Black box e mobile virus: le cyber-minacce ai nostri soldi in banca

Il cyber-crimine non si muove esclusivamente sulla Rete e l’uso di ransomware (virus in grado di bloccare un dispositivo fino al pagamento di un riscatto) o il furto di dati sensibili sono solo alcune delle strade percorribili dai criminauti. Decine di migliaia di bancomat rappresentano ghiotti obiettivi e l’uso della forza si fa sempre meno necessario. Le banche vanno online, e così pure le rapine. Se quelle agli sportelli sono calate del 90% dal 2007 a oggi, si fanno largo i metodi ibridi in cui allo scasso fisico si accompagna l’hackeraggio.

HACKERAGGI LOW COST. L’ultima frontiera si chiama “black box”, una piccola scatola nera che sta rapidamente diventando l’incubo dei piccoli e grandi istituti bancari. È un dispositivo realizzabile con poche decine di euro che, una volta collegato al computer del bancomat, è in grado di azionare il rullo e svuotare completamente il contenuto dei terminali Atm. Il suo funzionamento è tutto sommato elementare. È in circolazione addirittura un documento, di cui Lettera43.it è entrata in possesso, che spiega su quali tipi di dispositivi utilizzarla e le modalità con cui penetrare il bancomat. Un video che accompagna il “libretto di istruzioni” mostra invece come collegare la scatola magica al computer che regola il bancomat. Ciò che serve è un trapano per creare un foro da cui collegare la “black box”. E l’attacco richiede meno di un minuto.

Un bancomat hackerato con la “black box”. © Europol, 2017

«Il problema è noto anche nel nostro Paese», spiega Marco Iaconis, coordinatore del Centro di ricerca sulla sicurezza anticrimine Ossif, a Lettera43.it, «e anche grazie alla collaborazione con le aziende fornitrici di soluzioni di sicurezza sono stati istallati sistemi di comunicazione cifrata tra il computer del bancomat e il dispensatore di banconote». L’operazione è ancora in corso. La strategia di contrasto «è stata rapida e sta funzionando», continua Iaconis, «considerato che gli attacchi alle apparecchiature Atm con la tecnica denominata ‘black box’ nel 2016 sono stati una ventina e dall’inizio del 2017 si contano sulle dita di una mano». L’organizzazione no-profit European Atm Security Team (East) ha registrato 58 attacchi tramite “black box” in 10 Paesi in tutto il 2016. Un aumento del 287% rispetto all’anno precedente che certifica la rapida diffusione della scatola nera (entrata nei radar dell’Europol nel 2015).

FINO A 140 MILA EURO DI BOTTINO. L’ultima operazione internazionale, supportata dalla polizia europea, ha portato all’arresto di 27 persone in sette Stati del Vecchio continente: gli arrestati provenivano da Romania, Moldavia, Ucraina e Russia. L’allerta rimane alta. Un attacco simultaneo, effettuato da più gruppi verso sportelli fuori dai grandi centri urbani e lontani da telecamere e dalle più vicine stazioni di polizia, può portare a bottini ricchissimi se si pensa che un singolo bancomat conserva tra gli 80 e i 140 mila euro. Non solo. Disporre di un infiltrato all’interno di una banca o in una società di installazione consentirebbe al gruppo criminale di conoscere il momento esatto in cui gli sportelli vengono ricaricati e pianificare, così, il momento opportuno in cui colpire.

Lo scorso anno, il malware GozNym ha infiltrato 24 banche americane e canadesi tramite i dispositivi dei clienti, riuscendo a sottrarre 4 milioni di dollari in pochi giorni

ANDREA CRISTOFANINI, SECURE PATH

Secondo un recente sondaggio svolto in 10 Paesi tra Nord America ed Europa, l’anello debole in fatto di cyber-security rimangono i dispositivi mobili, laptop inclusi. Quasi un quarto di quelli in circolazione subisce una generica minaccia al mese. «Portafogli digitali e altre tecnologie che consentono alle aziende di accettare pagamenti tap&pay hanno agito come un magnete per i criminali informatici», afferma Andrea Cristofanini, fondatore della società Secure Path. Con 6,4 miliardi di dispositivi connessi alla Rete (secondo l’Internet Security Threat Report di Symantec diventeranno 21 miliardi nel 2020) è naturale che il vero tesoro per i cyber-criminali giaccia all’interno degli apparecchi che portiamo in tasca, al polso o nella borsa.

MALWARE NEI DISPOSITIVI AZIENDALI. Le banche sono tutt’altro che al sicuro anche nel mondo online. Gli istituti finanziari sono passibili di due tipi di attacchi. Il primo, e più efficace, consiste nell’indirizzare l’attacco verso i dispositivi aziendali degli impiegati. Insediare un malware all’interno, per esempio, di un cellulare aziendale, significa garantirsi l’accesso all’intera struttura informatica della società. La società di assicurazioni Lloyd’s ha stimato in 400 miliardi di euro i danni da attacchi informatici nel 2015 (9 miliardi solo in Italia, secondo Eurispes). Secondo Ibm, il 58% degli attacchi subiti da società finanziarie avviene tramite l’hackeraggio di dispositivi interni all’azienda stessa. E con la stessa tecnica vengono infettati i cellulari dei clienti. «Lo scorso anno, il malware GozNym ha infiltrato 24 banche americane e canadesi tramite i dispositivi dei clienti, riuscendo a sottrarre 4 milioni di dollari in pochi giorni», spiega Cristofanini.

Nel secondo tipo di attacco è l’utente stesso a subire il danno. In questo caso è sufficiente un malware in grado di individuare sul dispositivo una app per la gestione dell’internet banking. Al lancio dell’applicazione, il virus apre una pagina finta ma uguale (overlay) a quella originale. A questo punto l’utente inserisce le credenziali di accesso e queste vengono inviate al server dell’hacker. Il forziere è ora aperto. Sono innumerevoli i modi per installare un malware su un dispositivo: dal phishing tramite sms e pagina web fino al download di un’applicazione infetta. «Per il numero di utenti e per il fatto di essere una piattaforma open source, Android è certamente l’obiettivo più vulnerabile e quello prediletto dai criminauti», spiega Cristofanini.

IL SISTEMA PIÙ A RISCHIO? ANDROID. La possibilità di installare applicazioni da soggetti terzi rende Android meno sicuro. Secondo Forbes, il 97% del malware globale si trova su dispositivi Android. Non è insolito trovare applicazioni popolari «decostruite e decompilate da sviluppatori criminali, come per esempio Angry Birds, e pubblicate come versioni dannose disponibili gratuitamente», aggiunge il fondatore di Secure Path. Neanche la controparte Apple è inviolabile al 100%, ma tenere le librerie di sviluppo (Api, ndr) inaccessibili a sviluppatori esterni rende iOS meno vulnerabile. Le vittime sono passibili di furto di dati, di intrusioni nel conto in banca e nella posta elettronica, oppure di furti di Bitcoin tramite il portfolio virtuale dell’utente. In quest’ultimo caso al danno si aggiunge la beffa: al contrario di quanto accade per un prelievo forzato o a seguito della clonazione di una carta di credito dove l’utente viene poi rimborsato, con il furto dei Bitcoin la perdita è definitiva e irreversibile.

Questo articolo è stato pubblicato su Lettera43 l’1 giugno 2017.