Survey sul furto di identità elettronica tramite Internet

Transcript

1 Convegno ABI Banche e Sicurezza 2007 Roma, 22 Maggio 2007 Survey sul furto di identità elettronica tramite Internet Romano Stasi Responsabile Segreteria Tecnica ABI Lab Frodi informatiche e truffe on line Il canale internet si presta a TRUFFE (Artifizi e raggiri) e FRODI INFORMATICHE E importante mantenere linee di azione differenziate ma coerenti in termini di comunicazione alla clientela -2-

2 Ultimi attacchi Obiettivi degli attacchi di phishing Poste Italiane 87,11% Tecniche utilizzate per ospitare i siti clone Fonte: Anti-phishing.it Hosting Abusivo Dominio dedicato Phishing via Fax -3- La survey sul furto d identitd identità elettronica: il campione delle banche rispondenti Ad oggi hanno risposto 14 banche, che totalizzano circa 4,6 milioni di conti on-line abilitati, pari a circa il 56% del totale nazionale e che corrispondono a poco più di 2,5 milioni di conti on-line attivi, pari a circa il 51% del totale nazionale Rappresentatività del campione in termini di conti on-line 44% 56% Sono stati rilevati attacchi alle identità elettroniche nei confronti dei clienti di 11 banche, pari al 79% del campione, che rappresenta però una platea potenziale pari a circa il 94% del totale dei conti on-line attivi rappresentati dalla rilevazione Conti attivi Target di attacchi di furto d identità elettronica rispetto alle banche campione 6% 94% -4-

3 Dimensionamento del fenomeno (1/2) Sul totale dei 2,5 milioni di conti on-line attivi cui fa riferimento il campione, il numero stimato di clienti che ha ceduto le credenziali digitali a seguito di furto di identità elettronica rappresenta una percentuale pari approssimativamente allo 0,05% del totale. Tale valore percentuale costituisce un sensibile decremento rispetto al valore analogo rilevato lo scorso anno, pari allo 0,24%, a testimonianza dell accresciuta consapevolezza anche da parte dei clienti sulle differenti modalità di perpetrazione delle frodi. % clienti attivi on line che hanno ceduto le credenziali digitali 0,3 0,25% 0,2 0,15% 0,1 0,05% 0,0 0,24% 0,05% Dimensionamento del fenomeno (2/2) Il numero stimato di clienti che ha perso denaro a seguito di furto di identità elettronica rappresenta una percentuale di poco minore allo 0,01% del totale dei conti attivi censiti. Anche tale valore percentuale evidenzia un decremento rispetto alla precedente rilevazione, che riportava un dato pari allo 0,03%. % clienti attivi on line che hanno avuto un danno economico 0,04% 0,03% 0,03% 0,02% 0,02% 0,01% 0,01% 0,0 0,03% 0,01%

4 Rilevazione del fenomeno Circa la metà delle banche i cui clienti hanno ricevuto attacchi hanno riportato come fonte più frequente di prima segnalazione degli attacchi in corso il cliente stesso. Dal cliente Dalla banca Dalle FF.OO 9,1% 36,4% 36,4% 9,1% 9,1% 9,1% 9,1% 90,9% 36,4% 36,4% 9,1% Si evidenzia come più della metà del campione in esame abbia apposite strutture interne di monitoraggio dalle quali provengono le prime segnalazioni. 0, 20, 40, 60, 80, 100, Molto alta (>9) Alta (70-9) Media (30-7) Bassa (10-3) Molto bassa (<1) 4 35% 3 25% 2 15% 1 5% Tempo medio di rilevazione e reazione 36% 36% 18% 9% < 12h 12-24h 24-48h >48h Il tempo medio di rilevazione degli attacchi si può stimare in circa 21 ore, a testimonianza dell alta reattività del sistema all insorgere di nuove minacce Modalità di attacco Il furto delle credenziali Phishing Crimeware Altro Molto alta (>9) Alta (70-9) Media (30-7) Bassa (10-3) Molto bassa (<1) Il crimeware si conferma il vettore più diffuso per la realizzazione di attacchi all identità elettronica dei clienti. Ciononostante il phishing continua ad essere una modalità di frode con una percentuale di successo non trascurabile. Si nota infine una componente non nulla legata a tipologie alternative di attacco, a conferma della tendenza dei frodatori a cercare vie diverse per portare a termine il crimine rispetto alle tipologie più largamente conosciute

5 Modalità di attacco Il primo bonifico Ricariche telefoniche Carte prepagate Conto d'appoggio in Italia (altra banca) Conto d'appoggio in Italia (stessa banca) Conto estero Molto alta (>9) Alta (70-9) Media (30-7) Bassa (10-3) Molto bassa (<1) Il primo bonifico viene effettuato con frequenza molto alta su un conto d appoggio in Italia. Nella maggior parte dei casi rilevati il conto destinatario di tale bonifico non risiede nella stessa banca del conto emittente. In crescita le segnalazioni relative a bonifici effettuati su carte prepagate e/o mediante ricariche telefoniche. In diminuzione i bonifici effettuati direttamente su conti correnti all estero. -9- Attività della banca Sensibilizzazione clientela Tutte le banche, compresi anche gli istituti che non hanno ancora mai avuto evidenze di attacchi rivolti ai propri clienti, hanno avviato azioni di sensibilizzazione, utilizzando i differenti canali di contatto disponibili 75% 5 25% Informativa sul portale di homebanking Informativa presso le filiali 57% Informativa contrattualistica 57% 36% Informativa via posta tradizionale 21% Tutte le banche hanno pubblicato apposite informative sul web alcune banche anche con il controllo remoto del PC dell utente Oltre la metà delle banche intervistate fornisce informazioni anche direttamente in filiale Acquista sempre più importanza l informativa alla clientela collegata agli elementi contrattuali -10-

6 Attività della banca Formazione interna Il 93% del campione complessivo ha avviato azioni di formazione interna per fornire supporto ai propri clienti nel caso in cui rimanessero vittime di frodi telematiche 75% 5 25% Formazione personale di filiale 64% Formazione help desk 71% Formazione Call Centre 86% Screen saver dedicati 7% L attività di formazione più diffusa ha riguardato il call centre, che è un ottimo supporto alla clientela in momenti di attacco diffuso (Phishing) Segue la formazione dell help desk tecnologico dedicato alla clientela e non mancano iniziative verso il personale di filiale -11- Attività della banca Strumenti tecnologici L 86% del campione intervistato ha adottato appositi strumenti tecnologici interni per effettuare attività di monitoraggio e prevenzione Necessità di un evoluzione continua delle regole di filtraggio e monitoraggio 75% 5 25% 71% Strumenti per il monitoraggio transazioni sviluppati dalla banca 14% Strumenti per il monitoraggio transazioni sviluppati da fornitori esterni 57% 57% Analisi automatica dei log di accesso all'home-banking Monitoraggio della Rete per identificazione siti contraffatti Il 71% del campione, inoltre, ha distribuito ai propri clienti strumenti tecnologici, siano essi fisici o logici, per rafforzare la sicurezza del processo di autenticazione logica, con una leggera preferenza per i dispositivi fisici (es. token) 75% 5 25% Dispositivi logici 43% 5 Dispositivi fisici -12-

7 Attività della banca Blocco dei bonifici Segnalazione dalle Filiali Segnalazione del Cliente Segnalazione delle Forze dell Ordine Segnalazione di altre banche Monitoraggio interno delle transazioni Molto alta (>9) Alta (70-9) Media (30-7) Bassa (10-3) Molto bassa (<1) Le segnalazioni che portano al blocco dei bonifici provengono con frequenza maggiore dai clienti truffati, laddove si evidenzia come l attività di monitoraggio interno delle transazioni anomale risulti essere predominante rispetto a tutti i fattori rimanenti. In aumento rispetto allo scorso anno la collaborazione tra i differenti istituti per la segnalazione di attività sospetta. Attività della banca Contrasto Il 45% delle banche del campione contatta direttamente l Internet Service Provider che ospita il sito fraudolento L ISP è risultato essere non italiano nell 88% dei casi Il tempo medio di inibizione di un attacco varia sulla base della tipologia dello stesso Tempo medio di inibizione di un attacco % 25% < 24h 1-3 gg. 3-7 gg. >7 gg. Phishing Crimeware Due banche hanno segnalato attività in locale sul computer dell utente come evento frequente

8 ATTACCHI FISICI Rapina Social Engineering Phishing Key-logging Spyware Screen grabbing ATTACCHI INFORMATICI Manomissione dei dispositivi di accesso (POS, ATM...) CLIENTE CLIENTE Identificazione Identità DNS spoofing Manomissione delle connessioni Autenticazione Autenticazione Sniffing Man In The Middle Associazione Bancaria Italiana Manomissione degli archivi (server,...) Furto di informazioni BANCA BANCA Attività non Autorizzazione autorizzata Identità Information gathering (port scanning) Backdoors di accesso (tramite Virus, Worm e/o Trojan Horse) Exploit di vulnerabilità di sistemi operativi o di applicazioni Password cracking La Centrale d allarme d ABI Lab per attacchi informatici Mantenimento di un presidio per il monitoraggio e la comunicazione delle minacce e degli attacchi informatici in corso (virus e worm, vulnerabilità dei sistemi, frodi informatiche) e per l approfondimento periodico sulle soluzioni di protezione. Rapporti Rapporti con con le le Istituzioni Istituzioni (CIPA, (CIPA, CNIPA, CNIPA, Min. Min. Com.) Com.) e con con le le forze forze dell ordine dell ordine (Polizia (Polizia Postale Postale e delle delle Comunicazioni, Comunicazioni, Guardia Guardia di di Finanza) Finanza) Presidio Presidio di di monitoraggio monitoraggio continuativo continuativo e comunicazione comunicazione di di eventi eventi // alert alert // modalità modalitàdi di frode-attacco frode-attacco (160 (160 banche) banche) presidio.internet@abi.it TAVOLO TAVOLO TECNICO: TECNICO: condivisione condivisione di di esperienze esperienze in in ottica ottica di di accrescimento accrescimento culturale culturale e formativo formativo (26 (26 banche banche + partner partner ICT) ICT) Sviluppo di protocolli operativi Reciproca collaborazione con FF.OO. Ecosistema di Cooperazione (mailing list, segnalazioni) Piattaforma di Comunicazione Area web dedicata alla sicurezza informatica Es. Furto di Identità elettronica Gli ambiti di approfondimento in corso Il furto di identità La diffusione su scala internazionale del fenomeno del furto d identità elettronica tramite Internet ha richiesto un approfondimento delle diverse modalità attraverso cui tale frode viene perpetrata. Il furto di identità elettronica tramite Internet Monitoraggio del fenomeno mar-05 apr-05 mag-05 giu-05 lug-05 ago-05 set-05 ott-05 nov Il Codice Internet E in corso di definizione da parte dall Autorità Garante per la Protezione dei Dati Personali del Codice di deontologia e di buona condotta per il trattamento dei dati personali effettuato dai fornitori dei servizi di comunicazione ed informazione offerti mediante reti di comunicazione elettronica. La definizione del Codice Internet è stata avviata nel 2005 dall Autorità Garante per la Protezione dei Dati Personali, attivando un tavolo di lavoro composto dalle principali associazioni di categoria rappresentanti degli Internet Service Provider, da Confindustria Servizi Innovativi, da professionisti esperti in materia, dall ABI e da ABI Lab. Una volta giunti alla sua versione definitiva, il Codice Internet costituirà a tutti gli effetti, così come già successo per i codici dei giornalisti, degli statistici, degli storici e delle centrali rischi, un integrazione del vigente e ben noto Decreto n. 196/2003. In esso, peraltro, già si faceva riferimento esplicito alla possibilità che fossero in futuro allegati codici con caratteristiche di efficacia erga omnes. L impatto è duplice Banche come fornitori di contenuti Trattamento dei dati trasmessi da e verso gli utenti on-line al fine di assicurare una corretta gestione dell operatività telematica connessa alle transazioni Banche come utenti di servizi di comunicazione Potenziamento delle azioni effettuabili lato ISP, anche alla luce della nuova legge Gentiloni: Filtraggio del traffico , Oscuramento dei siti, Costituzione e mantenimento di blacklist / whitelist. Casi di phishing rilevati nel contesto nazionale Negli ultimi mesi è stato riscontrato un 15 aumento significativo dei casi di phishing volti a sottrarre le credenziali 10 digitali agli utenti dei servizi di homebanking. 5 La numerosità resta comunque molto 0 limitata se si considera il raffronto con il panorama internazionale, in cui si registrano totale casi attacchi a banche decine di migliaia di attacchi al mese. Fonte: ABI Lab, Centrale d allarme per attacchi informatici, 2005 Il livello di sofisticazione degli attacchi sta crescendo di pari passo, come Produzione mondiale di software keylogger dimostra la maggior cura nella predisposizione sia delle che dei siti 6000 di phishing Si segnala inoltre un aumento 3000 percentualmente molto sostenuto nella produzione di codice malevolo per la sottrazione fraudolenta dell identità elettronica dei clienti on line. Fonte: Verisign, Associazione Bancaria Italiana -16-

9 Le azioni di potenziamento delle relazioni POLIZIA POSTALE E DELLE TELECOMUNICAZIONI Per il potenziamento e per velocizzare delle richieste delle banche oltre ai canali di relazione tradizionali (Compartimenti) è attivo il riferimento antiphishing@interno.it che garantisce il tracciamento delle eventuali segnalazioni inviate dalle banche alla Polizia Postale. Il riferimento si aggiunge alle modalità definite per tutti i cittadini attraverso il INTERNET SERVICE PROVIDERS E OPERATORI TLC Gli operatori TLC attraverso le loro caselle ABUSE@XXX.it sono i referenti per l intervento sulla rete a fronte di fenomeni fraudolenti conclamati. Stiamo discutendo con gli operatori per favorire una gestione differenziata delle segnalazioni che provengono da banche. E comunque opportuno sottolineare al momento dell invio che la segnalazione arriva da personale qualificato sulla sicurezza in banca. ABI LAB PRESIDIO INTERNET E sempre attivo l'indirizzo presidio.internet@abi.it per lo scambio tra banche di nuovi casi e nuove modalità di attacchi informatici e frodi. Le azioni di potenziamento della comunicazione Il Tavolo Tecnico della centrale dall allarme attacchi informatici ha condiviso l opportunità di realizzare delle azioni di sistema a potenziamento della comunicazione alla clientela già attualmente svolta dal singolo istituto. Tali azioni di comunicazioni si inseriscono sinergicamente rispetto al percorso definito in collaborazione con CNIPA e CIPA di sviluppo di ulteriori azioni a valle della realizzazione nel 2006 dello studio congiunto Rapporto sul furto d identità tramite internet. Le azioni di comunicazione prevedono: La realizzazione dell opuscolo informativo HOME BANKING: SICURAMENTE UN OPPORTUNITA Lo sviluppo di un area web dedicata all approfondimento da parte del cittadinocliente di Home banking delle problematiche di sicurezza informatica. E in corso di definizione una collaborazione con il CASPUR e il Dipartimento di Informatica dell Università di Roma La Sapienza che hanno sviluppato un corso di formazione on-line per il cittadino sul tema delle frodi informatiche e della protezione delle postazioni personali

10 L opuscolo informativo alla clientela (1/2) L opuscolo informativo alla clientela (2/2) abilab.comunicazione@abi.it

11 Conclusioni E importante mantenere l integrità della catena di gestione dell identità elettronica. Attualmente i legami più deboli sono: il PC del cliente (che deve essere motivato a mantenere sicuro il proprio ambiente informatico); gli Internet Service Providers; i commercianti e le Pubbliche Autorità. In questa catena le responsabilità devono essere prese da tutte le parti coinvolte, ognuno nell ambito delle proprie limitazioni. Deve essere posta attenzione ad un codice di autoregolamentazione accettato da tutti gli stakeholders. In questo modo tutti i membri della catena di gestione dell identità sapranno che sono coinvolti in una gestione responsabile. Il furto d identità non colpisce solamente il settore finanziario. Altri stakeholders devono essere coinvolti in questa battaglia. E di particolare importanza che siano resi disponibili strumenti educativi sull utilizzo di Internet per i cittadini e le PMI. La tecnologia non sarà la sola soluzione. Draft report on Identity Theft/Fraud - Fraud Prevention Expert Group European Commission / Unit F/2 - Company Law, Corporate Governance, Financial Crime -21-