La repentina crescita delle frodi informatiche
Transcript
La repentina crescita delle frodi informatiche
La repentina crescita delle frodi informatiche Dai furti di identità digitale a Wikileaks, sul finire del 2010 si ripropone con forza il problema: come difendere il patrimonio informativo? M.R.A. Bozzetti, OAI founder Nel Rapporto OAI 2009 già si era evidenziato come la maggior parte degli attuali attacchi informatici avessero come obiettivo guadagni illeciti, basati prevalentemente su truffe e frodi, e si erano descritti i due tipici approcci seguiti anche in Italia: • le truffe “di massa” orientate agli utenti finali, tipicamente realizzate con tecniche di social engineering per carpire l’identità digitale degli ignari utenti Internet ed effettuare così, via home banking e/o con carte di credito falsificate, prelievi sui conti correnti. • Le truffe “ad hoc” orientate prevalentemente a una (grande) azienda, tipicamente bancaria-finanziaria, che richiedono conoscenza approfondita dei processi, delle procedure organizzative e del sistema informativo aziendale (tipicamente degli applicativi da attaccare e delle misure di sicurezza informatica in essere). In entrambi i casi lo strumento chiave della truffa è l’appropriazione indebita, ossia il furto dell’identità digitale di una persona fisica. Nell’ultimo trimestre 2010 il tema delle frodi informatiche è stato spesso al centro di interventi della stampa, anche quella non specializzata, sia per la presentazione di dati e rapporti specifici sull’andamento di queste frodi sia per l’esplosione del caso Wikileaks. Tutti i rapporti, nell’ultimo triennio e a livello mondiale, indicano che la frode informatica è il tema più critico a livello sia economico sia giuridico. Ma in qualche misura, anche per le poche notizie che circolano in merito, la percezione è che il fenomeno in Italia non sia critico. Anche se settoriale, i dati più recenti (novembre 2010) elaborati da CRIF per Il Sole 24 ore (CRIF realizza con cadenza biennale l’Osservatorio sulle Frodi Creditizie) confermano la crescente gravità della situazione in Italia. • Nel primo trimestre 2010 sono state registrate 11.000 88 office automation dicembre 2010 frodi creditizie sul web, con un aumento del 9% rispetto al 2009 e con una crescita del valore truffato, pari a circa 92 milioni di euro, del +7%. • Considerando l’anno 2010, il numero delle truffe complessive è stimato in circa 25.000, per un danno complessivo di oltre 200 milioni di euro. A sua volta il 2009 aveva fatto registrare un danno superiore ai 177 milioni di euro, con un incremento di +22% rispetto al 2008. Sempre nel Rapporto OAI 2009 si era considerato un altro tipo frode, il ricatto sul corretto funzionamento del sistema informativo. Organizzazioni criminali attaccano il sistema informativo di un’azienda, anche piccola, in maniera non distruttiva, ma visibile; contattano poi i responsabili per chiedere un pizzo informatico, sotto minaccia di attacchi distruttivi sul sistema informatico. La maggior parte delle PMI italiane non ha sistemi informativi realmente protetti (quanti effettuano corretti backup che possano poi effettivamente ripristinare il sistema e i relativi dati?) ed è pertanto facilmente attaccabile senza grandi sforzi: un bel mercato potenziale per singoli e organizzazioni criminali! L’identità digitale sono le informazioni che una persona fisica (o giuridica) ha per poter accedere a determinati servizi informatici: tipicamente l’identificativo d’utente e la password necessari per l’identificazione e l’autenticazione. In molti casi per aumentare il livello di sicurezza dell’identificazione, è necessario l’uso di un token, ossia di un oggetto fisico quale una smartcard, tipica per servizi bancari quali Bancomat e carte di credito. Una persona fisica ha normalmente molte e diverse identità digitali (diverse carte Bancomat, diverse Carte di Credito e carte di fedeltà, una o più SIM per i telefoni cellulari, innumerevoli identificativi d’utente e password per l’accesso a portali e servizi in Internet, ecc.), cui si aggiungono spesso molte più informazioni personali se si partecipa ai social network: informazioni sulla professione svolta, sulla famiglia, su interessi e amicizie, sulle vacanze: basti pensare alle informazioni personali reperibili su Facebook o LinkedIn. Come avviene solitamente il furto di identità digitale? Prevalentemente a livello della singola persona, per frodi finanziarie, usando tecniche di social engineering, tipicamente il phishing, per conoscere le specifiche informazioni e accedere all’home banking. Ma dai dati stessi reperibili sui social network, e con pazienza, tempo, qualche strumento gratuitamente reperibile in Internet, è possibile individuare gli identificativi e le password della vittima da frodare. Con ben altre capacità e tecniche, oltre che spesso con la criminale collaborazione di personale interno all’istituto bancario o finanziario, è poi possibile accedere a elenchi di utenti-clienti, con le identità digitali anche crittate, e da qui partire per frodi ad hoc e di ben altra portata economica. Il furto dell’identità digitale, e delle eventuali frodi conseguenti, è aggravato dalla difficoltà e dal ritardo per scoprirlo. CRIF evidenzia che il 21% dei derubati se ne accorge entro i primi sei mesi, che il 20% se ne accorge nel secondo semestre e che più del 15% lo scopre dopo due o tre anni. Altre indagini confermano il balzo delle frodi informatiche. Il Servizio Polizia Postale e delle Comunicazioni ha ricevuto, nei primi 11 mesi 2010, 6.323 denunce contro le 2.863 dello stesso periodo nel 2009. Sono quasi triplicate. Da un recente studio di Symantec sul Black Market (il mercato illegale delle informazioni digitali, che include il furto e la vendita di identità digitali, carte di credito, passaporti, accessi a conti correnti, proprietà intellettuali, brevetti industriali, informazioni aziendali e personali) per il 2009 a livello mondiale si evidenziano i seguenti dati: • volume d’affari del Black Market: circa 210 milioni di euro; • valore dell’informazioni digitali rubate: circa 1 trilione di dollari; • 147 euro è il costo medio per identità compromessa sostenuto da un’azienda. Sempre per il 2009 l’ABI ha stimato i danni causati in Italia dalle false identità, non solo digitali, tra i 1,6 e i 2 milioni di Euro. Come mai questo incremento? Da un lato deriva dal maggior uso di strumenti informatici per pagamenti e transazioni finanziarie, dall’altro il furto dell’identità digitale è relativamente facile anche per la scarsa tutela dei dati personali. È bene fornirli solo se strettamente necessario, non diffondere informazioni dettagliate sulla propria famiglia (ad esempio evitare di inserirli nei sistemi di social network), non rispondere a email che richiedono dati personali o credenziali di accesso a sistemi protetti tipo home banking. Attenzione a non farsi rubare il pc portatile, o a farsi copiare i dati dall’hard disk del pc lasciato acceso e incustodito attraverso le chiavette USB; attenzione inoltre a distruggere tutta la documentazione che riporta i dati personali prima di cestinarla. Infine è sempre una buona regola aggiornare periodicamente l’antivirus del computer e, prima di fornire dati online, verificare sem- pre l’attendibilità e la sicurezza del sito richiedente. Operando nel mondo digitale la sicurezza assoluta non esiste, e occorre tener sempre presente il rischio residuo, in funzione dei livelli di sicurezza usati, ma spesso sconosciuti. Per una più sicura identificazione della persona fisica sono necessari strumenti biometrici, che stanno diventando sempre più facili da usare, sicuri ed economici: riconoscimento facciale, impronta digitale, firma biometrica autografa sono tecnologie ormai ben consolidate. Saranno approfondite in un prossimo articolo di questa rubrica. Wikileaks La raccolta e la messa in Internet sul sito di Wikileaks di centinaia di migliaia di informazioni riservate dell’amministrazione statunitense, in particolare i cablogrammi delle Ambasciate, rappresenta una duplice frode: da un lato da parte di Wikileaks che ha pubblicato notizie riservate (anche se non strettamente segrete), dall’altro del personale dell’amministrazione stessa che ha fatto copia di informazioni riservate, cui aveva diritto d’accesso per il ruolo ricoperto, e le ha inviate a Wikileaks per la pubblicazione, contravvenendo così alle norme sulla riservatezza. Il ciclone Wikileaks ha causato a catena una serie di eventi diplomatici e politici, e anche una serie di attacchi DDoS, Distributed Denial of Services, da parte di hacker sostenitori di Julian Assange e degli organizzatori di Wikileaks per saturare i siti di carte di credito e di pagamenti online, quali Mastercard, Visa e PayPal, dopo che avevano sospeso la raccolta di fondi pro Wikileaks. Tra le tante considerazioni su quanto successo in termini di trasparenza, libertà di stampa, diritto all’informazione verso diritto alla riservatezza, è importante soffermarsi sul più comune problema del furto e/o dell’uso improprio di informazioni aziendali da parte di utenti regolarmente abilitati al loro accesso e trattamento. Wikileaks ripropone con forza il problema di come difendere il patrimonio informativo di un ente o di una azienda: elenco dei clienti e dei relativi contratti, listini prezzi e margini, documenti progettuali riservati, segreti industriali, e così via. Come prevenire e come scoprire se una persona autorizzata ad accedere a determinate informazioni le fornisce poi a terzi causando danni economici e di immagine? La risposta può essere un mix di interventi tecnici e organizzativi, ma che ben poco possono realmente contro la volontà e la scorrettezza dell’utente che intende frodare. Partecipa al nuovo rapporto OAI 2010 compilando online il questionario su http://www.soiel.it/questionarioOAI2010/pagina1.html dicembre 2010 office automation 89