23 Gen LA C.D TRUFFA BOXING QUALE MODALITA’ PERSUASIVA NELL’ATTACCO PHISHING
LA C.D TRUFFA BOXING QUALE MODALITA’ PERSUASIVA NELL’ATTACCO PHISHING
Può accadere che durante la fase di invio di uno strumento di pagamento al legittimo destinatario il medesimo sia intercettato da malfattori che, in un secondo momento, attraverso l’impiego di ulteriori tecniche di social engineering riescano con esso a compiere operazioni fraudolente.
E’ questa la c.d frode del boxing, capace di porre lo strumento di pagamento così acquisito nella effettiva disponibilità dell’hacker unitamente alle informazioni sull’utente cui è destinato presenti nel plico di invio.
Tali informazioni, una volta esibite nel successivo contatto con la vittima, indurranno la vittima a cedere ulteriori dati senza dubitare della veridicità del contatto.
Non vi sono dubbi infatti che il materiale possesso di una carta di pagamento permetta all’attaccante la creazione di un più accurato scenario di truffa, coerente e maggiormente credibile per la vittima, all’interno del quale le informazioni così ottenute sul cliente insieme al pan della carta permetteranno all’hacker una più efficace impersonificazione dell’intermediario.
Non vi è dubbio, infatti, che il successo di una frode informatica è dovuto in larga parte alla costruzione di un c.d. pretesto capace di generare fiducia nel soggetto colpito e impedire che in esso possano insorgere dubbi su quanto stia accadendo e gli venga comunicato.
Sotto il profilo esecutivo, l’attacco in esame, se unito a ulteriori tecniche di ingegneria sociale, avrà come effetto quello di trasformare un semplice attacco di deceptive phishing, basato sull’invio a ignoti destinatari di comunicazioni apparentemente provenienti da enti attendibili al fine di ottenere la cessione di dati, in un più complesso attacco di spear phishing, caratterizzato da una più accurata conoscenza della vittima e, quindi, una costruzione della frode non più causale ma anzi mirata e quindi più ingannevole.
Nella prassi, infatti, l’attacco boxing dopo l’acquisizione da parte dell’hacker dello strumento di pagamento, prosegue con un successivo contatto con il destinatario dello stesso, utile a ottenere le credenziali per la sua attivazione attraverso l’accesso al servizio di home banking.
Tale contatto è spesso eseguito con tecniche di spoofing, cui fanno da ulteriore rinforzo l’impiego anche di vishing (phishing telefonico) spesso anch’esso eseguito con metodiche di spoofing (c.d. Caller Id spoofing).
L’attaccante, infatti, attraverso l’invio di un messaggio con mittente camuffato (sms spoofing) comunicherà alla vittima la necessità di attivare la carta in fase di rinnovo con non meglio precisate modalità on line. A tale scopo, spesso, viene inviato un ulteriore sms contenente nel corpo di testo l’indicazione di un pin ( falso) attivabile con procedure on line.
Questo ulteriore messaggio ha il solo scopo di rendere credibile la narrazione dell’hacker relativa alla possibilità di attivazione della carta con modalità on line.
L’sms artefatto ricevuto inizialmente dalla vittima contiene al suo interno un link che invece servirà, una volta cliccato dal destinatario alla cessione da parte di quest’ultimo di dati di accesso al conto su di una fake page, dal quale l’hacker procederà l’attivazione della carta sottratta ed al suo successivo impiego.
E’ utile, nel merito, comprendere l’evidente maggiore qualità dell’attacco informatico generata dai dati raccolti attraverso la sottrazione dello strumento di pagamento con tecniche di boxing, poiché i dati così raccolti una volta comunicati al cliente nel successivo contatto lo renderanno assolutamente certo di essere al cospetto del proprio intermediario e di stare cooperando ad una azione nel suo interesse.
Un aspetto, quello descritto, che non solo permette l’esecuzione di un più efficace attacco di spear phishing, nei termini esaminati, ma soprattutto facilità la trasmissione di dati da parte della vittima, così come affermato da una recente decisione dell’Arbitro Bancario.1
Circostanza che rileva non solo sotto il profilo della valutazione di eventuali profili di colpa grave nella condotta della vittima, ma anche sotto quello delle carenze organizzative dell’intermediario per quanto attiene alla sicurezza dell’invio dello strumento di pagamento al cliente.
L’articolo 8 del D.Lgs 11/2010 al comma secondo, infatti, pone a carico all’intermediario i potenziali rischi legati alla spedizione di uno strumento di pagamento e delle relative credenziali personalizzate, con l’effetto di mettere in evidenza nella frode del c.d. boxing una mancata adozione di presidi di sicurezza idonea per ciò che attiene alla spedizione dello strumento di pagamento.2
Una cautela che deve essere letta nel più ampio onere di diligenza prescritto a carico dell’intermediario nella prestazione di servizi di pagamento e che ha come parametro di riferimento quello dell’accorto banchiere.3
Dall’analisi che precede la truffa del boxing palesa non solo la propria attitudine a colpire efficacemente la sicurezza della fase di invio dello strumento di pagamento, ma anche di integrarsi in un più completo attacco phishing e permettere così l’attivazione della carta inizialmente sottratta e con essa l’esecuzione di operazioni fraudolente.
La capacità della truffa del boxing di fornire elementi sui quali costruire un successivo phishing attack deve essere quindi particolarmente valorizzata in quanto in tale successiva fase, eseguita come detto con tecniche di spoofing, si avrà una maggiore qualità delle tecniche impiegate resa possibile dalla collection di dati così acquisita.
Un aspetto che rileva soprattutto sotto il profilo della possibilità di rimborso delle operazioni fraudolente così eseguite in danno alla vittima, in quanto agli oneri di diligenza posti a carico dell’intermediario dall’articolo 8 del D.lgs 11/2010 si aggiungono anche quelli probatori del successivo articolo 10.
Ed invero la richiamata giurisprudenza dell’Arbitro Bancario attribuisce in tali casi un concorso di colpa prevalente a carico dell’intermediario rispetto a quello attribuito all’utente per aver ceduto le proprie credenziali di accesso in tale contesto, proprio in considerazione delle carenze organizzative in fase di invio della carta e del più complesso attacco phishing che ne è seguito.
L’elemento che però sembra non essere valorizzato è quello relativo ad una incolpevole cessione di dati da parte dell’utente all’interno di un attacco informatico che lo stesso Arbitro ha valutato come più sofisticato rispetto al comune phishing.4
Se così è, infatti, non si è in presenza di una colpevole credulità della vittima caduta ingenuamente in uno schema di frode ormai notorio, bensì in più sofisticato attacco in cui si impiegano sinergicamente più tecniche di ingegneria sociale (caller id spoofing e sms spoofing) che muovono dal materiale possesso di dati “autentici” della vittima, intercettati dal malfattore attraverso la captazione della comunicazione inviata al cliente contente la propria carta.5
In conclusione la collocazione di un attacco boxing all’interno di un attacco phishing genera senza dubbio un notevole aggravamento della capacità decettiva dell’attacco che ne segue, quale elemento idoneo a attribuire una maggiore coerenza e una veridicità “potenziata” alle tecniche di social engineering utilizzate dal malfattore nel successivo contatto con il soggetto target.
Elemento che dovrà trovare idonea valorizzazione non solo sotto il profilo della violazione dei presidi di sicurezza legati all’invio dello strumento di pagamento ex art. 8 D.Lgs 11/2010 ma anche e soprattutto sotto il profilo della carenza di colpa grave della vittima per la cessione di dati in uno schema di frode non solo altamente ingannevole ma, soprattutto, in grado di ingenerare nel soggetto un incolpevole affidamento della vittima nello scenario di frode all’interno del quale cede i propri dati.
Avv. Francesco Cocchi
Note
1ABF, Collegio di Milano, decisione n. 14837/2021.
2ABF, Collegio di Roma. Decisione n. 18265/2021, conformi Collegio di Roma, decisione n.9881/2021 e di Bologna decisione n. 26744/2021.
3Ex multis Cassazione, sentenza n.2950/2017;
4ABF, Collegio di Milano Cit..
5Così ABF Collegio di Milano, Cit.