La gestione e la prevenzione delle frodi esterne

XXVI Convegno Nazionale di IT Auditing, Security e Governance
BOLOGNA – 11/12 ottobre 2012
La gestione e la prevenzione delle frodi esterne
Germano Boido
Ufficio Prevenzione Frodi
Il fenomeno delle frodi è in continua evoluzione
Negli ultimi anni, il sistema bancario ha dovuto far fronte ad una rapida evoluzione delle tipologie di
attacco fraudolento perpetrato attraverso i canali fisici e virtuali
In assenza di adeguati strumenti di monitoraggio, i tempi di scoperta della frode (tempi di detection)
inoltre stanno diventando sempre più lunghi (es. le frodi creditizie attraverso furto/falsificazione
d’identità vengono scoperte entro i primi sei mesi solo in un caso su quattro)
Nel 2011, è stato evidenziato un particolare aumento del numero di frodi riconducibili a fenomeni di
falsificazione totale o parziale dell’identità documentale o elettronica della clientela
Nel 2012 si sta verificando una crescita più generalizzata dei fenomeni fraudolenti:
sui canali/servizi e di identità documentale e reddituale
sulle carte di pagamento per utilizzo fraudolento tramite operatività Internet
sugli ATM con sempre nuove modalità di attacco (cash trapping, ...).
2
Gli effetti delle frodi
PERDITE
ECONOMICHE
ULTERIORI IMPATTI
NEGATIVI
Sfiducia nell’utilizzo di
strumenti di pagamento
Sfiducia nella banca
Danni di immagine
Costi di accertamenti
e gestione delle
pratiche
Perdite finanziarie
FRODI
POSSIBILI RIPERCUSSIONI
Operazioni collegate a clienti
censiti con documenti falsi
Operazioni derivanti da frodi
on line
3
Gestione e prevenzione frodi: complessità gestite e assetto organizzativo
Anagrafica clientela Retail: 20.000.000
Supporto operativo a 24
Banche italiane del Gruppo
Supporto consulenziale a 3
Società Prodotto e a 11
Banche Estere
Clienti Internet Banking
Retail: 3.300.000
Corporate: 350.000
Carte Attive: 12.000.000
Direzione
Centrale
Personale e
Organizzazione
ATM: 7.400
POS: 200.000
Servizio Governo
Sicurezza e Continuità
Operativa
Ufficio
Prevenzione
Frodi
Definisce le politiche, le regole e gli standard relativi alla
sicurezza e alla prevenzione delle frodi , identifica le
implicazioni di natura organizzativa e presidia i rapporti
istituzionali
4
Gestione e prevenzione delle frodi: attività trasversali
UFFICIO PREVENZIONE FRODI
Coordinare le attività di Fraud Management per il Gruppo
Gestire rapporti con altre funzioni coinvolte nella gestione guidando incontri operativi e con
il Top Management
Mantenere un costante aggiornamento sulle tecniche di difesa più avanzate
Gestire rapporti con altri player per coordinare iniziative a livello interbancario
Presidiare in ottica di innovazione e miglioramento continuo
Individuazione di possibili fenomeni fraudolenti per definire e attuare nuove misure di
prevenzione
Analisi continuativa dell’efficacia/efficienza dei sistemi di difesa in essere al fine di
identificare interventi migliorativi
Gestione della reportistica periodica
5
Gestione e prevenzione delle frodi: il modello di gestione
L’attività di gestione e prevenzione delle frodi prevede un insieme di interventi nei differenti contesti organizzativi,
procedurali e tecnologici, differenziati per specifiche tipologie di frode. Tale approccio richiede l’uso di un
modello di gestione strutturato secondo quattro fasi coordinate e indirizzate da attività traversali
Costante aggiornamento
su fenomeni fraudolenti,
confrontandosi anche
con altre realtà
Azioni di prevenzione di
attacchi possibili o in via
di preparazione
Contromisure
tecnologiche o di
processo in risposta ad
attacchi o di
miglioramento continuo
Incremento della
consapevolezza in
azienda
Governo e coordinamento
dell’insieme di attività
necessarie per la
prevenzione e la
neutralizzazione dei
fenomeni
Individuazione degli
attacchi tramite specifiche
attività di monitoraggio
sull’operatività della
clientela
Analisi di eventi avvenuti
al fine di identificarne le
cause
6
Gestione e prevenzione delle frodi: alcune definizioni
Prevenire le frodi significa predisporre, coordinare e verificare le iniziative volte a prevenire e contrastare gli
eventi fraudolenti in modo efficace e tempestivo, attraverso il monitoraggio costante dell’operatività della clientela
sui diversi canali, l’analisi delle fattispecie e la definizione degli interventi da porre in essere
Quali sono le principali frodi gestite in modo strutturato sui servizi bancari?
Prodotti
CONTI
CORRENTI E
DEPOSITI
CREDITO E
E ALTRI SERVIZI
BANCARI
CARTE DI
PAGAMENTO
Tecniche
Canale
Furto di identità informatico (phishing, social engineering, hacking, etc.)
Falsificazione di identità
Furto di identità documentale (documento di riconoscimento a nome di
persone ignare, etc.)
Falsificazione di informazioni (assegni, lettere di delega e
documentazione falsa, etc.)
Internet Banking
Filiale
Falsificazione di identità
Furto di identità documentale (documento di riconoscimento a nome di
persone ignare, etc.)
Falsificazione di informazioni (garanzie false, informazioni reddituali, etc.)
Filiale
Clonazione, contraffazione e raggiro per utilizzo carte su ATM, POS
Furto d’identità per utilizzo dati finalizzato agli acquisti on line
ATM/POS
Internet Banking
7
Un esempio applicato alla gestione di Conti Correnti e Depositi
Furto di identità informatico
1
2
3
4
Il cliente si connette all’Internet Banking della
Banca per effettuare operatività on line
Al cliente vengono carpite le credenziali
tramite e-mail fraudolente (o accessi a link
fraudolenti, virus, worm, key-logger, trojan,
etc.)
Al momento dell’operazione fraudolenta, si
attiva un alert presso il sistema di monitoraggio
dell’Ufficio Prevenzione Frodi.
A seguito della segnalazione viene richiesta
alla Contact Unit una verifica con il cliente
sull’effettuazione della disposizione stessa
Il cliente disconosce l’operazione e si reca in filiale per la
procedura di disconoscimento e dalle FF.OO. per la denuncia
della frode
L’Ufficio Prevenzione Frodi ha
attivo un sistema di
monitoraggio in modalità
real-time dell’operatività della
clientela.
Sulla base di regole definite e
sull’analisi comportamentale
della clientela, vengono
generati degli alert che, se
ritenuti sospetti, vengono
inviati alla Contact Unit per le
opportune verifiche con i clienti
e gli eventuali blocchi e
segnalazioni alle filiali
8
Dinamica della frode
Acquisizione
credenziali
Truffatore
Cliente frodato (passivo)
Il truffatore, usando dei server internet
di appoggio (esteri), invia messaggi email o inoltra infezioni virali richiedendo
azioni ad un insieme di utenti della rete
(indirizzi e-mail di clienti Banca e non)
Un utente riceve una e-mail con riferimenti e
logo di una Banca contenente la richiesta di
fornire le proprie credenziali per l’accesso al
servizio internet Banking; l’utente risponde
fornendo i dati richiesti e diventando così
“cliente passivo”.
Oppure scarica inconsciamente un virus
keylogger che traccia tutta la sua operatività
Possibili varianti per il cliente complice (attivo):
alimentazione
di carte ricaricabili
alimentazione
di ricariche telefoniche
Cliente complice (attivo)
Un altro utente, cliente di una Banca, riceve
un’altra e-mail (ad es. per offerte di lavoro
e/o di collaborazione da parte di Società
estere) e risponde alla richiesta fornendo al
truffatore le coordinate bancarie del suo
conto corrente, diventando così “cliente
attivo”
Esempi e-mail (cliente passivo)
Da: Moneta Online [mailto:[email protected]]
Inviato: giovedì 6 maggio 2010 18.47
A: xxxxxx
Oggetto: Conto bloccato - Conferma i dati
Caro Cliente ,
Moneta Online - Gruppo Intesa SanPaolo vi informa che
ci sono state nuove misure di sicurezza per le
transazioni per essere trattati senza il rischio di frode
informatica.
Quindi, tra cui il tuo account e tutte le operazioni sono
state
sospese.
Per sbloccare il tuo account e di utilizzare i nostri
servizi di nuovo e obbligatorio di confermare le
informazioni sull'account online accedendo al nostro
sito web.
Da: "Moneta Online" <[email protected]>
Data: 08 maggio 2010 07.07.38 GMT+02.00
A: xxxxxx
Rispondi a: "Moneta Online" [email protected]
La password della sua carta Flash è stata inserita
incorretto piu di tre volte!
Per proteggere la sua carta abbiamo sospeso
l`acceso.
Per recuperare l`accesso prego di ACCEDERE e
completare la pagina di attivazione.
Grazie ancora per aver scelto i servizi on-line di
carta FLASH.
I migliori saluti.
Servizio Clienti IntesaSanPaolo
Per sbloccare il tuo account e di utilizzare i nostri
servizi di nuovo CLICCA QUI .
Vi informiamo che nell tempo di 72h se non confermate
i vostri dati il conto sarà bloccato definitivamente.
Cordiali Saluti
© Moneta Online - Gruppo IntesaSanPaolo 2010
www.ds.efege.cl
www.redirectmon.kayzon.com
redirect.akin.cl
Esempio e-mail (cliente attivo) - 1
2010/04/18
Nome Societa 'Catalina POBREE
Mail [email protected]
Salve!
I nostri sondaggi hanno mostrato che 196 delle persone della Sua occupazione non sono contente delle proprie entrate mensili e
desiderano aumentarle.
Percio noi vorremmo offrirLe la possibilita di un lavoro a tempo parziale.
Per guadagnare 191-427 euro alla settimana Lei dovra spendere 2-4 ore la settimana.
Le occorrera un telefono di contatto preferibilmente cellulare, un computer ed una email. Se Lei legge queste righe, significa che
Lei ha gia tutto per il lavoro.
Il reclutamento avverra fino a fine mese, per ora ci sono rimasti 36 posti vacanti nel Suo Paese.
Questo non e un lavoro difficile, richiede attenzione e precisione. Noi le offriremo la formazione e tutto il necessario per il lavoro.
Da parte Sua non sono richiesti investimenti.
Noi saremo contenti di fornirle personalmente informazioni aggiuntive.
Noi non utilizziamo programmi di risposta automatizzati ed ogni lettera la leggiamo e rispondiamo a mano.
Per accelerare la risposta, per favore scriva al mio indirizzo email: [email protected]
Abbia l`accortezza di scrivere i seguenti Suoi dati:
1. Nome
2. Eta
3. Paese
Devo avvisarLa che la risposta potra seguire dopo qualche giorno per l`intasamento dei nostri server di posta, ma stia sicuro che
la Sua lettera sara letta e otterra risposta.
Con impazienza aspetto lettera
Direttore dell`ufficio del personale.
Esempio e-mail (cliente attivo) - 2
2010/04/08
'Adrian Business Corporation
Mail:[email protected] E
Oggetto: Retribuzione: € 2,100/mese e bonus
Salve.
Permettete di presentarvi la compagnia “Adrian Business Corporation”. Occupiamo di diritto una delle posizioni leader nel
settore dei servizi di consulting per i diversi livelli di business. La nostra compagnia fornisce servizi di consulting in tutti i
settori operativi di compagnie a qualsiasi livello. Ciò consiste nel garantire il necessario supporto ed i dati sullo stato attuale
del mercato.
Dopo aver analizzato le recenti tendenze nel campo dell’economia mondiale, abbiamo deciso di ampliare la “Adrian Business
Corporation”. Questa è stata la ragione che ha portato all’ampliamento del personale della compagnia. Da noi è possibile
incontrare persone di tutte le concezioni del mondo ed età, il che garantisce un approccio multilaterale nei confronti di
qualsiasi problema. Siamo pronti a proporvi la mansione di manager operante con i clienti presso la compagnia “Adrian
Business Corporation”. In questa lettera vi descriveremo i vostri obblighi relativi a questo posto vacante ed altresì vi
parleremo dello stipendio e dei premi.
Il lavoro principale da svolgersi per quanto riguarda la mansione di manager operante con i clienti è rappresentato dalla
riscossione e successivo invio di mezzi finanziari. Riscuoterete il pagamento dei nostri servizi dai clienti dislocati nel vostro
paese di residenza. A seguito della riscossione di mezzi finanziari dal nostro cliente, li ritrasmetterete al nostro ufficio
principale tramite qualsiasi possibile e comodo mezzo di transazione finanziaria. Non dovrete nemmeno pagare nessuna
tassa locale o addossarvi spese postali. Tutte queste spese sono a carico della nostra compagnia.
Il posto vacante in questione prevede un buon stipendio e tutti i possibili premi che dipenderanno direttamente dal
quantitativo o volume di mezzi finanziari da voi trasmessi. Esistono alcuni requisiti nei confronti dei candidati che
ambiscono a questo posto vacante. Il requisito principale e fondamentale è rappresentato dall’affidabilità e dal senso di
responsabilità di questa persona nei confronti del datore di lavoro. Apprezziamo altresì la sviluppata capacità di colloquiare
e trovare un punto d’accordo con i clienti. Vi sarà altresì indispensabile il regolare accesso alla rete Internet al fine di ricevere
le istruzioni ed il lavoro dall’ «ufficio online».
se siete interessati si prega di rispondere alle e-mail : [email protected]
Evoluzione dei sistemi di attacco
• Nuove tipologie di virus
Zeus è uno dei più famosi botnet kit “fai da te”
Il codice sorgente è stato diffuso pubblicamente nel 2011
Da allora sono comparse diverse versioni ad esempio ICE IX e Citadel, sempre sotto
forma di botnet kit vengono venduti nei forum underground e hanno introdotto nuove
funzionalità rispetto al codice originale
• Diffusione del malware
Viene distribuito sfruttando le vulnerabilità dei software di uso comune oppure mediante
operazioni di ingegneria sociale, ad esempio invogliando l’utente a visitare un link ricevuto
via email o tramite servizi offerti da note “spam botnet” per distribuzioni di email
Le email contengono un link che re-indirizza il cliente verso siti dai quali viene scaricato un
“exploit kit” che può compromettere la macchina sfruttando diverse vulnerabilità (ad
esempio del browser, e dei plugin Java, Flash e Adobe Acrobat).
Se il tentativo di compromissione del PC ha esito positivo viene scaricato sulla macchina
l’eseguibile del malware
Una macchina compromessa mostra all’utente siti fraudolenti con richieste di informazioni
aggiuntive (pswd dispositiva, PIN, CVV, OTP, etc.) utilizzabili per eludere anche i
meccanismi di autenticazione a due livelli
Un esempio applicato al processo di censimento della clientela in banca
Falsificazione di identità e furto di identità documentale
1
2
3
Il truffatore si reca in agenzia per richiedere un finanziamento,
per aprire un rapporto di c/c o il rilascio di carte ricaricabili, per
effettuare un’operazione estemporanea/occasionale di cambio
assegno o di bonifico allo sportello
Il truffatore per effettuare le operazioni in
filiale utilizza dei documenti falsi, oppure
documenti rubati con la foto sostituita
Il giorno successivo, il sistema di monitoraggio
dell’Ufficio Prevenzione Frodi evidenzia una
anomalia nei dati anagrafici. Viene quindi inviata
una mail alla filiale con il dettaglio delle verifiche
da effettuare
L’Ufficio Prevenzione Frodi ha
attivo un sistema di
monitoraggio dei rapporti
anagrafici aperti o modificati
da persone fisiche, che verifica i
dati registrati il giorno lavorativo
precedente. I casi allertati
vengono verificati in
collaborazione con le Filiali
interessate.
Gli esiti delle verifiche (frode
accertata, errore digitazione dei
dati da parte della filiale, falso
positivo) possono comportare
ulteriori approfondimenti su casi
correlati o semplici
aggiornamenti/correzioni alla
base dati
4
La filiale, appurata la potenziale e/o avvenuta frode, provvede
a chiudere il rapporto del cliente, bloccare eventuali carte e
presentare un esposto alle FF.OO., oltre alle eventuali
segnalazioni antiriciclaggio
5
Inoltre, per altri servizi/prodotti (cambio assegni allo sportello, acquisto carte ricaricabili/prepagate,
etc…) dove necessita una maggior tempestività nella rilevazione degli eventi, è stato attivato per le
filiali, al momento del censimento del cliente, un accesso in real time ad un servizio che interroga
diverse banche dati esterne e interne per la verifica delle informazioni e dei documenti presentati.
14
Un esempio applicato alla gestione delle Carte di Pagamento
Clonazione e contraffazione su ATM/POS
1
Il cliente preleva ad uno sportello
ATM o effettua un pagamento su un
POS compromesso
2
I sistemi di monitoraggio rilevano che alcune
carte transitate sull’ATM/POS in questione
hanno un’operatività anomala. Le stesse
vengono bloccate cautelativamente e viene
informato il cliente
3
A seguito di analisi successive la banca rileva il
punto di compromissione, tutte le carte
potenzialmente coinvolte che vengono bloccate
preventivamente. La procedura invia ai cliente un
sms, per notificare che la sua carta è stata bloccata
4
5
Il cliente si reca in filiale o chiama l’Help Desk per avere
informazioni: la sua carta è stata bloccata preventivamente perché
è transitata su un punto di compromissione, e quindi
potenzialmente a rischio di clonazione
Sulla base di specifici alert
vengono individuati i punti
di compromissione su ATM e
POS ed effettuati i blocchi
cautelativi e preventivi delle
carte.
In caso di manomissione
vengono raccolte tutte le
informazioni sulla tipologia
dell’apparato (marca,
modello) per effettuare le
successive analisi di
vulnerabilità e definire
eventuali azioni preventive da
porre in essere
Il cliente viene dotato in automatico di una nuova
carta in sostituzione della vecchia che dovrà
essere ritirata in filiale
15
Trasversalità delle frodi : un esempio
LOMBARDIA
Acquisto 4 carte
ricaricabili su 2 filiali
diverse in 2 giorni diversi
FRIULI V.G.
Clonazione di alcune carte
su un POS di un
distributore di benzina
EMILIA ROMAGNA (altra Banca)
PIEMONTE
residenza e filiale del
cliente
Apertura di un rapporto di C/C con rilascio di
carte e utenza internet banking
ATM
ATM/MTA
Prelievi presso diversi
ATM di qualsiasi banca
Nazionale e Internazionale
Versamento allo sportello
di assegni trafugati
durante la consegna
tramite il canale postale
Rete Internet
Ricarica delle carte
ricaricabili utilizzando
le credenziali carpite
fraudolentemente a
nostri clienti con mail di
phishing o virus vari
CAMPANIA
Ricarica da ATM delle carte
ricaricabili utilizzando le carte
clonate di Udine
16
Alcune altre sequenze della frode
N.B. il cliente dopo la prima volta,
normalmente non si presenta più in filiale
Presentazione dei documenti falsi per apertura del rapporto di c/c con utenza internet e carte
Versamenti di assegni falsi/trafugati allo sportello o preferibilmente da ATM/MTA
Bonifici disposti da Internet o prelievi effettuati con carta su ATM/pagamenti POS
Presentazione dei documenti falsi per apertura del rapporto di c/c con utenza internet e carte
Accredito bonifici da Internet (phishing)
Bonifici disposti da Internet o prelievi effettuati con carta su ATM/pagamenti POS
Presentazione dei documenti falsi per acquisto di carte ricaricabili
Accredito bonifici da Internet (phishing) con IBAN carta
Ricariche carta da Internet (phishing)
Ricariche da ATM con utilizzo di carte clonate
Prelievi effettuati con la carta su ATM o pagamenti POS
Presentazione dei documenti falsi per acquisto di carte ricaricabili
Giochi online (es. poker) o operazioni di borsellino virtuale (phishing)
Trasferimento importi da Internet e successivi prelievi con carta su ATM/pagamenti POS
Presentazione dei documenti falsi allo sportello per operazioni occasionali
Cambio immediato di assegni falsi/trafugati o bonifico per cassa (verso conto di altra banca)
17
Casistiche recenti di diffusione di altre tipologie di frodi/truffe
• Finte vendite per corrispondenza
accredito su IBAN acquisiti con documenti falsi, di ricavi da vendite per corrispondenza (es.
elettronica, telefonia, ecc…)
• Finte erogazioni ad enti di beneficenza/onlus
accredito su IBAN acquisiti con documenti falsi di ricavi da erogazioni/donazioni ad enti di
beneficenza e/o onlus
• Finta locazione appartamenti
accredito su IBAN acquisiti con documenti falsi degli anticipi di locazione
• Finta vendita motoveicoli/autoveicoli
accredito su IBAN acquisiti con documenti falsi degli importi
19
FUTURO….. cosa ci aspetta
Con l’attivazione di nuovi servizi/prodotti in particolare se online, aprire un rapporto con documenti falsi permetterà una
sempre maggiore operatività ai truffatori, di conseguenza sarà
sempre più importante
l’adeguata identificazione iniziale del
cliente
Come intendiamo attivarci……..
• Nuovi servizi offerti alla clientela
Interventi di formazione sulle Aree e sul personale di filiale nel porre maggiore attenzione
nel momento della verifica dell’identità del cliente
Fornire alla Rete ulteriori strumenti per consentire una adeguata verifica
Inserire tempestivamente i nuovi servizi nei processi/sistemi di monitoraggio in carico
all’ufficio Prevenzione Frodi per assicurare adeguati livelli di prevenzione e contrasto frodi
• Aumento attacchi su specifici canali monitorati
Analisi continua delle casistiche di frode per rafforzare i sistemi di monitoraggio già previsti
sugli specifici servizi offerti ai clienti
Sviluppo del presidio frodi in ottica enterprise (Enterprise Fraud Management)
Innovazione degli strumenti e delle modalità di intelligence per migliorare l’efficienza dei
controlli sui singoli canali
• Aggiornamento costante sui fenomeni fraudolenti
Sviluppo partnership con i vendor
Costante collaborazione con interlocutori di sistema (FF.OO, gruppi di lavoro interbancario,
ABI, UCAMP, Visa, MasterCard, etc.)