Secondo quanto riporta la Polizia Postale sarebbe stato milionario l’importo di denaro sottratto ad una nota azienda parmense, qualora non fosse stata tempestiva l’attivazione delle indagini, permettendo così di recuperare l’intera somma prima che questa venisse trasferita sul conto offshore dei truffatori.

Il caso fraudolento

I titolari dell’azienda si sarebbero resi conto che la somma di ben 1.300.000€, destinata ad un loro creditore, era stata dirottata in realtà verso una utenza finanziaria straniera diversa. La pronta denuncia rivolta alla S.O.S.C della Postale di Parma, ha consentito di smorzare sul nascere un attacco di tipo “man in the middle“.

“il raggiro prevede che un soggetto estraneo alla corrispondenza telematica fra aziende in rapporto d’affari, acceda abusivamente all’account email di una delle parti, inducendo l’obbligato, attraverso la sostituzione del corretto iban, a corrispondere quanto dovuto ad un diverso beneficiario“, si legge nel comunicato.

La vicenda evidenzia come, in questi casi, sia determinante rivolgersi immediatamente alle forze dell’ordine.

Cos’è un attacco MitM

In buona sostanza con il termine MITM (Man in the Middle) si definisce una tecnica di attacco informatico con la quale un attore malevolo riesce ad insinuarsi in una comunicazione online client/server o semplicemente tra due utenti allo scopo di intercettare lo scambio di informazioni e fingendosi una delle parti inviare false comunicazioni.

Con questi tipi di attacchi il cyber crime prende di mira principalmente richieste di pagamento nei siti e-commerce, transazioni bancarie e qualsiasi comunicazione online con scambio di credenziali.

Schema di un attacco

Si rappresenta di seguito un attacco MitM secondo uno schema suddiviso rispettivamente in intercettazione e elaborazione dell’informazione, che mira ad ottenere così l’accesso arbitrario a informazioni e credenziali.

Supponiamo che un sistema C si inserisca illecitamente nella comunicazione tra un sistema A (client) e uno B (server) e il relativo flusso dati venga deviato in modo che la connessione, prima di essere inoltrata al sistema B, passi dal sistema A a quello C. In tal caso chi presidia il sistema C è in grado di intercettare il traffico di dati e di elaboralo senza che le due parti interlocutrici ne siano consapevoli. Il sistema C si presenterà come server al sistema A e come client al sistema B.

La prevenzione prima di tutto

La migliore protezione contro un eventuale l’attacco MitM risulta la prevenzione. Di seguito alcuni consigli per attenuarne l’esposizione:

• mantenere sempre aggiornati i propri browser, sistemi operativi e antivirus;
• aggiornare periodicamente le proprie password, usandone una diversa per ogni applicazione (si consiglia l’impiego di un password manager);
• usare se possibile l’autenticazione multi fattore (MFA);
• prestare attenzione alle e-mail di dubbia provenienza, potrebbero dirottare verso siti fraudolenti o infettare con malware i dispositivi.

Nel rimarcare che gli istituti bancari non inviano mai e-mail contenenti link o allegati, sarebbe comunque opportuno che fornissero sempre ai propri clienti delle chiare informative sulle modalità di erogazione dei servizi e sui canali di comunicazione ufficiali.

Attenzione: Una connessione client/server sicura SSL/TLS e/o l’utilizzo di una VPN garantiscono solo la cifratura delle comunicazioni, ma non possono proteggere in alcun modo da una eventuale compromissione del client e del server.

I ricercatori di Avanan, una società di software di Check Point, hanno discusso di una campagna malevola in cui gli attaccanti avrebbero utilizzato il servizio Dynamic 365 Customer Voice di Microsoft per inviare dei link a pagine di phishing. 

Dynamics 365 Customer Voice, un prodotto Microsoft utilizzato principalmente per ottenere feedback dai clienti, può essere utilizzato per sondaggi di customer satisfaction e di aggregazioni dati. Purtroppo questo servizio, come riscontrato, in mano a dei criminali informatici potrebbe essere impiegato per cercare di carpire informazioni sui clienti.

La logica della truffa

Secondo la ricerca di Avanan, la campagna in esame starebbe utilizzando la tecnica denominata “The Static Expressway” che sfrutta i siti legittimi per ingannare gli scanner di sicurezza. 

“La logica è questa: i servizi di sicurezza non possono bloccare completamente Microsoft: sarebbe impossibile portare a termine qualsiasi lavoro. Al contrario, questi collegamenti da fonti attendibili tendono a essere automaticamente attendibili. Ciò ha creato una strada per gli hacker per inserirsi.[…]È incredibilmente difficile per i servizi di sicurezza scoprire cosa è reale e cosa si annida dietro il link legittimo” è il commento di Jeremy Fuch di Avanan.

Gli attaccanti abusano di link apparentemente legittimi e contenuti nelle notifiche Microsoft inviate tramite e-mail mascherate da indagine Dynamic 365, che avvisano di un presunto messaggio di posta vocale.

Se la vittima fa click sul link “new Voicemail ” viene in realtà reindirizzata a una una pagina di phishing che assomiglia a una pagina di accesso Microsoft, ma in realtà la URL non ha niente a che vedere con quella di una tipica pagina Microsoft. Si tratta di una falsa pagina di raccolta credenziali sotto il controllo degli attaccanti.

Le buone pratiche per mitigare gli attachi di phishing

Rimarcando quanto suggerito dagli stessi ricercatori Avanan, ecco alcuni utili consigli per aiutare a proteggere gli utenti dalle truffe di phishing:

• essere sempre cauti nei confronti di individui o organizzazioni che richiedono informazioni personali, prendendo sempre in considerazione il contesto di un’e-mail o di un messaggio;  
• prestare sempre attenzione alla legittimità di un’e-mail; 
• prestare sempre attenzione a fare click su collegamenti o scaricare file anche se provengono da fonti apparentemente affidabili;
• verificare le URL dei link passandoci prima sopra con il mouse per vedere in anteprima la reale corrispondenza dell’indirizzo web; 
• prestare attenzione a eventuali errori grammaticali e di ortografia nel corpo dei messaggi. 

LIONE, Francia – Due sospetti ricercati in relazione a uno schema Ponzi internazionale che ha frodato migliaia di vittime nella Repubblica di Corea sono stati arrestati in Grecia e in Italia con il supporto di INTERPOL. I sospetti polacchi e tedeschi, rispettivamente di 49 e 61 anni, erano ricercati a livello internazionale in base agli avvisi rossi di INTERPOL emessi dalle autorità coreane per il loro presunto ruolo nello schema, che ha sottratto circa 28 milioni di euro a circa 2.000 vittime coreane. Gli arresti fanno seguito al coordinamento tra gli Uffici centrali nazionali di INTERPOL in Grecia, Italia, Polonia e Repubblica di Corea, nonché con il Centro per il crimine finanziario e la lotta alla corruzione di INTERPOL (IFCACC), l’unità di supporto alle indagini sui latitanti di INTERPOL e la sua direzione per il crimine informatico.

Il sospetto polacco è stato arrestato all’autodromo di Imola a seguito di uno scambio di informazioni in tempo reale tra la BCN di Roma, l’unità investigativa della Guardia di Finanza italiana e INTERPOL. La polizia dell’aeroporto internazionale di Atene ha arrestato il sospetto tedesco mentre tentava di recarsi a Dubai dopo che un controllo dell’identità ha rilevato il suo status di “Red Notice”. La rete globale di INTERPOL sta inoltre supportando le indagini di polizia in corso in Polonia, dove i criminali legati allo schema Ponzi avrebbero truffato migliaia di vittime. Presentandosi come un’opportunità di investimento che prometteva rendimenti interessanti, lo schema ha sfruttato le chat dei social media per promuovere FutureNet, uno schema piramidale internazionale su larga scala che ha attirato investitori attraverso il passaparola e li ha incitati a reclutarne altri tra il 2016 e il 2020. Le vittime sono state indotte a credere che avrebbero beneficiato del loro investimento acquistando pacchetti pubblicitari e rivendendoli con profitto a nuovi utenti tramite YouTube e Facebook.

“Questa indagine globale sottolinea la natura critica, nell’era digitale, della collaborazione tra le forze di polizia e del rapido scambio di informazioni tramite INTERPOL riguardo ai sospetti di crimine oltre i confini internazionali”. Stephen Kavanagh, Direttore esecutivo di INTERPOL per i servizi di polizia. “Anche se c’è ancora molto lavoro da fare, i nostri ringraziamenti vanno ai colleghi di Grecia, Italia, Corea e Polonia per questi importanti arresti”, ha aggiunto Kavanagh. “Il mondo diventa più piccolo per i fuggitivi solo quando non ci sono confini, e la stretta cooperazione internazionale di polizia non è mai stata così cruciale”, ha aggiunto Kavanagh. Gli arresti rientrano nell’iniziativa Haechi di INTERPOL, sostenuta dalla Repubblica di Corea, che coordina le operazioni contro i crimini finanziari informatici.