Manuale sulle Azioni di contrasto e prevenzione delle frodi nei confronti della Clientela Corporate che utilizza i servizi di Internet Banking.

Transcript

1 Manuale sulle Azioni di contrasto e prevenzione delle frodi nei confronti della Clientela Corporate che utilizza i servizi di Internet Banking. Il presente manuale è stato redatto per fornire alle Aziende uno strumento efficace di contrasto alle frodi informatiche, presenta un decalogo di norme e consigli di semplice attuazione riguardanti la sicurezza sulle reti interne alle Aziende e di quale approccio devono avere i vari Attori delle stesse nella politica di sicurezza, vulnerabilità e come ovviare a possibili intrusioni, attacchi o frodi. A. Regolamenti Aziendali in materia di sicurezza informatica. Tra le misure di prevenzione delle frodi che le aziende dovrebbero adottare, in primo luogo si consiglia di definire e divulgare un regolamento aziendale in materia di sicurezza informatica relativamente all utilizzo dei servizi Internet Banking da parte dei dipendenti designati. Questo regolamento dovrebbe comprendere una evidenziazione dei rischi correlati allo svolgimento di un operazione bancaria in via telematica. Inoltre è opportuno specificare i ruoli e le relative responsabilità all interno dell azienda. Nel regolamento dovranno essere elencati altresì gli strumenti utilizzati dalla azienda, le periferiche e le postazioni da cui è possibile operare, identificando quindi i luoghi e i punti d accesso alla extra-net (internet) da proteggere. Inoltre si ritiene opportuno che le regole siano condivise all interno della organizzazione aziendale dove saranno incaricate figure che potranno eseguire operazioni telematiche. Un altro importante passo da eseguire all interno della azienda è l individuazione degli utenti che saranno abilitati all utilizzo dell internet Banking che dovranno essere correttamente profilati all utilizzo del citato servizio su postazioni dedicate. In questo modo si consente di abilitare solo alcuni dipendenti all utilizzo di tali strumenti limitando la perdita dei dati sensibili o credenziali e di accelerare le attività di controllo e prevenzione nel caso di evidenza o anomalia a posteriori. Si suggerisce di predisporre delle procedure che definiscano una corretta gestione delle password di accesso per i servizi di Internet Banking, gestendo contestualmente il loro aggiornamento periodico. Si raccomanda inoltre di adottare tutti gli strumenti messi a disposizione della banca (es. token) per garantire la massima sicurezza in fase di accesso a Internet Banking, attuando tali passaggi obbligati si semplificheranno notevolmente le operazioni di controllo e si eluderanno in via più efficace i software malware quali spyware, trojan, ecc. che vengono utilizzati per appropriarsi delle identità all insaputa degli utenti e utilizzate successivamente per le frodi informatiche. E consigliabile avviare iniziative periodiche di informazione e formazione interna all azienda in materia di sicurezza rivolte agli utenti abilitati al servizio di internet banking con lo scopo di educare e aggiornare tali figure e sensibilizzarle a svolgere operazioni a basso profilo di rischio mantenendo sempre un livello di attenzione adeguato a possibili intrusioni. E auspicabile prevedere attività periodiche di controllo delle postazioni utente abilitate all accesso ai servizi di Internet Banking, predisponendo altresì procedure che gestiscano correttamente le password di accesso a tali

2 postazioni e il loro aggiornamento periodico. Mantenere elevato il livello di sicurezza delle postazioni, infatti, è un azione rilevante ai fini di una completa prevenzione delle frodi informatiche. E fortemente consigliata la verifica giornaliera delle movimentazioni bancarie dove verificare che le transazioni riportate siano effettivamente quelle svolte. Si consiglia di definire e divulgare delle procedure che identifichino le modalità di comunicazione tra l utente abilitato, la banca e le autorità competenti, a tal scopo è necessario che gli utenti che accedono al servizio di internet banking abbiano facilmente accesso ai canali di contatto messi a disposizione dalla Banca quali numero di telefono ed indirizzo della dipendenza dove è instaurato il rapporto di conto corrente, numero verde. Per semplificare la reperibilità di queste informazioni si consiglia di inserire tali dati anche all interno della propria intranet aziendale, inoltre aggiornare regolarmente i recapiti dei principali utilizzatori del servizio Internet Banking in modo che possano essere tempestivamente contattati in caso di operazioni fraudolente e di attivare le procedure di denuncia avviando la comunicazione con le Autorità Competenti. B. Indicazione di protezione delle postazioni dalle quali viene svolta l attività di Internet Banking. In questo paragrafo sono riportate alcune indicazioni utili per aumentare il livello di protezione delle postazioni da cui vengono svolte le operazioni bancarie in via telematica. E buona norma munire le postazioni aziendali di antivirus o anti malware e porre una particolare attenzione alle macchine dedicate a svolgere il compito di accesso alle operazioni bancarie cercando di mantenere sempre aggiornati tali software per minimizzare l impatto che programmi maligni avrebbero sulla sicurezza sia della rete interna che sulla sicurezza dei dati bancari. E necessario che periodicamente vengano approntate scansioni dei files presenti sui dischi rigidi o su periferiche di memorizzazione di massa esterne inoltre di minimizzare l utilizzo di periferiche esterne alla rete aziendale (chiavi di memorizzazione usb) che potrebbero essere veicoli di trasmissione di software maligni. Si consiglia di munire la propria rete aziendale di Firewall (sistema di filtraggio pacchetti) hardware per chiudere le porte di comunicazione non necessarie al corretto utilizzo della propria rete e di proteggere in caso di reti wi-fi l accesso con password di protezione che saranno comunicate solo agli utenti opportunamente individuati all interno della Azienda. Esempio di configurazione di windows firewall

3 Una delle attività di maggior contrasto a intrusioni è quella di tenere sempre aggiornato il proprio sistema operativo grazie alle nuove revisioni ufficiali (patch) messe a disposizione dalla azienda fornitrice del prodotto. Questa attività permette che sia il sistema sia gli antivirus o anti malware installati sulle macchine comunichino in maniera corretta tra loro azzerando problematiche di incompatibilità di versione che porterebbero al malfunzionamento di tutto il sistema. Aggiornamento di windows Microsoft Update Si suggerisce di profilare e controllare la navigazione in internet in base alle specifiche esigenze lavorative a livello di rete e di singola postazione, per questo motivo è necessario limitare la navigazione sul web, limite che beneficia di un sensibile decremento di installazione di software di dubbia provenienza, inoltre è buona norma permettere le modifiche restrittive solo agli amministratori di sistema che garantirebbero la impossibilità di bay passare le impostazioni di sicurezza. In aggiunta a quanto descritto, si consiglia di differenziare i profili degli utenti in base alle specifiche esigenze operative al fine di minimizzare i rischi inoltre è auspicabile limitare o eliminare del tutti i diritti di amministratore sulle singole postazioni. Esempi di alcune tipologie di rete aziendale Qual ora non siano state implementate le procedure sopra descritte è auspicabile svolgere tutte le operazioni bancarie da un sistema che sia dedicato solo ed esclusivamente all utilizzo dell Internet Banking, procedura che avvicinerebbe quasi allo zero possibilità di intrusioni, fishing e relative perdite di dati sensibili. Tali postazioni dedicate dovranno comunque essere aggiornate con le ultime revisioni ufficiali del sistema operativo oltre ad essere comunque periodicamente controllate da scansioni antivirus o anti malware.

4 C. Buone pratiche di comportamento dell utilizzatore dei servizi Internet Banking. Di seguito sono riportati alcuni utili suggerimenti in merito ai comportamenti che gli utenti di Internet Banking dovranno adottare al fine di ridurre al minimo i rischi di intrusione e appropriazione di codici utenze e password. E fortemente consigliato diffidare da qualunque richiesta di dati relativi a carte di pagamento, chiavi di accesso all internet banking o altre informazioni sensibili, nessuna banca infatti chiederà mai di fornire direttamente tali informazioni. Attività illecite di sottrazione di dati sensibili vengono attuate tramite la simulazione di dipendenti delle banche presso i quali il cliente ha acceso il proprio rapporto e perpetuate sia tramite canali informatici quali l ausilio di , ma anche telefonicamente e con l ausilio di sms, in tutti i casi vi è l invito di fornire i dati sensibili quali utenze e password personali. Un metodo comune utilizzato dai frodatori è quello di allertare la propria preda con false notifiche riguardanti tentavi di intrusione ai propri dati da parte di terze parti. Nel caso di di notifica della banca è sempre consigliabile inserire l indirizzo direttamente sulla barra di navigazione dal web browser e non cliccare nei link presenti sulle . Questa procedura è di ausilio alla prevenzione poiché i frodatori replicano fedelmente i siti web delle aziende di credito per impossessarsi dei dati sensibili delle ignare prede. Nel caso di dubbie o anomale è consigliabile segnalare tempestivamente alla propria banca e alle Autorità competenti quanto accaduto. E consigliabile diffidare di qualsiasi messaggio di posta elettronica, social network, siti web, client chat o instant messaging che rivolga l invito a scaricare programmi, documenti o foto di cui sia ignota la provenienza. E auspicabile non condividere e di conservare con la massima cura i codici, le credenziali e gli strumenti di accesso all internet banking poiché maggior diffusione di questi all interno dell azienda aumenta in maniera esponenziale la probabilità di rischio di essere intercettate da software malevolo latente sulle postazioni della rete. E fortemente consigliato di non conservare mai, codici e password, numeri di carte di credito o qualsiasi dato sensibile su un personal computer che sia sulla rete e che abbia accesso ad internet. D. Gli spyware come funzionano. Cosa sono e come funzionano gli spyware piccoli software malware che si auto installano all insaputa dell utente, di difficile individuazione se non si è protetti da sistemi di sicurezza adeguati e che riescono a memorizzare e mantenere traccia di tutto quello che avviene sul personal computer. Gli spyware si suddividono in diverse tipologie di infezione le più comuni sono presenti in oggetti non ufficiali dei web browser quali: plug-in, controlli ActiveX installati incautamente, toolbar o widget abilitati dalla installazione di software di dubbia provenienza. Questi software maligni si manifestano in: rootkit: sono piccole linee di codice che permettono di prendere il controllo remoto dei personal computer. Keylogger: software che registrano quello che digitiamo sulla tastiera e in seconda fase trasmettono i dati in remoto. Codice parassita: Micro applicativi che si legano all interno di altri pacchetti e applicazioni.

5 Adware, ovvero software che scrivono nel registro di sistema comandi che forzano l apertura di nuove finestre del browser verso siti web di dubbia sicurezza e contenuti. Le strade più semplici e comuni che portano ad acquisire gli spyware sono le catene virali ovvero gli spyware vengono generati o installati da virus worm o altri spyware già presenti sulle nostre macchine, da siti web fraudolenti, da di dubbia provenienza da banner pubblicitari. Un metodo semplice di diagnostica e verifica da spyware è dato dal comando netstat posto nel promt di comando (cmd.exe) di Microsoft Windows. Premesso che tutti i software che comunicano con l esterno siano stati chiusi preventivamente (browser, , ecc.), se all interno del promt vengono visualizzati indirizzi anomali che esulano dalla propria rete è consigliabile disconnettere il pc dalla rete interna e richiedere un immediato supporto tecnico. Output del comando netstat posto nel promt dei comandi cmd.exe di Microsoft Windows. Alcuni software utili per la protezione dagli Spyware Microsoft Safety Scanner Lavasoft Ad-Ware Alcuni Software Antivirus Nome Link Windows Os MacOs X Os Tipo Licenza Norton Antivirus SI SI Commerciale AVG SI NO Trialware Avast SI NO Commerciale Sophos SI SI Trialware

6 Documento redatto in collaborazione con Polizia di Stato, Consorzio ABILAB, Consorzio CBI