Lo scenario delle frodi informatiche in banca e le attività della Centrale d Allarme d Attacchi Informatici

Transcript

1 Banche e Sicurezza 2010 Soluzioni, strumenti e metodologie per una nuova strategia di protezione ROMA, PALAZZO ALTIERI GIUGNO Lo scenario delle frodi informatiche in banca e le attività della Centrale d Allarme d per Attacchi Informatici Matteo Lucchetti, Senior Research Analyst, ABI Lab Roma, 10 Giugno 2010

2 AGENDA Lo scenario delle frodi informatiche nel sistema bancario Il dimensionamento del fenomeno Le principali minacce Le contromisure tecnologiche di contrasto e prevenzione La centrale d Allarme ABI Lab per Attacchi Informatici Attività di early warning e information sharing La collaborazione con la Polizia Postale e delle Comunicazioni Le collaborazioni internazionali Conclusioni -2-

3 L evoluzione del fenomeno delle frodi informatiche NUMERO ATTACCHI / SOFISTICAZIONE TECNOLOGICA / ORGANIZZAZIONE Il FURTO D IDENTITA ATTRAVERSO ILPHISHING CLIENTE L evoluzione del fenomeno delle frodi informatiche cui si è assistito nel corso degli ultimi anni evidenzia un livello crescente di organizzazione e di strutturazione del percorso della frode, in relazione ad una capacità crescente da parte dei frodatori di gestire una numerosità sempre più consistente di attacchi che sfruttano i differenti canali di comunicazione UserID & Password HACKER B BANCA BONIFICO RICARICA CARTA ANOMALO TELEFONICA PREPAGATA FURTO DI IDENTITÀ FURTO DI IDENTITÀ FURTO DI IDENTITÀ BONIFICO ANOMALO Bonifici in tempi ravvicinati e di importo elevato, a svuotare il conto RICARICA TELEFONICA Importi di ricarica relativamente bassi (dai 50 ai 255 ), ma ripetuti (fino a qualche decina di migliaia di euro) Effettuata da ATM o via Internet (molto più diffusa) CARTA PREPAGATA Importi di ricarica relativamente bassi (dai 50 ai ) Effettuata via Internet PRELIEVO DAL CONTO D APPOGGIO Prelievo effettuato in modo molto rapido rispetto al/ai bonifico/i SPOSTAMENTO CREDITO SU ALTRA UTENZA SPOSTAMENTO CREDITO SU ALTRA CARTA VERSAMENTO Alternative Remittance Systems UTILIZZO CREDITO TELEFONICO Non ancora istantaneo Utilizzo credito Acquisto di servizi (es. abbonamento bus) 899 o altri numeri a tariffazione speciale UTILIZZO CREDITO SU SCHEDA PRELIEVO FINALE PRELIEVO FINALE Vendita al mercato nero Gap temporale per la fatturazione finale all 899 PRELIEVO FINALE Il flusso delle informazioni è regolato da una regia internazionale che fa sì che il denaro alla fine del percorso arrivi alla destinazione fraudolenta La banca viene quindi ad essere interessata da un fenomeno trasversale che richiede una capacità di monitoraggio e prevenzione non più limitata ad un singolo contesto funzionale -3-

4 Il monitoraggio del fenomeno delle frodi informatiche nel sistema bancario italiano Rilevazione 2010 La rilevazione 2010 sulla sicurezza informatica ha visto la partecipazione di 45 organizzazioni operanti nel settore bancario, compresi alcuni outsourcer interbancari, che rappresentano un totale di 162 istituti di credito. In termini di sportelli, il campione rappresenta circa il 75% del sistema. In termini di clienti retail online attivi, sono stati censiti circa conti, sul totale di sistema stimato intorno ai 9 milioni, che corrisponde ad una rappresentatività dell 8. La rilevazione ha interessato quest anno anche la clientela corporate ( utenze censite). Rappresentatività del campione CLIENTI ON LINE ABILITATI RETAIL 80,48% 19,52% Rappresentatività del campione CLIENTI ON LINE ATTIVI RETAIL 81,68% 18,32% Percentuale di banche che dichiarano di aver riscontrato perdita di credenziali per segmento di clientela 89% Retail 83% Corporate La percentuale di banche che dichiara di aver riscontrato perdita di credenziali da parte dei propri clienti evidenzia una diffusione molto capillare del fenomeno sia per quello che riguarda la clientela retail che corporate. Fonte: ABI Lab, Centrale d allarme per Attacchi Informatici, Rilevazione sulla Sicurezza Informatica 2010, 162 banche -4-

5 L incidenza delle frodi informatiche Clientela Retail Con riferimento alla percentuale di clienti attivi che ha perso le credenziali, il 2009 ha rappresentato un inversione di tendenza rispetto all anno 2008, che si conferma quindi come l anno più critico da quando il fenomeno si è diffuso in Italia. % clienti attivi che hanno perso le credenziali Clienti Retail on line attivi che hanno perso le credenziali 0,3 0,24 0,25% 0, 0,15% 0,1 0,05 0,05% 0,03-32 % 0,087% 0,059% 0, ,04 0,035% 0,03 0,025% 0,0 0,015% 0,01 0,005% 0,00 % clienti attivi che hanno perso denaro Clienti Retail on line attivi che hanno perso denaro 0,034% 0,03-67 % 0,018% 0,013% 0, Il trend di contenimento complessivo del fenomeno fraudolento si riscontra anche in termini di clienti attivi che, a seguito della perdita di credenziali, subiscono effettivamente un danno economico. Fonte: ABI Lab, Centrale d allarme per Attacchi Informatici, Rilevazione sulla Sicurezza Informatica 2010, 162 banche -5-

6 La perdita di denaro a seguito del furto di identità Clientela Retail La percentuale di clienti che perde effettivamente denaro dopo aver perso le credenziali di accesso al portale di Internet banking si conferma in diminuzione netta Clienti che subiscono un danno economico successivo alla perdita di credenziali 60, 39,7% 22, Tre le motivazioni principali: L adozione di opportune contromisure tecnologiche (es. secondo fattore di autenticazione) che rende inefficace l utilizzo delle informazioni fraudolentemente sottratte ai clienti L azione di monitoraggio e segnalazione sempre più efficace svolta dalle banche e dalle Forze dell Ordine La conseguente difficoltà da parte dei frodatori di utilizzare le credenziali per effettuare il cash out, ad esempio attraverso il reclutamento di complici involontari (es. money mule) Fonte: ABI Lab, Centrale d allarme per Attacchi Informatici, Rilevazione sulla Sicurezza Informatica 2010, 162 banche -6-

7 Incidenza del fenomeno per numerosità degli attacchi Confronto tra segmenti di clientela Il confronto tra segmento di clientela Retail e segmento di clientela Corporate evidenzia un trend di attacchi che in percentuale impattano in maniera più consistente sul segmento di clientela corporate. 0,12% 0,09% 0,06% 0,03% 0,0 Efficacia delle azioni di contrasto a seguito della perdita delle credenziali - confronto tra segmenti di clientela 0,0589% + 41,8 % 0,0835% Perdita delle credenziali 0,0128% + 27,8 % 0,0164% Perdita di denaro Retail Corporate Efficacia delle azioni di contrasto a seguito della perdita delle credenziali - confronto tra segmenti di clientela 0,12% 0,09% 0,06% 0,03% 0,0 0,0589% - 78,3 % Retail 0,0835% 0,0128% 0,0164% Perdita delle credenziali - 80,4 % Corporate Perdita di denaro Le azioni di repressione post furto di identità elettronica, corrispondenti a tutto ciò che non è in capo al cliente (es. monitoraggio e blocco delle transazioni fraudolente), si confermano estremamente efficaci su entrambi i segmenti di clientela, con un leggero margine ulteriormente positivo per la clientela di tipo corporate. Fonte: ABI Lab, Centrale d allarme per Attacchi Informatici, Rilevazione sulla Sicurezza Informatica 2010, 162 banche -7-

8 Le modalità di attuazione della frode Il bonifico si conferma la modalità dispositiva più utilizzata per il primo trasferimento di denaro dal conto del cliente frodato. Prevale su entrambi i segmenti di clientela l utilizzo di un conto di destinazione di un altro istituto bancario italiano Le modalità di primo trasferimento - confronto tra segmenti di clientela 61% 25% 14% 78% 15% 7% Le modalità di primo trasferimento - confronto tra segmenti di clientela 63% 68% 33% 21% 4% Retail 11% Corporate Anche dal punto di vista dei volumi illecitamente transati, il bonifico risulta essere la modalità più efficace, dato in controtendenza rispetto al passato, in cui le ricariche hanno fatto registrare un maggiore livello di efficacia. Retail Corporate Bonifici Ricariche Altro Fonte: ABI Lab, Centrale d allarme per Attacchi Informatici, Rilevazione sulla Sicurezza Informatica 2010, 162 banche -8-

9 Le tipologie di attacco Le modalità di attuazione del furto delle credenziali di accesso riscontrate sono in massima parte riconducibili alla diffusione di codice malevolo presso le postazioni dei clienti. Si evidenzia una differenza significativa nella realizzazione degli attacchi diretti alla clientela retail o alla clientela corporate I volumi transati per tipologia di attacco Le modalità di attacco 47% 6 38% 28% 15% 12% Retail Corporate % 61% 11% Retail 51% 29% Corporate Accanto al phishing e al malware, si rileva la diffusione di nuove modalità di attacco, come il phishing telefonico e il phishing cartaceo, che hanno avuto una discreta efficacia, probabilmente anche a causa del fattore novità che ancora li caratterizza. crimeware phishing Altro Fonte: ABI Lab, Centrale d allarme per Attacchi Informatici, Rilevazione sulla Sicurezza Informatica 2010, 162 banche -9-

10 Il blocco delle transazioni anomale L intensa attività di monitoraggio condotta sulle transazioni effettuate tramite il canale Internet ha consentito di bloccare un volume crescente di transazioni effettuate in maniera fraudolenta Transazioni fraudolente bloccate - ripartizione percentuale per tipologia di transazione % 91% 18% 1 Retail 4% 5% Corporate Volume delle transazioni fraudolente bloccate Clientela Retail: 56.91% Clientela Corporate: 90.56% L attività di blocco risulta particolarmente efficace nel caso dei bonifici che, a differenza delle ricariche, non danno luogo a transazioni istantanee. bonifici anomali ricariche carte prepagate ricariche telefoniche Fonte: ABI Lab, Centrale d allarme per Attacchi Informatici, Rilevazione sulla Sicurezza Informatica 2010, 162 banche -10-

11 Le contromisure tecnologiche di contrasto 10 L intensa attività di sensibilizzazione, unita alla diffusa consapevolezza a livello di sistema del fenomeno delle frodi informatiche, ha portato all adozione diffusa di contromisure tecnologiche adeguate. Si evidenzia in crescita l adozione di forme assicurative per la copertura del rischio associato alle frodi informatiche. Il livello di disponibilità del canale alternativo di comunicazione 91% % Le contromisure tecnologiche di contrasto 98% Adozione del secondo livello di autenticazione 9 82% Adozione del secondo fattore di autenticazione 17% 18% Adozione/ valutazione di adozione di forme assicurative % 52% 7 62% 7 L associazione secondo fattore di autenticazione canale alternativo di comunicazione è adottata dall 84% delle banche del campione. In fase di autenticazione In fase di autorizzazione In fase di notifica Retail Corporate Fonte: ABI Lab, Centrale d allarme per Attacchi Informatici, Rilevazione sulla Sicurezza Informatica 2010, 162 banche -11-

12 Le azioni di contrasto interne della banca e di sensibilizzazione nei confronti della clientela Le azioni di sensibilizzazione verso la clientela Retail e Corporate 10 Le azioni tecnologiche di contrasto interne della banca % % % 48% 45% 4 14% 28% 13% 1% 35% 4 34% 24% 8% Strumenti di monitoraggio per le transazioni anomale sì, per entrambe le tipologie di clientela sì, solo per la clientela retail Analisi automatica dei log di accesso all'internet banking sì, solo per la clientela corporate no 10 Informativa portale internet banking Le attività di formazione interna Informativa presso filiali Informativa Informativa via Informativa via contrattualistica posta tradizionale Retail Corporate 8 77% 76% 6 64% 4 Formazione Call Centre Formazione Help desk Formazione personale filiale Fonte: ABI Lab, Centrale d allarme per Attacchi Informatici, Rilevazione sulla Sicurezza Informatica 2010, 162 banche -12-

13 AGENDA Lo scenario delle frodi informatiche nel sistema bancario Il dimensionamento del fenomeno Le principali minacce Le contromisure tecnologiche di contrasto e prevenzione La centrale d Allarme ABI Lab per Attacchi Informatici Attività di early warning e information sharing La collaborazione con la Polizia Postale e delle Comunicazioni Le collaborazioni internazionali Conclusioni -13-

14 La Centrale d Allarme d ABI Lab per Attacchi Informatici Presidio di riferimento per la sicurezza informatica nel sistema bancario italiano Monitoraggio continuativo dello scenario di sicurezza informatica nelle banche italiane, identificazione e analisi delle minacce e condivisione di informazioni, best practice e soluzioni di protezione. Analisi e Approfondimento Tavolo Tecnico [36 Banche + Partner ICT + Polizia Postale] Gruppo di di indirizzo delle delle attività di di analisi e approfondimento: incontri periodici, condivisione di di informazioni e discussione di ddi i best best practice e azioni di di contrasto attivate a livello di di sistema e di di singola banca. Presidio delle relazioni istituzionali Collaborazioni con con i i principali attori nazionali e internazionali: i: Banca d Italia, d Forze dell Ordine, Autorità Garante per per la la Protezione dei dei Dati Dati Personali, Ministeri, Centri di di ricerca, ENISA, FBE, FBE, EPC, EPC, Financial Services Technology Consortium,, Digital Crime Consortium,, APWG. Attività di di comunicazione Mantenimento di di una una community per per lo lo scambio di di informazioni cui cui partecipano ad ad oggi oggi più più di di banche e istituzioni finanziarie e per per la la collaborazione informale con con le le Forze dell Ordine (presidio.internet). Iniziative di di comunicazione allargata rivolte ai ai clienti e formazione per per i i dipendenti. -14-

15 Attività di early warning e information sharing presidio.internet@abi.it Mailing list per il monitoraggio dello scenario delle frodi informatiche e per la collaborazione informale tra gli attori coinvolti nel percorso di prevenzione e repressione del crimine informatico. Ad oggi risultano iscritte al Presidio più di 180 Banche italiane, Poste Italiane, operatori TLC mobili, Polizia Postale e delle Comuncazioni, DigitPA -15-

16 Le attività di segnalazione del Presidio Internet Il Presidio Internet Presidio Internet si configura oggi come una community di condivisione e scambio di informazioni sui fenomeni di criminalità informatica, sia tra le singole organizzazioni aderenti, sia rilevati da ABI Lab mediante una continua attività di monitoraggio e raccolta delle segnalazioni, condotta in collaborazione con le Forze dell Ordine e i principali player internazionali. Tutte le informazioni sono gestite in accordo alle necessità di riservatezza e integrità e fanno riferimento a: URL relative a siti di phishing e malware attivi Indirizzi IP fraudolenti File di configurazione dei principali malware (ZeuS, Gozi, ) Credenziali recuperate dalle dropzone dei principali malware Informazioni relative a potenziali operazioni effettuate dai money mules Ogni altra tipologia di informazione rilevante per la predisposizione di opportune misure di contrasto L attività di warning è inoltre corredata dall invio di report periodici, realizzati in collaborazione con i partner tecnologici dell iniziativa, contenenti informazioni generali sulle principali minacce informatiche che insistono sul settore bancario, con particolare riferimento a: analisi e approfondimenti sulle tecniche di attacco tramite codice malevolo analisi di trend e modalità di realizzazione di attacchi di phishing -16-

17 La Collaborazione con la Polizia Postale e delle Comunicazioni È in corso di definizione il rinnovo della Convenzione per la prevenzione dei crimini informatici nel sistema bancario,, che ha l obiettivo l di definire un processo di collaborazione tra le banche e e la Polizia Postale e delle Comunicazioni in cui siano specificate le modalità tecniche e operative di scambio delle informazioni rilevanti per il contrasto del fenomeno del cyber crime. Gli obiettivi organizzativi Fluidificazione delle comunicazioni tra banche e Polizia Postale Identificazione delle strutture organizzative coinvolte nel processo di segnalazione e definizione del perimetro di attività in capo alle controparti Condivisione del quadro normativo in accordo al quale effettuare le segnalazioni Visibilità sul processo di gestione della segnalazione Gli obiettivi operativi Identificazione dei reciproci referenti Definizione di opportune interfacce tecniche di segnalazione Strutturazione delle segnalazioni secondo schemi condivisi Aggregazione delle segnalazioni per tipologia di attacco e possibilità di analisi a scopi investigativi e repressivi -17-

18 Le collaborazioni internazionali La dimensione sovranazionale del fenomeno delle frodi informatiche ha fatto sì che si strutturasse una vera e propria community anche a livello internazionale per favorire uno scambio di informazioni efficiente e tempestivo. IT Fraud Working Group (Federazione Bancaria Europea) Gruppo di lavoro della Federazione Bancaria Europea per lo scambio di informazioni sul fenomeno delle frodi informatiche e il confronto sulle iniziative di prevenzione e contrasto avviate dalle associazioni bancarie nazionali nei propri domini di riferimento. FI-ISAC Financial Institutions Information Sharing and Analysis Centre (ENISA) Costituzione di un ISAC dedicato alle istituzioni finanziarie. Partecipano rappresentanti di istituzioni bancarie, rappresentanti dei CERT nazionali e delle Forze dell Ordine. Lo scambio di informazioni avviene anche attraverso una mailing list dedicata. CISEG Cybercrime Information Sharing Expert Group (European Payment Council) Task force in staff al Gruppo di Supporto sulla Sicurezza Informatica (ISSG) attivato dallo European Payment Council, che ha l obiettivo di favorire lo scambio di informazioni rilevanti sul fenomeno del cyber crime tra i Paesi membri e di definire eventuali documenti formali a supporto dell azione dell EPC. Altri network European Electronic Task Force Anti Phishing Working Group Digital Crimes Consortium Progetti europei -18-

19 AGENDA Lo scenario delle frodi informatiche nel sistema bancario Il dimensionamento del fenomeno Le principali minacce Le contromisure tecnologiche di contrasto e prevenzione La centrale d Allarme ABI Lab per Attacchi Informatici Attività di early warning e information sharing La collaborazione con la Polizia Postale e delle Comunicazioni Le collaborazioni internazionali Conclusioni -19-

20 Concludendo L evoluzione del panorama delle frodi informatiche ben rappresenta il crescente livello di strutturazione organizzativa e di sofisticazione tecnologica che caratterizza il verificarsi delle principali manifestazioni fraudolente a danno del sistema bancario. La potenziale manifestazione di eventi fraudolenti trasversali rispetto ai differenti contesti organizzativi in cui potrebbero essere gestiti, evidenzia l opportunità di costituire un presidio dedicato, in grado di avere una visione d insieme del fenomeno delle frodi in banca, non solo di natura informatica. L azione integrata di risposta alle frodi informatiche da parte delle banche si è concretizzata sia nell efficientamento delle attività interne di monitoraggio e prevenzione, sia nella predisposizione di opportune misure di protezione del cliente. La collaborazione proattiva tra tutti gli stakeholder coinvolti nel percorso della frode resta un fattore cruciale per il buon esito delle azioni di contrasto. Nel 2009 è stata registrata un inversione di tendenza significativa nell efficacia delle frodi informatiche, riportando i valori globalmente descrittivi del fenomeno ai livelli del È questo il frutto più evidente di quel percorso di condivisione, sensibilizzazione e cooperazione sul quale l intero sistema si è mosso con convinzione da tempo. -20-

21 Grazie per l attenzionel m.lucchetti@abi.it

22 Fraud management Agenda (1/2) La collaborazione con le Forze dell Ordine Stefano Zireddu, Commissario Capo, Servizio Polizia Postale e delle Comunicazioni Dal "Cogito ergo sum" al "dubito ergo invenio": il fraud manager è cartesiano? Maria Luisa Cardini, Fraud Prevention Solutions Manager, Crif Pierpaolo Cristaudo, Certified Fraud Examiner - Business Consulting, Crif Decision Solutions Integrated Fraud Framework: il modello di riferimento per la gestione delle frodi e componenti di integrazione Mauro Proserpio, Distinguished Engineer, IBM Italia Il costo delle frodi per l azienda Giuseppe Ricciuti, Amministratore Delegato, Info Finax L utilizzo dei dati consortili per il benchmarking e la mitigazione delle frodi Claudia Pasquini, Responsabile Segreteria Tecnica, DIPO -22-

23 Fraud management Agenda (2/2) Secure confirmation of sensitive transaction data an effective fraud mitigation means for internet banking Alain Hiltgen, WM&SB Operational Risk Management, Head Information Risk Response, UBS Il contrasto alle frodi con le carte di pagamento: metodologie di indagine e best practices Gaetano Terrasini, Comandante Sezione Operativa Comando Carabinieri Antifalsificazione monetaria, Carabinieri Frodi sui sistemi di pagamento: best practices e scenari evolutivi Andrea Agosti, Responsabile Financial District Divisione Security, Value Team I processi di monitoraggio delle attività fraudolente in banca Luigi Altavilla, Head of Antifraud Security Department Global Opeartions, Unicredit Group -23-