
    Jasmine Mazza, Senior Associate, Chiomenti
    Pierluigi Perri, Of Counsel, Chiomenti
    Vittorio Tortorici, Banca d’Italia
    Benedetta Venturato, Senior Associate, Chiomenti
  • 11:15: Coffee Break
  • 11:45: “Problems and perspectives of the criminal fight against financial frauds” Cristian Barilli, Public Prosecutor at the Court of Milan in dialogue with Francesco D’Alessandro, Partner, Chiomenti
  • 12:30: Light Lunch
Conferenza organizzata da Chiomenti e Legal Community Week su Truffe Bancarie

Per dettagli e iscrizioni, s’invita a visionare il link di registrazione all’evento oppure la brochure, disponibile qui di seguito.

Brochure dell’evento sulle truffe e le frodi nei servizi di pagamentoDownload

Servizio sulle truffe bancarie con Striscia La Notizia

Oggi è andato in onda il servizio di Max Laudadio per Striscia La Notizia dal titolo “Il raggiro del finto call center Banca Intesa” dove il conduttore intervista diverse vittime di una truffa ben nota al termine della quale i conti correnti vengono svuotati tramite bonifici fraudolenti immessi da criminali che hanno avuto accesso al conto bancario tramite App o web banking.

Questo tipo di truffe è ormai nota alle Forze dell’Ordine ma purtroppo ancora sconosciuta a molti correntisti che, fidandosi delle telefonate o degli SMS apparentemente provenienti dai numeri della banca, comunicano credenziali o accettano d’installare software non verificato sul proprio smartphone, con il risultato che i delinquenti hanno la possibilità, a un certo punto, di disporre bonifici o persino fare ricariche di carte di credito o prelievi di contanti al bancomat.

Paolo Dal Checco a Striscia La Notizia

Durante il servizio per Striscia La Notizia ho dato il mio piccolo contributo con alcune considerazioni tecniche sulle modalità con le quali i truffatori riescono a telefonare alle vittime o inviare SMS fingendosi la loro banca, facendo comparire come mittente il numero di telefono o il nome esatto dell’istituto bancario e traendo così in inganno i correntisti.

Esistono infatti diverse App e servizi online – così come conferma anche Banca Intesa San Paolo in un comunicato ufficiale a Striscia La Notizia – che permettono di fare telefonate o inviare messaggi di testo SMS mascherando il mittente con numeri di telefono o nomi a scelta, agevolando così purtroppo le truffe definite “vishing” (voice phishing) e “smishing” (SMS phishing) basate proprio sul mascheramento del numero o dell’identità del chiamante.

Spiegazione fornita da Intesa San Paolo a Striscia La Notizia delle truffe tramite telefonate o sms fraudolenti.

La truffa delle telefonate e degli SMS provenienti da finti call center colpisce non soltanto Banca Intesa San Paolo e i suoi correntisti, ma anche clienti di altre banche, proprio perché purtroppo chi riceve una telefonata non ha modo di verificare se il numero del chiamante è autentico oppure mascherato tramite uno dei servizi di caller id spoofing.

Per questo motivo, i consigli che vengono proposti da Banca Intesa San Paolo e riportati a Striscia La Notizia sono da seguire alla lettera:

  1. mai fornire codici ricevuti via SMS o telefonata a presunti operatori che chiamano o inviano SMS, con la minaccia di “chiudere il conto” in caso di mancata comunicazione;
  2. mai fornire credenziali del proprio profilo online via telefono o messaggio;
  3. mai inserire nome utente e password in siti ove si è arrivati cliccando su link ricevuti via email, sms o indicati tramite call center;
  4. mai installare App su richiesta di operatori della banca, soprattutto App non presenti all’interno dello store ufficiale.
Consigli di Intesa San Paolo per evitare le truffe

A questi consigli forniti da Banca Intesa San Paolo per rendere consapevoli i propri clienti dei rischi delle telefonate e degli SMS fraudolenti, possiamo aggiungere anche l’indicazione di non cliccare mai su link ricevuti via email o telefono, di chiamare sempre la banca digitando il numero ufficiale (non richiamando il numero da cui si è ricevuta una chiamata o un messaggio di testo), di non fidarsi di chi contatta insistendo sulla comunicazione di dati, codici, cifre, nominativi o altro che possa permettere ai delinquenti di accedere al proprio conto bancario e disporre bonifici, fare versamenti tramite carte di credito o prelevare contanti al posto.nostro.

Man in the Mail - Truffa bonifico con falso IBAN via email

Crescono gli attacchi di “Man in The Mail”, la truffa dei bonifici a falsi IBAN

Man in the Mail - Truffa bonifico con falso IBAN via emailSono anni che si parla della truffa dei bonifici deviati in modo fraudolento verso falsi IBAN ai quali le aziende inviano fondi destinati a fornitori a fronte di false fatture modificate ad hoc da criminali che si sono insinuati nelle caselle di posta elettronica al fine di spiare le comunicazioni tra cliente e fornitore. L’FBI ha segnalato ormai da tempo il problema come una delle truffe maggiormente in voga nei confronti delle aziende e anche in Italia se n’è parlato in TV, sui giornali e online.

Nonostante questo, novembre è stato un mese nero per le truffe bancarie dei bonifici di tipo Man in The Mail (MITM) che prendono anche il nome di “Man in The Middle”, “BEC Scam”, “Wire fraud”, “Business Email Compromise”, “BEC Fraud” o ancora “Bogus Invoice Scheme”, “Supplier Swindle” o “Invoice Modification Scheme”. Se durante l’anno abbiamo ricevuto segnalazioni con frequenza di due o tre truffe al mese, nelle settimane di novembre le segnalazioni di Man in The Mail sono salite a diverse truffe al giorno.

Non è chiaro il motivo per il quale gli attacchi di falsificazione delle coordinate bancarie IBAN via email si sono fatti più aggressivi e pervasivi, al punto da colpire piccole, medie e grandi imprese, utilizzando persino IBAN ospitati presso enti bancari italiani, che dal punto di vista del riciclaggio e il rischio di blocco dei fondi diventano più complicati da gestire per i criminali.

L’FBI dichiara – nel suo rapporto del luglio 2018 – di aver conteggiato dall’ottobre 2013 al maggio 2018 ben 78.617 casi di Man in The Mail per una perdita totale di oltre 12 miliardi di dollari, cifre in aumento costante nonostante la consapevolezza di questa truffa stia cominciando a essere più presente fra le aziende.

Le modalità con le quali i criminali ottengono l’accesso ai dati riservati delle aziende tramite man in the middle, in particolare alla loro posta elettronica e alle loro fatture, cambia di volta in volta, così come la tecnica utilizzata per alterare i codici IBAN all’interno delle fatture originali, così da deviare il bonifico verso conti spesso poco tracciabili o dai quali, in ogni caso, i fondi verranno rimossi non appena arrivati grazie ai bonifici disposti volontariamente dalle vittime.

Da anni il metodo principale con cui avviene il man in the middle degli IBAN rimane il phishing, cui bisogna prestare massima attenzione, perché le difese tecnologiche spesso sono insufficienti di fronte a un operatore che fornisce le proprie credenziali ai delinquenti, anche tramite telefono (mediante il cosiddetto “vishing”, come è avvenuto pochi giorni fa) o SMS (in questo caso il fenomeno si chiama “smishing”) e persino via FAX. La percezione degli utenti è spesso quella del “mi hanno hackerato la mail” o “mi hanno bucato la casella di posta elettronica“, in realtà sono stati loro a fornire le credenziali agli attaccanti o persino il cookie di sessione, come mostrerò più avanti.

Precauzioni come l’autenticazione a due fattori (la cosiddetta “2fa”, “two factor authentication“) riducono il fenomeno ma non lo eliminano del tutto: è infatti possibile per i delinquenti rubare dalle vittime i cookie di sessione ed entrare direttamente nell’account di posta senza dover inserire username o password.

Phishing come vettore del Man in The Mail

Oltre al phishing, uno dei vettori più comuni per il man in the mail è l’infezione tramite malware o trojan dei PC o degli smartphone di chi esegue movimenti e bonifici bancari. Tramite l’invio di una finta fattura, nota di credito, istanza o altro i criminali trasmettono in realtà un “dropper”, un programma in grado di scaricare il malware e installarlo sul PC, dove questo sarà in grado di spiare le attività dell’utilizzatore e carpire le password. Banalmente, dopo alcuni giorni o settimane di monitoraggio, i delinquenti procedono con la registrazione di domini simili a quelli di una delle due aziende coinvolte e all’invio delle email fake, con gli IBAN errati, così da trarre in inganno le vittime.

Ultimamente abbiamo rilevato diversi casi di Man in The Mail perpetrati attraverso l’accesso diretto alla casella di posta tramite protocollo IMAP, grazie al quale i criminali sostituiscono direttamente le email arrivate al cliente, lasciando intatto il testo ma modificando l’allegato PDF contente la fattura con il codice IBAN corretto che viene modificato indicandone uno diverso. Il cliente, scaricando la mail “farlocca”, pagherà la merce o i servizi al conto bancario IBAN sbagliato, intestato appunto ai delinquenti o in realtà a dei prestanome. In sostanza, il cliente riceve la mail corretta dal fornitore (il cui account quindi non è stato compromesso) ma quando la scarica, l’allegato PDF è diverso, il tutto grazie alla possibilità del protocollo IMAP di sostituire una mail (o l’allegato, nel caso specifico la fattura originale con il vero IBAN) lasciandola sul server in modo che la vittima possa scaricarla già falsificata.

IMAP come mezzo per Man in The Mail e BEC Scam, business email compromise

Oltre a utilizzare sempre più spesso direttamente il protocollo IMAP per sostituire le mail originali con quelle false contenenti la fattura con IBAN modificato, una precauzione molto spesso presa dai truffatori è quella d’impostare un inoltro, o forward, su una o più caselle compromesse, così da evitare che i proprietari possano leggere le email inviate dai reali clienti o fornitori.

Una volta incassate le somme estorte con l’inganno i ladri procedono, tramite “money mule“, a svuotare il conto su cui vengono ricevuti i bonifici di chi è stato truffato, attraverso prelievi di contante o trasferimenti irreversibili mediante servizi di money transfer. In alcuni casi, il cash out e il money laundering viene fatto persino tramite acquisto di bitcoin. Questo è uno dei motivi per i quali le truffe di tipo Man in The Mail spesso non permettono l’annullamento o lo storno dei bonifici o il recupero delle cifre bonificate, che sono già state immediatamente svuotate dal conto della banca ricevente. In alcuni casi, fortunatamente, è possibile contattare immediatamente la banca che ha ricevuto il bonifico sull’IBAN farlocco per imporre il blocco dei fondi, cosa fattibile quando la banca di appoggio dei criminali è ad esempio in Italia, cosa difficile quando l’istituto bancario si trova all’estero in paesi lontani o poco collaborativi.

Lo Studio, per questo tipo di reati, esegue perizie su truffe bancarie di tipo “Man in The Mail” con bonifici su falsi IBAN finalizzate a identificare le modalità dell’attacco alla casella di posta o ai sistemi informatici ma soprattutto a capire chi è stato compromesso, se il compratore o il venditore. Dal punto di vista di un eventuale risarcimento, la perizia informatica sulla truffa degli IBAN cambia radicalmente la prospettiva nel caso in cui il raggiro sia avvenuto a causa della compromissione degli account o dei sistemi del fornitore/venditore, in tal caso il cliente che ha bonificato verso l’IBAN sbagliato può tentare di esonerarsi dalla responsabilità e ottenere comunque la merce o i servizi. In altri casi, non riuscendo a identificare correttamente la responsabilità di chi è stato causa indiretta della truffa (cioè colui che ha avuto l’indirizzo di posta elettronica bucato o i sistemi compromessi) si può tentare un accordo o conciliazione al 50%. Anche le banche possono essere coinvolte in una eventuale richiesta di risarcimento, con maggiore difficoltà, ma in alcuni casi i profili di responsabilità possono essere valutati andando oltre il cliente e il fornitore.

Frode dei bonifici tramite falsa mail e IBAN

Come difendersi dalle truffe dei bonifici con i falsi IBAN

Sono passati ormai oltre tre anni da quando l’FBI ha avviato un’impegnativa opera di divulgazione e formazione preventiva circa la truffa dei bonifici tramite compromissione della posta elettronica e falsi IBAN. Da allora, il fenomeno è aumentato in modo esponenziale e ancora oggi ogni giorno numerose aziende italiane sono vittima del raggiro del bonifico deviato verso un falso IBAN tramite false email e fatture od offerte PDF modificate ad arte.

Falsa fattura in PDF per la truffa bancaria "Man in The Mail"

Poiché lo Studio esegue anche attività in ambito d’incident response  o digital forensics in ambito di questo tipo di truffa mediante email false, IBAN modificati e bonifici fraudolenti, riteniamo utile riprendere il discorso e presentare alcune caratteristiche di questo fenomeno che sta facendo perdere agli italiani decine di milioni di euro trasferiti spesso su conti IBAN esteri.

Un fenomeno in crescita

L’Italia è terreno fertile per questo tipo di truffa bancaria informatica e conta ormai migliaia di vittime con svariati milioni di soldi rubati tramite i bonifici o le spedizioni di merce. Nel 2015 ho partecipato a un servizio per Striscia la Notizia dove un’azienda ha raccontato la sua avventura con un bonifico fraudolento proveniente da un cliente estero che non è arrivato perché deviato – grazie all’ausilio di false email che sembravano provenire dall’azienda –  verso un IBAN di un conto di un prestanome che lo ha poi svuotato impedendo così il recupero della somma bonificata.

Truffa dei bonifici con falso IBAN a Striscia la Notizia

Come agiscono i delinquenti

Questo tipo di truffe informatiche risulta piuttosto complesso da identificare, perché le modalità con le quali i delinquenti colpiscono le vittime sono svariate:

  1. Attacco alla casella di posta tramite phishing, brute force o utilizzo di credenziali riciclate su più account provenienti dai vari leak disponibili in rete con conseguente monitoraggio della mailbox a volte anche tramite inoltro delle mail tramite forward e blocco di alcuni indirizzi;
  2. Installazione di trojan e spyware sui PC o smartphone di chi esegue o riceve i bonifici o comunica con clienti e fornitori;
  3. Attività di social engineering (su Linkedin, Facebook, etc…) finalizzato a identificare le relazioni tra membri della società così da poter inviare false mail con richieste di bonifici fraudolenti verso IBAN creati ad hoc;
  4. Registrazione di domini simili a quello della vittima o dei suoi fornitori e clienti, utilizzando poi le caselle di posta per perpetrare la truffa dei trasferimenti deviati verso IBAN di terzi;
  5. Non sempre il furto avviene tramite bonifici, in alcuni casi i criminali hanno convinto le vittime a spedire del materiale verso indirizzi controllati da loro (magazzini, capannoni, etc…) fingendosi gli acquirenti che in realtà sono ignari della nuova destinazione della merce che hanno in realtà realmente pagato (ma bonificando la cifra richiesta su conti bancari diversi da quello del fornitore);
  6. Talvolta i delinquenti arrivano a fare anche telefonate utilizzando il numero dei clienti o dei fornitori, mediante servizi come SpoofCard che permettono di fare telefonate o inviare SMS da numeri di persone o aziende ignare;
  7. In alcuni casi la compromissione delle mail permette ai delinquenti di sostituirle in tempo reale tramite IMAP e la funzione di upload e modifica dei messaggi, rendendo così superfluo l’invio di posta da canali fraudolenti, dato che diventa più semplice modificarla direttamente sul server della vittima prima che questa ne scarichi il contenuto.

Come posso difendermi dalle truffe dei bonifici con IBAN falsi?

La miglior difesa è, purtroppo, la formazione del personale che deve essere ben consapevole che se un fornitore richiede un repentino cambiamento del conto IBAN sul quale versare il saldo indicato in fattura, è necessario eseguire adeguate verifiche tramite telefonate, fax o PEC. Imparare a distinguere una falsa mail destinata a perpetrare la frode dei bonifici può permettere all’azienda di non diventarne vittima.

Frode dei bonifici tramite falsa mail e IBAN

Ovviamente le email false avranno una forte somiglianza con quelle originali, sia negli indirizzi sia nel contenuto, ma spesso uno sguardo attento è sufficiente per cogliere gli elementi distintivi e capire se si tratta di un messaggio originale o prodotto dai delinquenti a fini di truffa e raggiro.

Dal punto di vista tecnico, esistono diverse soluzioni che permettono di configurare dei filtri sulla posta elettronica finalizzati a identificare potenziali email fraudolente e segnalarle all’utente o agli amministratori di sistema. Una mail che arriva in azienda da indirizzo di posta aziendale ma partendo da server esterni può ad esempio essere un’indice di compromissione, così come la presenza di un indirizzo “Reply to:” diverso da quello del mittente.

Poiché client di posta elettronica tipo Outlook non mostrano chiaramente il vero indirizzo del mittente, che può quindi essere più facilmente mascherato, è importante verificare, nel momento in cui si risponde a un messaggio, a quale indirizzo arriverà la risposta.

Se si ricevono mail da parte dell’Amministratore Delegato o di apicali che richiedono l’esecuzione di un bonifico pregando di non informare nessuno e di procedere speditamente, è indispensabile richiedere una conferma telefonica o di persona. Molto spesso infatti nelle truffe di tipo “CEO Fraud” non vi sono accessi abusivi alle caselle di posta ma i delinquenti provano a inviare mail da indirizzi di posta falsi, fingendosi dirigenti o apicali e sperando che i destinatari non si accorgano della differenza ed eseguano gli ordini ricevuti. Spesso vengono messi in copia anche Avvocati o Studi Legali finti (o veri ma con indirizzi falsi) così da rendere più autorevole la richiesta.

Come vengono chiamate queste truffe dei bonifici?

La truffa dei bonifici deviati verso IBAN falsi tramite email create ad hoc così da ingannare il ricevente è nota con i termini di CEO Fraud, Payment Diversion, Executive Scam, Business Executive Scam, Bogus Boss, Boss Fraud, CEO scam o CEO phishing, Wire Transfer Fraud, Corporate Account Takeover o CEO impersonation.

Quando si rileva anche un’attività di compromissione e accesso abusivo alla mail aziendale, si parla di truffa di tipo Man in The Mail, Business Email Compromise, BEC, BEC Scam, BEC Fraud o BEC Attack. In questi casi, la mail, i server o il PC delle vittime sono (stati) posti sotto controllo da parte dei delinquenti, che a un certo punto si sostituiscono a uno dei due interlocutori impersonandolo.

Posso recuperare la cifra che ho bonificato all’IBAN sbagliato?

In genere, i bonifici fraudolenti vengono fatti verso conti esteri oppure conti italiani registrati da prestanome. Una volta ricevuto, i criminali utilizzano una rete di money mule per svuotare il conto, cioè persone che – consapevolmente o meno – si fanno inviare alcune migliaia di euro a testa e li rigirano verso conti terzi dopo aver trattenuto una percentuale per il “lavoro”. Questo passaggio rende molto più complicato tracciare il flusso di denaro sottratto con l’inganno alla vittima e permette di svuotare il conto molto velocemente, così che quando la vittima capisce di essere stata truffata tramite bonifici fraudolenti spesso non è in grado di recuperare il maltolto.

Devo fare denuncia presso l’Autorità Giudiziaria?

Ovviamente non c’è obbligo di denuncia querela ma certamente può essere importante farla, se non altro per rendere le Forze dell’Ordine consapevoli dell’entità del fenomeno. Raramente la denuncia porterà al recupero dei fondi rubati, spesso non si riuscirà a capire neanche dove sono stati trasferiti, in ogni caso è eticamente e civilmente sensato sporgere denuncia querela facendosi supportare da legali esperti se possibile in informatica giuridica.

Dal punto di vista del GDPR e della protezione dei dati, invece, se la truffa è di tipo “Man in The Mail” e l’accesso alla casella di posta è avvenuto tramite phishing, trojan o brute force, può essere obbligatorio segnalare al Garante l’avvenuto data breach.

Di chi è la responsabilità? Della banca? Del fornitore? Del cliente?

Spesso chi fa il bonifico all’IBAN sbagliato avrebbe la possibilità di accorgersene prestando attenzione agli indirizzi utilizzati dai delinquenti. Ciò che impedisce alle vittime di realizzare quanto sta accadendo è, spesso, il fatto che i delinquenti utilizzano (nel caso di Man in The Mail) uno scambio di corrispondenza con uno storico tale da rendere “credibile” la fonte e superflue verifiche.

Quando a una visione attenta della mail è possibile verificare che il mittente non è davvero il fornitore certamente una parte di responsabilità può essere demandata alla vittima. Vero è che se la truffa è stata possibile grazie alla compromissione di caselle o computer del fornitore, il rapporto di responsabilità può invertirsi.

Anche la banca può in alcuni casi essere considerata responsabile, se ad esempio accetta di aprire un conto a un prestanome con il nome di una società di cui egli non è il titolare, oppure se riceve grandi quantità di denaro destinate a persone o aziende diverse da quella indicata nell’intestazione del conto, per quanto in alcuni casi non sembra ci sia l’obbligo di verifica.

Se le mail false e fraudolente tramite le quali i delinquenti richiedono i bonifici falsificando i PDF delle fatture provengono realmente dagli indirizzi di posta dei fornitori, certamente la responsabilità può essere demandata ad essi, perché la carenza di misure minime e controlli di sicurezza ha fatto sì che i criminali riuscissero a entrare nelle caselle di posta e utilizzarle per la truffa.

Cosa posso fare se sono stato truffato?

Sicuramente può essere strategica una perizia informatica sulla truffa Man in The Mail avvenuta via bonifico a falso IBAN presso banca estera o italiana, finalizzata a identificare eventuali responsabilità, capire se c’è stato un data breach, un accesso abusivo tramite trojan, phishing, brute force oppure se la compromissione può essere lato fornitori o clienti o ancora se non si rilevano malware o violazioni alla sicurezza ma solo l’utilizzo di account di posta o domini opportunamente plasmati.

La perizia informatica sul Man in The Middle può essere utilizzata da uno studio legale specializzato in informatica forense, per produrre una querela o una richiesta di conciliazione con il cliente o il fornitore coinvolto a sua insaputa nella truffa. La responsabilità della parte il cui account di posta o i cui sistemi sono stati compromessi infatti è un elemento che può permettere alla parte che ha perso il denaro (o la merce) di richiedere uno storno, una spedizione, un risarcimento.