La notizia sta girando sui principali quotidiani italiani: un caso da manuale di attacco "man in the mail". Un'azienda vede i bonfici dirottati, il debitore le fa causa. Il tribunale di Milano condanna la vittima a saldare i debiti.
La frode milanese: i fatti
In questa vicenda ci sono due parti in causa: una azienda creditrice e una debitrice legate tra loro da contratto. L'azienda debitrice bonifica la somma dovuta alla creditrice, la quale lamenta però di non aver ricevuto il pagamento. Le parti finiscono in causa. Qui si materializza lo spettro del cyber attacco, concretizzato poi dai fatti.
L'azienda debitrice ha subito un caso da manuale di attacco man in the mail: si intende, con questo, una parte terza che si è intromessa negli scambi email tra l'azienda debitrice e quella creditrice. In dettaglio ha violato l'account email di un responsabile dei pagamenti dell'azienda creditrice ed ha avuto accesso agli scambi email aziendali. Ha quindi indicato all'azienda debitrice un IBAN diverso da quello dell'azienda creditrice per saldare il corrispettivo dovuto, ovviamente rubando l'identità dell'azienda creditrice. In pratica l'attaccante ha dirottato i pagamenti ed ha provveduto a ritirarli prontamente non appena accreditati dalla banca.
Man in the mail: qualche dettaglio
In questo tipo di attacco, un soggetto terzo attaccante si inserisce tra due interlocutori ed ha accesso ai loro scambi. Intrattiene quindi rapporti con uno degli interlocutori a finalità fradutolente impersonificando l'altro interlocutore. In termini generali è chiamato "man in the middle", letteralmente "l'uomo in mezzo": se però l'attacco è portato via email prende il nome di man in the mail.
Perchè sia possibile impersonificare l'interlocutore l'attaccante deve disporre di molte informazioni su entrambi i protagonisti degli scambi: queste informazioni possono derivare da un dipendente infedele dell'azienda stessa ma, nella maggior parte dei casi sono ottenute spulciando fonti pubbliche (social, siti web ecc...) o tramite tecniche di ingegneria sociale.
A questo punto l'attaccante, oltre a dirottare la conversazione, può effettuare una serie di attacchi:
- accedere ad altri account collegati all'indirizzo email violato;
- accedere ai dispositivi in uso della vittima, anche a finalità di iniezione di malware. Molto spesso infatti, alla violazione degli account, seguono ulteriori attacchi di phishing;
- continuare a monitorare le conversazioni e condurre altre frodi.
La sentenza del tribunale di Milano: l'azienda debitrice deve pagare due volte
Ricostruito l'attacco, arriva la sentenza del Tribunale civile di Milano che condanna l'azienda debitrice a pagare di nuovo. L'azienda debitrice quindi deve pagare due volte nonostate non abbia subito alcun attacco informatico ai propri account email e nonostante avesse già proceduto a bonificare la somma dovuta.
La motivazione è che per il Trubunale il pagamento via bonifico, per quanto concordato e autorizzato dal crediore, non sposta il rischio del mancato buon fine. Questo resta cioè a gravare sempre sul debitore e si estingue solo una volta che il creditore entra nella disponibilità giuridica della somma. Questo resta valido "anche a voler ritenere che le email ricevute dall’indirizzo telematico del creditore fossero idonee nel caso concreto ad indurre in errore la società debitrice, e che quindi essa abbia eseguito in buona fede i bonifici sul conto corrente Unicredit», come si legge nella sentenza.
Così l'aziena debitrice, pur priva di colpe, dovrà pagare due volte l'azienda creditrice responsabile, tra l'altro, di scarsa protezione dei propri account email. Anche Unicredit, la banca del bonificante, si è scrollata di dosso ogni responsabilità specificando che in caso non vi sia corrispondenza tra beneficiario e IBAN, considera solo l'IBAN e non si ritiene obbligata ad avvertire dell'incongruenza.
Come si possono evitare situazioni come queste?
Questi attacchi sono molto insidiosi perchè più che fare leva sul dispositivo in uso alla vittima, fanno leva sulla vittima stessa. Sono i classici casi ingegneria sociale che ribadiscono come l'anello più debole della catena cyber security non sia il PC, ma chi gli è seduto di fronte.
Esistono alcuni modi per difendersi, primo tra tutti è formare il personale, sopratutto quello che ha accesso alle riserve, affinchè sia anzitutto consapevole dell'esistenza di questa tipologia di attacchi e perchè riceva istruzioni su come comportarsi in caso di ricezione di email sospette. Anche fornire protocolli da attivare per effettuare verifiche prima dei pagamenti è molto utile.
L'altro aspetto da considerare è che la sicurezza informatica è una catena continua che non tiene conto dei "confini" tra aziende: la sicurezza informatica di un'azienda è collegata alla sicurezza informatica dei partner, dei collaboratori, dei clienti. E' una vera e propria filiera e, come prevede anche il GDPR, l'impostazione dio cyber security dei soggetti di un'azienda con la quale si vuole collaborare è un fattore da tenere di conto nella scelta.
Il problema della filiera della cyber security è ormai all'ordine del giorno e in casi ben più gravi e spinosi di un "semplice" attacco man-in-the-mail. E' il caso degli attacchi supply chain.
Nessun commento:
Posta un commento