La gestione e la prevenzione delle frodi esterne
Transcript
La gestione e la prevenzione delle frodi esterne
XXVI Convegno Nazionale di IT Auditing, Security e Governance BOLOGNA – 11/12 ottobre 2012 La gestione e la prevenzione delle frodi esterne Germano Boido Ufficio Prevenzione Frodi Il fenomeno delle frodi è in continua evoluzione Negli ultimi anni, il sistema bancario ha dovuto far fronte ad una rapida evoluzione delle tipologie di attacco fraudolento perpetrato attraverso i canali fisici e virtuali In assenza di adeguati strumenti di monitoraggio, i tempi di scoperta della frode (tempi di detection) inoltre stanno diventando sempre più lunghi (es. le frodi creditizie attraverso furto/falsificazione d’identità vengono scoperte entro i primi sei mesi solo in un caso su quattro) Nel 2011, è stato evidenziato un particolare aumento del numero di frodi riconducibili a fenomeni di falsificazione totale o parziale dell’identità documentale o elettronica della clientela Nel 2012 si sta verificando una crescita più generalizzata dei fenomeni fraudolenti: sui canali/servizi e di identità documentale e reddituale sulle carte di pagamento per utilizzo fraudolento tramite operatività Internet sugli ATM con sempre nuove modalità di attacco (cash trapping, ...). 2 Gli effetti delle frodi PERDITE ECONOMICHE ULTERIORI IMPATTI NEGATIVI Sfiducia nell’utilizzo di strumenti di pagamento Sfiducia nella banca Danni di immagine Costi di accertamenti e gestione delle pratiche Perdite finanziarie FRODI POSSIBILI RIPERCUSSIONI Operazioni collegate a clienti censiti con documenti falsi Operazioni derivanti da frodi on line 3 Gestione e prevenzione frodi: complessità gestite e assetto organizzativo Anagrafica clientela Retail: 20.000.000 Supporto operativo a 24 Banche italiane del Gruppo Supporto consulenziale a 3 Società Prodotto e a 11 Banche Estere Clienti Internet Banking Retail: 3.300.000 Corporate: 350.000 Carte Attive: 12.000.000 Direzione Centrale Personale e Organizzazione ATM: 7.400 POS: 200.000 Servizio Governo Sicurezza e Continuità Operativa Ufficio Prevenzione Frodi Definisce le politiche, le regole e gli standard relativi alla sicurezza e alla prevenzione delle frodi , identifica le implicazioni di natura organizzativa e presidia i rapporti istituzionali 4 Gestione e prevenzione delle frodi: attività trasversali UFFICIO PREVENZIONE FRODI Coordinare le attività di Fraud Management per il Gruppo Gestire rapporti con altre funzioni coinvolte nella gestione guidando incontri operativi e con il Top Management Mantenere un costante aggiornamento sulle tecniche di difesa più avanzate Gestire rapporti con altri player per coordinare iniziative a livello interbancario Presidiare in ottica di innovazione e miglioramento continuo Individuazione di possibili fenomeni fraudolenti per definire e attuare nuove misure di prevenzione Analisi continuativa dell’efficacia/efficienza dei sistemi di difesa in essere al fine di identificare interventi migliorativi Gestione della reportistica periodica 5 Gestione e prevenzione delle frodi: il modello di gestione L’attività di gestione e prevenzione delle frodi prevede un insieme di interventi nei differenti contesti organizzativi, procedurali e tecnologici, differenziati per specifiche tipologie di frode. Tale approccio richiede l’uso di un modello di gestione strutturato secondo quattro fasi coordinate e indirizzate da attività traversali Costante aggiornamento su fenomeni fraudolenti, confrontandosi anche con altre realtà Azioni di prevenzione di attacchi possibili o in via di preparazione Contromisure tecnologiche o di processo in risposta ad attacchi o di miglioramento continuo Incremento della consapevolezza in azienda Governo e coordinamento dell’insieme di attività necessarie per la prevenzione e la neutralizzazione dei fenomeni Individuazione degli attacchi tramite specifiche attività di monitoraggio sull’operatività della clientela Analisi di eventi avvenuti al fine di identificarne le cause 6 Gestione e prevenzione delle frodi: alcune definizioni Prevenire le frodi significa predisporre, coordinare e verificare le iniziative volte a prevenire e contrastare gli eventi fraudolenti in modo efficace e tempestivo, attraverso il monitoraggio costante dell’operatività della clientela sui diversi canali, l’analisi delle fattispecie e la definizione degli interventi da porre in essere Quali sono le principali frodi gestite in modo strutturato sui servizi bancari? Prodotti CONTI CORRENTI E DEPOSITI CREDITO E E ALTRI SERVIZI BANCARI CARTE DI PAGAMENTO Tecniche Canale Furto di identità informatico (phishing, social engineering, hacking, etc.) Falsificazione di identità Furto di identità documentale (documento di riconoscimento a nome di persone ignare, etc.) Falsificazione di informazioni (assegni, lettere di delega e documentazione falsa, etc.) Internet Banking Filiale Falsificazione di identità Furto di identità documentale (documento di riconoscimento a nome di persone ignare, etc.) Falsificazione di informazioni (garanzie false, informazioni reddituali, etc.) Filiale Clonazione, contraffazione e raggiro per utilizzo carte su ATM, POS Furto d’identità per utilizzo dati finalizzato agli acquisti on line ATM/POS Internet Banking 7 Un esempio applicato alla gestione di Conti Correnti e Depositi Furto di identità informatico 1 2 3 4 Il cliente si connette all’Internet Banking della Banca per effettuare operatività on line Al cliente vengono carpite le credenziali tramite e-mail fraudolente (o accessi a link fraudolenti, virus, worm, key-logger, trojan, etc.) Al momento dell’operazione fraudolenta, si attiva un alert presso il sistema di monitoraggio dell’Ufficio Prevenzione Frodi. A seguito della segnalazione viene richiesta alla Contact Unit una verifica con il cliente sull’effettuazione della disposizione stessa Il cliente disconosce l’operazione e si reca in filiale per la procedura di disconoscimento e dalle FF.OO. per la denuncia della frode L’Ufficio Prevenzione Frodi ha attivo un sistema di monitoraggio in modalità real-time dell’operatività della clientela. Sulla base di regole definite e sull’analisi comportamentale della clientela, vengono generati degli alert che, se ritenuti sospetti, vengono inviati alla Contact Unit per le opportune verifiche con i clienti e gli eventuali blocchi e segnalazioni alle filiali 8 Dinamica della frode Acquisizione credenziali Truffatore Cliente frodato (passivo) Il truffatore, usando dei server internet di appoggio (esteri), invia messaggi email o inoltra infezioni virali richiedendo azioni ad un insieme di utenti della rete (indirizzi e-mail di clienti Banca e non) Un utente riceve una e-mail con riferimenti e logo di una Banca contenente la richiesta di fornire le proprie credenziali per l’accesso al servizio internet Banking; l’utente risponde fornendo i dati richiesti e diventando così “cliente passivo”. Oppure scarica inconsciamente un virus keylogger che traccia tutta la sua operatività Possibili varianti per il cliente complice (attivo): alimentazione di carte ricaricabili alimentazione di ricariche telefoniche Cliente complice (attivo) Un altro utente, cliente di una Banca, riceve un’altra e-mail (ad es. per offerte di lavoro e/o di collaborazione da parte di Società estere) e risponde alla richiesta fornendo al truffatore le coordinate bancarie del suo conto corrente, diventando così “cliente attivo” Esempi e-mail (cliente passivo) Da: Moneta Online [mailto:[email protected]] Inviato: giovedì 6 maggio 2010 18.47 A: xxxxxx Oggetto: Conto bloccato - Conferma i dati Caro Cliente , Moneta Online - Gruppo Intesa SanPaolo vi informa che ci sono state nuove misure di sicurezza per le transazioni per essere trattati senza il rischio di frode informatica. Quindi, tra cui il tuo account e tutte le operazioni sono state sospese. Per sbloccare il tuo account e di utilizzare i nostri servizi di nuovo e obbligatorio di confermare le informazioni sull'account online accedendo al nostro sito web. Da: "Moneta Online" <[email protected]> Data: 08 maggio 2010 07.07.38 GMT+02.00 A: xxxxxx Rispondi a: "Moneta Online" [email protected] La password della sua carta Flash è stata inserita incorretto piu di tre volte! Per proteggere la sua carta abbiamo sospeso l`acceso. Per recuperare l`accesso prego di ACCEDERE e completare la pagina di attivazione. Grazie ancora per aver scelto i servizi on-line di carta FLASH. I migliori saluti. Servizio Clienti IntesaSanPaolo Per sbloccare il tuo account e di utilizzare i nostri servizi di nuovo CLICCA QUI . Vi informiamo che nell tempo di 72h se non confermate i vostri dati il conto sarà bloccato definitivamente. Cordiali Saluti © Moneta Online - Gruppo IntesaSanPaolo 2010 www.ds.efege.cl www.redirectmon.kayzon.com redirect.akin.cl Esempio e-mail (cliente attivo) - 1 2010/04/18 Nome Societa 'Catalina POBREE Mail [email protected] Salve! I nostri sondaggi hanno mostrato che 196 delle persone della Sua occupazione non sono contente delle proprie entrate mensili e desiderano aumentarle. Percio noi vorremmo offrirLe la possibilita di un lavoro a tempo parziale. Per guadagnare 191-427 euro alla settimana Lei dovra spendere 2-4 ore la settimana. Le occorrera un telefono di contatto preferibilmente cellulare, un computer ed una email. Se Lei legge queste righe, significa che Lei ha gia tutto per il lavoro. Il reclutamento avverra fino a fine mese, per ora ci sono rimasti 36 posti vacanti nel Suo Paese. Questo non e un lavoro difficile, richiede attenzione e precisione. Noi le offriremo la formazione e tutto il necessario per il lavoro. Da parte Sua non sono richiesti investimenti. Noi saremo contenti di fornirle personalmente informazioni aggiuntive. Noi non utilizziamo programmi di risposta automatizzati ed ogni lettera la leggiamo e rispondiamo a mano. Per accelerare la risposta, per favore scriva al mio indirizzo email: [email protected] Abbia l`accortezza di scrivere i seguenti Suoi dati: 1. Nome 2. Eta 3. Paese Devo avvisarLa che la risposta potra seguire dopo qualche giorno per l`intasamento dei nostri server di posta, ma stia sicuro che la Sua lettera sara letta e otterra risposta. Con impazienza aspetto lettera Direttore dell`ufficio del personale. Esempio e-mail (cliente attivo) - 2 2010/04/08 'Adrian Business Corporation Mail:[email protected] E Oggetto: Retribuzione: € 2,100/mese e bonus Salve. Permettete di presentarvi la compagnia “Adrian Business Corporation”. Occupiamo di diritto una delle posizioni leader nel settore dei servizi di consulting per i diversi livelli di business. La nostra compagnia fornisce servizi di consulting in tutti i settori operativi di compagnie a qualsiasi livello. Ciò consiste nel garantire il necessario supporto ed i dati sullo stato attuale del mercato. Dopo aver analizzato le recenti tendenze nel campo dell’economia mondiale, abbiamo deciso di ampliare la “Adrian Business Corporation”. Questa è stata la ragione che ha portato all’ampliamento del personale della compagnia. Da noi è possibile incontrare persone di tutte le concezioni del mondo ed età, il che garantisce un approccio multilaterale nei confronti di qualsiasi problema. Siamo pronti a proporvi la mansione di manager operante con i clienti presso la compagnia “Adrian Business Corporation”. In questa lettera vi descriveremo i vostri obblighi relativi a questo posto vacante ed altresì vi parleremo dello stipendio e dei premi. Il lavoro principale da svolgersi per quanto riguarda la mansione di manager operante con i clienti è rappresentato dalla riscossione e successivo invio di mezzi finanziari. Riscuoterete il pagamento dei nostri servizi dai clienti dislocati nel vostro paese di residenza. A seguito della riscossione di mezzi finanziari dal nostro cliente, li ritrasmetterete al nostro ufficio principale tramite qualsiasi possibile e comodo mezzo di transazione finanziaria. Non dovrete nemmeno pagare nessuna tassa locale o addossarvi spese postali. Tutte queste spese sono a carico della nostra compagnia. Il posto vacante in questione prevede un buon stipendio e tutti i possibili premi che dipenderanno direttamente dal quantitativo o volume di mezzi finanziari da voi trasmessi. Esistono alcuni requisiti nei confronti dei candidati che ambiscono a questo posto vacante. Il requisito principale e fondamentale è rappresentato dall’affidabilità e dal senso di responsabilità di questa persona nei confronti del datore di lavoro. Apprezziamo altresì la sviluppata capacità di colloquiare e trovare un punto d’accordo con i clienti. Vi sarà altresì indispensabile il regolare accesso alla rete Internet al fine di ricevere le istruzioni ed il lavoro dall’ «ufficio online». se siete interessati si prega di rispondere alle e-mail : [email protected] Evoluzione dei sistemi di attacco • Nuove tipologie di virus Zeus è uno dei più famosi botnet kit “fai da te” Il codice sorgente è stato diffuso pubblicamente nel 2011 Da allora sono comparse diverse versioni ad esempio ICE IX e Citadel, sempre sotto forma di botnet kit vengono venduti nei forum underground e hanno introdotto nuove funzionalità rispetto al codice originale • Diffusione del malware Viene distribuito sfruttando le vulnerabilità dei software di uso comune oppure mediante operazioni di ingegneria sociale, ad esempio invogliando l’utente a visitare un link ricevuto via email o tramite servizi offerti da note “spam botnet” per distribuzioni di email Le email contengono un link che re-indirizza il cliente verso siti dai quali viene scaricato un “exploit kit” che può compromettere la macchina sfruttando diverse vulnerabilità (ad esempio del browser, e dei plugin Java, Flash e Adobe Acrobat). Se il tentativo di compromissione del PC ha esito positivo viene scaricato sulla macchina l’eseguibile del malware Una macchina compromessa mostra all’utente siti fraudolenti con richieste di informazioni aggiuntive (pswd dispositiva, PIN, CVV, OTP, etc.) utilizzabili per eludere anche i meccanismi di autenticazione a due livelli Un esempio applicato al processo di censimento della clientela in banca Falsificazione di identità e furto di identità documentale 1 2 3 Il truffatore si reca in agenzia per richiedere un finanziamento, per aprire un rapporto di c/c o il rilascio di carte ricaricabili, per effettuare un’operazione estemporanea/occasionale di cambio assegno o di bonifico allo sportello Il truffatore per effettuare le operazioni in filiale utilizza dei documenti falsi, oppure documenti rubati con la foto sostituita Il giorno successivo, il sistema di monitoraggio dell’Ufficio Prevenzione Frodi evidenzia una anomalia nei dati anagrafici. Viene quindi inviata una mail alla filiale con il dettaglio delle verifiche da effettuare L’Ufficio Prevenzione Frodi ha attivo un sistema di monitoraggio dei rapporti anagrafici aperti o modificati da persone fisiche, che verifica i dati registrati il giorno lavorativo precedente. I casi allertati vengono verificati in collaborazione con le Filiali interessate. Gli esiti delle verifiche (frode accertata, errore digitazione dei dati da parte della filiale, falso positivo) possono comportare ulteriori approfondimenti su casi correlati o semplici aggiornamenti/correzioni alla base dati 4 La filiale, appurata la potenziale e/o avvenuta frode, provvede a chiudere il rapporto del cliente, bloccare eventuali carte e presentare un esposto alle FF.OO., oltre alle eventuali segnalazioni antiriciclaggio 5 Inoltre, per altri servizi/prodotti (cambio assegni allo sportello, acquisto carte ricaricabili/prepagate, etc…) dove necessita una maggior tempestività nella rilevazione degli eventi, è stato attivato per le filiali, al momento del censimento del cliente, un accesso in real time ad un servizio che interroga diverse banche dati esterne e interne per la verifica delle informazioni e dei documenti presentati. 14 Un esempio applicato alla gestione delle Carte di Pagamento Clonazione e contraffazione su ATM/POS 1 Il cliente preleva ad uno sportello ATM o effettua un pagamento su un POS compromesso 2 I sistemi di monitoraggio rilevano che alcune carte transitate sull’ATM/POS in questione hanno un’operatività anomala. Le stesse vengono bloccate cautelativamente e viene informato il cliente 3 A seguito di analisi successive la banca rileva il punto di compromissione, tutte le carte potenzialmente coinvolte che vengono bloccate preventivamente. La procedura invia ai cliente un sms, per notificare che la sua carta è stata bloccata 4 5 Il cliente si reca in filiale o chiama l’Help Desk per avere informazioni: la sua carta è stata bloccata preventivamente perché è transitata su un punto di compromissione, e quindi potenzialmente a rischio di clonazione Sulla base di specifici alert vengono individuati i punti di compromissione su ATM e POS ed effettuati i blocchi cautelativi e preventivi delle carte. In caso di manomissione vengono raccolte tutte le informazioni sulla tipologia dell’apparato (marca, modello) per effettuare le successive analisi di vulnerabilità e definire eventuali azioni preventive da porre in essere Il cliente viene dotato in automatico di una nuova carta in sostituzione della vecchia che dovrà essere ritirata in filiale 15 Trasversalità delle frodi : un esempio LOMBARDIA Acquisto 4 carte ricaricabili su 2 filiali diverse in 2 giorni diversi FRIULI V.G. Clonazione di alcune carte su un POS di un distributore di benzina EMILIA ROMAGNA (altra Banca) PIEMONTE residenza e filiale del cliente Apertura di un rapporto di C/C con rilascio di carte e utenza internet banking ATM ATM/MTA Prelievi presso diversi ATM di qualsiasi banca Nazionale e Internazionale Versamento allo sportello di assegni trafugati durante la consegna tramite il canale postale Rete Internet Ricarica delle carte ricaricabili utilizzando le credenziali carpite fraudolentemente a nostri clienti con mail di phishing o virus vari CAMPANIA Ricarica da ATM delle carte ricaricabili utilizzando le carte clonate di Udine 16 Alcune altre sequenze della frode N.B. il cliente dopo la prima volta, normalmente non si presenta più in filiale Presentazione dei documenti falsi per apertura del rapporto di c/c con utenza internet e carte Versamenti di assegni falsi/trafugati allo sportello o preferibilmente da ATM/MTA Bonifici disposti da Internet o prelievi effettuati con carta su ATM/pagamenti POS Presentazione dei documenti falsi per apertura del rapporto di c/c con utenza internet e carte Accredito bonifici da Internet (phishing) Bonifici disposti da Internet o prelievi effettuati con carta su ATM/pagamenti POS Presentazione dei documenti falsi per acquisto di carte ricaricabili Accredito bonifici da Internet (phishing) con IBAN carta Ricariche carta da Internet (phishing) Ricariche da ATM con utilizzo di carte clonate Prelievi effettuati con la carta su ATM o pagamenti POS Presentazione dei documenti falsi per acquisto di carte ricaricabili Giochi online (es. poker) o operazioni di borsellino virtuale (phishing) Trasferimento importi da Internet e successivi prelievi con carta su ATM/pagamenti POS Presentazione dei documenti falsi allo sportello per operazioni occasionali Cambio immediato di assegni falsi/trafugati o bonifico per cassa (verso conto di altra banca) 17 Casistiche recenti di diffusione di altre tipologie di frodi/truffe • Finte vendite per corrispondenza accredito su IBAN acquisiti con documenti falsi, di ricavi da vendite per corrispondenza (es. elettronica, telefonia, ecc…) • Finte erogazioni ad enti di beneficenza/onlus accredito su IBAN acquisiti con documenti falsi di ricavi da erogazioni/donazioni ad enti di beneficenza e/o onlus • Finta locazione appartamenti accredito su IBAN acquisiti con documenti falsi degli anticipi di locazione • Finta vendita motoveicoli/autoveicoli accredito su IBAN acquisiti con documenti falsi degli importi 19 FUTURO….. cosa ci aspetta Con l’attivazione di nuovi servizi/prodotti in particolare se online, aprire un rapporto con documenti falsi permetterà una sempre maggiore operatività ai truffatori, di conseguenza sarà sempre più importante l’adeguata identificazione iniziale del cliente Come intendiamo attivarci…….. • Nuovi servizi offerti alla clientela Interventi di formazione sulle Aree e sul personale di filiale nel porre maggiore attenzione nel momento della verifica dell’identità del cliente Fornire alla Rete ulteriori strumenti per consentire una adeguata verifica Inserire tempestivamente i nuovi servizi nei processi/sistemi di monitoraggio in carico all’ufficio Prevenzione Frodi per assicurare adeguati livelli di prevenzione e contrasto frodi • Aumento attacchi su specifici canali monitorati Analisi continua delle casistiche di frode per rafforzare i sistemi di monitoraggio già previsti sugli specifici servizi offerti ai clienti Sviluppo del presidio frodi in ottica enterprise (Enterprise Fraud Management) Innovazione degli strumenti e delle modalità di intelligence per migliorare l’efficienza dei controlli sui singoli canali • Aggiornamento costante sui fenomeni fraudolenti Sviluppo partnership con i vendor Costante collaborazione con interlocutori di sistema (FF.OO, gruppi di lavoro interbancario, ABI, UCAMP, Visa, MasterCard, etc.)