L’obiettivo è farsi autorizzare un trasferimento, non lasciando tracce

La minaccia del cybercrime verso il settore bancario sta crescendo in tutto il mondo. Lo confermano i numerosi attacchi alle infrastrutture di molti istituti e gruppi del settore. In questo contesto, si sta lavorando per incrementare la sicurezza informatica delle reti, anche con i coinvolgimenti dei governi. Storicamente il Telex (TT) è stato il metodo più usato per inviare le istruzioni per i pagamenti oltreoceano tra istituzioni bancarie. La necessità di avere maggiore sicurezza e facilità d’impiego, hanno portato alla nascita e all’utilizzo dei sistemi informatici. In particolare di uno, creato nel 1977 dalla Society for Worldwide Interbank Financial Telecommunication: lo SWIFT. Questo a oggi gestisce quasi un milione di messaggi ogni giorno, da parte di più di 11.000 banche in 200 paesi. A seguito di ciò, SWIFT è finito nel mirino dei cyber criminali. Tanto che nel 2016 sono stati rubati 81 milioni di dollari alla Bank of Bangladesh.

Come funzionano questi attacchi?

Gli hacker del cybercrime tipicamente inviano istruzioni di pagamento fraudolente, impersonando un operatore o un’istituzione bancaria. Parallelamente, manipolano alcuni dati per coprire le loro tracce. Tutta la procedura avviene in 5 fasi. Nella prima viene compromesso l’ambiente bancario attraverso varie tecniche. Dallo sfruttare le vulnerabilità dei sistemi e dei server su internet al rubare le credenziali degli impiegati. Ciò grazie all’ingegneria sociale o inviando email di phishing. Le vittime, peraltro, solitamente vengono identificate a seguito delle informazioni pubblicate sui loro social media. La fase 2 prevede che gli attaccanti siano riusciti a entrare nel network della banca. Questi cercano di estrarre le credenziali di utenti autorizzati a creare, approvare e a inviare pagamenti dai sistemi locali alla rete globale.

Gli hacker inviano informazioni di pagamento fraudolente a utenti fittizi

La terza fase vede gli hacker inviare i messaggi ai server centrali, impersonando operatori ignari. Chiaramente, i destinatari dei pagamenti hanno identità fittizie. Ciò per evitare che le autorità li rilevino. Quarto passo è inoculare nei sistemi un malware per compromettere alcune applicazioni che minacciano il buon esito dell’operazione. In particolare, il cybercrime punta a eliminare tutti i sistemi che notificano agli utenti la conferma dei pagamenti globali effettuati. L’obiettivo è prendere tempo, manipolando il registro locale dei messaggi. Ultimo step, infine, è quello di cancellare le tracce. Gli hacker cancellano i system event logs, il malware e tutto ciò che potrebbe contenere elementi utili a identificare le istruzioni fraudolente.

Le banche devono fronteggiare anche alte minacce cyber come i ransomware

Non ci sono, comunque, solo questo tipo di attacchi. Il settore bancario globale deve difendersi anche dai tentativi di altro tipo con i ransomware. Il cybercrime ha cominciato circa 10 anni fa a bersagliare il settore con il malware Zeus Trojan. Poi, si è evoluto adottando Cryptolocker. Questo criptava file critici sul sistema e le vittime per sbloccarli dovevano pagare un riscatto in BitCoin. Più recentemente, inoltre, è arrivata una nuova minaccia ancora più pericolosa. Si chiama Mamba e non inibisce solo i file critici, ma l’intero hard disk, incluso il bootloader. L’unico modo per risolvere il problema, senza pagare, è avere una copia di backup dell’intero sistema da caricare in caso di emergenza. A patto, però, che questa non si trovi sulla condivisione di rete. In questo caso, Mamba la cripterà come tutti gli altri file.