Finte PEC per attaccare i conti correnti

Security Awareness
17 Maggio 2018

L’operazione denominata “Fraudatores”, avviata nel febbraio 2018 dal Nucleo Investigativo del Comando Provinciale Carabinieri di Messina, ha portato all’arresto di cinque uomini, ora accusati di associazione a delinquere finalizzata alla frode informatica. L’organizzazione, con base nella fascia ionica reggina, ma attiva sull’intero territorio nazionale, era specializzata nel furto di denaro online, operato in diverse centinaia di conti correnti bancari.

Gli hacker sono riusciti ad interporsi tra i titolari dei conti correnti online e i rispettivi istituti, tramite una modalità di attacco cyber conosciuta come “man in the middle”, cioè inserirsi segretamente nella comunicazione tra due parti che credono di comunicare direttamente tra di loro.

Tramite questa tecnica le vittime, credendo di parlare direttamente con la propria banca, hanno rivelato le proprie credenziali di accesso dei conti correnti all’organizzazione criminale. Con queste credenziali i pirati informatici hanno iniziato una serie di operazioni di “home-banking”: dai conti correnti dotati di maggiore disponibilità hanno fatto partire dei bonifici verso conti bancari controllati tramite terzi dagli stessi pirati informatici; con i conti correnti minori si sono limitati a effettuare acquisti online, fino a prosciugarli. Tanti gli istituti di credito oggetto della truffa, con centinaia di conti correnti che sono stati saccheggiati grazie a PEC false, scambiate dalle ignare vittime, per le PEC degli istituti.

L’organizzazione è stata infatti in grado di modificare gli indirizzi di posta elettronica certificata di banche online italiane ed estere sui principali siti web istituzionali ( come www.inipec.gov.it, www.registroimprese.it).  “Ad esempio, è stata creata la mail fraudolenta ingdirect@pec.it al posto di quella ing.bank@legalmail.it oppure quella fraudolenta chebanca@pec.it al posto di chebanca.pec@legalmail.it” hanno spiegato gli investigatori.

La notizia è importantissima, in quanto si parla di un attacco hacker che mette in discussione la sicurezza del sistema PEC (posta elettronica certificata), fino ad oggi considerato un muro invalicabile per le operazioni di frode online.

In questo scenario dove il meccanismo truffaldino messo in piedi da questa organizzazione risultava particolarmente sofisticato, si deve sempre sottolineare l’importanza di agire con cautela e di dare il giusto peso alle proprie azioni. In linea di massima bisogna sempre evitare, di fornire le proprie credenziali, soprattutto la password, a fronte di richieste ricevute via mail. Bisogna evitare sempre di agire impulsivamente e fare tutte le verifiche del caso prima di fare un’azione che potrebbe avere risvolti pericolosi. Nome utente e password sono informazioni riservate e vanno tutelate. In alcuni casi si può anche prevedere di chiamare il “call center” della propria banca online per verificare se la richiesta ricevuta via mail è autentica oppure no.

Articoli correlati