La repentina crescita delle frodi informatiche

La repentina crescita
delle frodi informatiche
Dai furti di identità digitale a Wikileaks, sul finire del 2010 si ripropone con forza
il problema: come difendere il patrimonio informativo?
M.R.A. Bozzetti, OAI founder
Nel Rapporto OAI 2009 già si era evidenziato come la maggior parte degli attuali attacchi informatici avessero come obiettivo guadagni illeciti, basati prevalentemente su truffe e frodi, e
si erano descritti i due tipici approcci seguiti anche in Italia:
• le truffe “di massa” orientate agli utenti finali, tipicamente realizzate con tecniche di social engineering per carpire l’identità
digitale degli ignari utenti Internet ed effettuare così, via home banking e/o con carte di credito falsificate, prelievi sui conti correnti.
• Le truffe “ad hoc” orientate prevalentemente a una (grande)
azienda, tipicamente bancaria-finanziaria, che richiedono
conoscenza approfondita dei processi, delle procedure organizzative e del sistema informativo aziendale (tipicamente
degli applicativi da attaccare e delle misure di sicurezza informatica in essere).
In entrambi i casi lo strumento chiave della truffa è l’appropriazione indebita, ossia il furto dell’identità digitale di una persona fisica. Nell’ultimo trimestre 2010 il tema delle frodi informatiche è stato spesso al centro di interventi della stampa,
anche quella non specializzata, sia per la presentazione di
dati e rapporti specifici sull’andamento di queste frodi sia per
l’esplosione del caso Wikileaks.
Tutti i rapporti, nell’ultimo triennio e a livello mondiale, indicano
che la frode informatica è il tema più critico a livello sia economico sia giuridico. Ma in qualche misura, anche per le poche
notizie che circolano in merito, la percezione è che il fenomeno
in Italia non sia critico. Anche se settoriale, i dati più recenti (novembre 2010) elaborati da CRIF per Il Sole 24 ore (CRIF realizza
con cadenza biennale l’Osservatorio sulle Frodi Creditizie) confermano la crescente gravità della situazione in Italia.
• Nel primo trimestre 2010 sono state registrate 11.000
88
office automation
dicembre 2010
frodi creditizie sul web, con un aumento del 9% rispetto al
2009 e con una crescita del valore truffato, pari a circa 92
milioni di euro, del +7%.
• Considerando l’anno 2010, il numero delle truffe complessive è stimato in circa 25.000, per un danno complessivo
di oltre 200 milioni di euro.
A sua volta il 2009 aveva fatto registrare un danno superiore
ai 177 milioni di euro, con un incremento di +22% rispetto al
2008. Sempre nel Rapporto OAI 2009 si era considerato un
altro tipo frode, il ricatto sul corretto funzionamento del sistema
informativo. Organizzazioni criminali attaccano il sistema informativo di un’azienda, anche piccola, in maniera non distruttiva, ma visibile; contattano poi i responsabili per chiedere un
pizzo informatico, sotto minaccia di attacchi distruttivi sul sistema
informatico. La maggior parte delle PMI italiane non ha sistemi
informativi realmente protetti (quanti effettuano corretti backup che
possano poi effettivamente ripristinare il sistema e i relativi dati?)
ed è pertanto facilmente attaccabile senza grandi sforzi: un bel
mercato potenziale per singoli e organizzazioni criminali!
L’identità digitale sono le informazioni che una persona fisica (o
giuridica) ha per poter accedere a determinati servizi informatici: tipicamente l’identificativo d’utente e la password necessari
per l’identificazione e l’autenticazione. In molti casi per aumentare il livello di sicurezza dell’identificazione, è necessario
l’uso di un token, ossia di un oggetto fisico quale una smartcard,
tipica per servizi bancari quali Bancomat e carte di credito. Una
persona fisica ha normalmente molte e diverse identità digitali
(diverse carte Bancomat, diverse Carte di Credito e carte di fedeltà, una o più SIM per i telefoni cellulari, innumerevoli identificativi d’utente e password per l’accesso a portali e servizi in
Internet, ecc.), cui si aggiungono spesso molte più informazioni
personali se si partecipa ai social network: informazioni sulla professione svolta, sulla famiglia, su interessi e amicizie, sulle vacanze: basti pensare alle informazioni personali reperibili su Facebook o LinkedIn. Come avviene solitamente il furto di identità
digitale? Prevalentemente a livello della singola persona, per frodi
finanziarie, usando tecniche di social engineering, tipicamente
il phishing, per conoscere le specifiche informazioni e accedere
all’home banking. Ma dai dati stessi reperibili sui social network,
e con pazienza, tempo, qualche strumento gratuitamente reperibile in Internet, è possibile individuare gli identificativi e le password della vittima da frodare. Con ben altre capacità e tecniche, oltre che spesso con la criminale collaborazione di
personale interno all’istituto bancario o finanziario, è poi possibile accedere a elenchi di utenti-clienti, con le identità digitali anche crittate, e da qui partire per frodi ad hoc e di ben altra portata economica. Il furto dell’identità digitale, e delle eventuali frodi
conseguenti, è aggravato dalla difficoltà e dal ritardo per scoprirlo. CRIF evidenzia che il 21% dei derubati se ne accorge entro i primi sei mesi, che il 20% se ne accorge nel secondo semestre e che più del 15% lo scopre dopo due o tre anni. Altre
indagini confermano il balzo delle frodi informatiche. Il Servizio
Polizia Postale e delle Comunicazioni ha ricevuto, nei primi 11
mesi 2010, 6.323 denunce contro le 2.863 dello stesso periodo nel 2009. Sono quasi triplicate. Da un recente studio di
Symantec sul Black Market (il mercato illegale delle informazioni
digitali, che include il furto e la vendita di identità digitali, carte
di credito, passaporti, accessi a conti correnti, proprietà intellettuali, brevetti industriali, informazioni aziendali e personali) per
il 2009 a livello mondiale si evidenziano i seguenti dati:
• volume d’affari del Black Market: circa 210 milioni di euro;
• valore dell’informazioni digitali rubate: circa 1 trilione di dollari;
• 147 euro è il costo medio per identità compromessa sostenuto da un’azienda.
Sempre per il 2009 l’ABI ha stimato i danni causati in Italia dalle
false identità, non solo digitali, tra i 1,6 e i 2 milioni di Euro.
Come mai questo incremento? Da un lato deriva dal maggior uso
di strumenti informatici per pagamenti e transazioni finanziarie,
dall’altro il furto dell’identità digitale è relativamente facile anche
per la scarsa tutela dei dati personali. È bene fornirli solo se strettamente necessario, non diffondere informazioni dettagliate sulla
propria famiglia (ad esempio evitare di inserirli nei sistemi di social network), non rispondere a email che richiedono dati personali o credenziali di accesso a sistemi protetti tipo home banking. Attenzione a non farsi rubare il pc portatile, o a farsi
copiare i dati dall’hard disk del pc lasciato acceso e incustodito
attraverso le chiavette USB; attenzione inoltre a distruggere tutta
la documentazione che riporta i dati personali prima di cestinarla.
Infine è sempre una buona regola aggiornare periodicamente l’antivirus del computer e, prima di fornire dati online, verificare sem-
pre l’attendibilità e la sicurezza del sito richiedente. Operando
nel mondo digitale la sicurezza assoluta non esiste, e occorre tener sempre presente il rischio residuo, in funzione dei livelli di sicurezza usati, ma spesso sconosciuti. Per una più sicura identificazione della persona fisica sono necessari strumenti biometrici,
che stanno diventando sempre più facili da usare, sicuri ed economici: riconoscimento facciale, impronta digitale, firma biometrica autografa sono tecnologie ormai ben consolidate. Saranno
approfondite in un prossimo articolo di questa rubrica.
Wikileaks
La raccolta e la messa in Internet sul sito di Wikileaks di centinaia di migliaia di informazioni riservate dell’amministrazione
statunitense, in particolare i cablogrammi delle Ambasciate, rappresenta una duplice frode: da un lato da parte di Wikileaks
che ha pubblicato notizie riservate (anche se non strettamente
segrete), dall’altro del personale dell’amministrazione stessa che
ha fatto copia di informazioni riservate, cui aveva diritto d’accesso per il ruolo ricoperto, e le ha inviate a Wikileaks per la
pubblicazione, contravvenendo così alle norme sulla riservatezza. Il ciclone Wikileaks ha causato a catena una serie di
eventi diplomatici e politici, e anche una serie di attacchi
DDoS, Distributed Denial of Services, da parte di hacker sostenitori di Julian Assange e degli organizzatori di Wikileaks per
saturare i siti di carte di credito e di pagamenti online, quali Mastercard, Visa e PayPal, dopo che avevano sospeso la raccolta
di fondi pro Wikileaks. Tra le tante considerazioni su quanto successo in termini di trasparenza, libertà di stampa, diritto all’informazione verso diritto alla riservatezza, è importante soffermarsi sul più comune problema del furto e/o dell’uso improprio
di informazioni aziendali da parte di utenti regolarmente abilitati al loro accesso e trattamento. Wikileaks ripropone con
forza il problema di come difendere il patrimonio informativo
di un ente o di una azienda: elenco dei clienti e dei relativi contratti, listini prezzi e margini, documenti progettuali riservati, segreti industriali, e così via. Come prevenire e come scoprire se
una persona autorizzata ad accedere a determinate informazioni le fornisce poi a terzi causando danni economici e di immagine? La risposta può essere un mix di interventi tecnici e organizzativi, ma che ben poco possono realmente contro la
volontà e la scorrettezza dell’utente che intende frodare.
Partecipa al nuovo rapporto OAI 2010
compilando online il questionario su
http://www.soiel.it/questionarioOAI2010/pagina1.html
dicembre 2010
office automation
89