È disponibile subito il podcast di oggi de Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo trovate qui sul sito della RSI (si apre in una finestra/scheda separata) e lo potete scaricare qui.
Le puntate del Disinformatico sono ascoltabili anche tramite iTunes, Google Podcasts, Spotify e feed RSS.
Buon ascolto, e se vi interessano il testo di accompagnamento e i link alle fonti di questa puntata, sono qui sotto.
---
[CLIP: Squillo di telefono]
Il vostro telefonino squilla all’improvviso. Sul suo schermo compare il numero della vostra banca. Rispondete, e una voce molto precisa e professionale vi informa, con il tono leggermente spassionato di chi ha detto queste stesse parole infinite volte, che è successo quello che temevate e che un po’ tutti temiamo. Dei criminali informatici hanno avuto accesso al vostro conto corrente.
Per fortuna la vostra banca ha bloccato il tentativo di frode e vi sta chiamando appunto per informarvi della situazione e per chiedervi di smettere di usare le vostre coordinate bancarie attuali e sostituirle con quelle nuove, che vi verranno dettate tra un momento. A voi non resta che trasferire il saldo del conto dalle coordinate attuali a quelle nuove, e tutto sarà a posto.
Ma come avete probabilmente intuito, la chiamata è una messinscena, il numero che compare sul vostro schermo è stato falsificato, la voce è quella alterata digitalmente di un criminale che finge di essere un funzionario antifrode, e le coordinate nuove servono per convincervi a trasferire volontariamente i vostri soldi su un conto controllato dal malvivente.
Fin qui niente di nuovo, ma questa non è la storia dell’ennesimo caso di frode bancaria informatica: è la storia di Russian Coms, un vero e proprio servizio commerciale di assistenza tecnica ai criminali, il cosiddetto crime as a service, che vendeva kit chiavi in mano per aspiranti truffatori e ha permesso di derubare centinaia di migliaia di persone in oltre cento paesi per un totale di svariate decine di milioni di dollari.
Dico “vendeva” perché Russian Coms è stato sgominato dalle forze dell’ordine, arrestando varie persone e soprattutto prendendo il controllo dei server sui quali i criminali gestivano i rapporti con la propria clientela, promettendo discrezione e riservatezza. Ma ora tutti i dati di quei rapporti sono nelle mani degli inquirenti, e sul canale Telegram di Russian Coms è comparso un avviso: “tutto è stato compromesso, non importa quale software stiate usando. Anche tutti gli altri fornitori sono stati compromessi”.
L’avviso sul canale Telegram di Russian Coms. Fonte: National Crime Agency.
In altre parole, si salvi chi può.
Questo fuggi fuggi generale è un’occasione rara per gettare luce sulla filiera del crimine informatico e sulle sue tecniche, per riconoscerle e difendersi meglio, ma anche per rispondere a un paio di curiosità che magari vi siete posti: ma dove vanno esattamente i criminali online a procurarsi i ferri del mestiere? Vanno nel dark web? Sono tutti esperti del fai da te informatico, dediti al male? E poi, perché è possibile falsificare il numero del chiamante?
Benvenuti alla puntata del 9 agosto 2024 del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica. Io sono Paolo Attivissimo.
[SIGLA di apertura]
---
Questa storia inizia nel 2021, quando nasce un gruppo di criminali online che si fa chiamare Russian Coms anche se non ha nessun collegamento noto con la Federazione Russa. La sua specialità è offrire ad altri criminali servizi di caller ID spoofing, ossia di falsificazione del numero del chiamante. Servizi che fanno comparire sui telefonini delle persone chiamate un numero appartenente a una banca, a una compagnia telefonica o a una forza di polizia, per conquistare la fiducia di queste persone e aiutare così a carpirne i dati personali, le carte di credito e i soldi.
Russian Coms comincia offrendo ai propri clienti dei telefonini Android appositamente personalizzati, dotati di app finte che li fanno sembrare normali telefoni in caso di sequestro da parte della polizia, di VPN per rendere meno tracciabili le attività criminali per le quali vengono usati, e anche di una app di autodistruzione che cancella istantaneamente la memoria dello smartphone in caso di necessità. Successivamente offre anche lo stesso servizio tramite una web app.
Russian Coms propone contratti di sei mesi che costano circa 1300 euro in tutto, sono pagabili con criptovalute e vengono pubblicizzati su Snapchat, Instagram e Telegram, e su un normalissimo sito Web, Russiancoms.cm. Non provate a visitarlo adesso: non ci troverete nulla. Lo so perché ho provato io per voi.
Avete capito bene: niente dark web, ma tutto sfacciatamente alla luce del sole, sul Web normale, sui social network, come se niente fosse.
Le offerte di contratto sul sito Web di Russian Coms. Fonte: National Crime Agency.
Il servizio è completo e professionale: le chiamate sono cifrate, viene offerto un software che altera la voce in tempo reale, i costi delle telefonate internazionali sono inclusi nel canone, e naturalmente c’è un’assistenza clienti disponibile ventiquattr’ore su ventiquattro, sette giorni su sette. Un livello di customer care invidiabile, migliore di quello di tante aziende regolari.
Gli affari di Russian Coms vanno bene. I suoi clienti arrivano a saccheggiare conti correnti in ben 107 paesi, dagli Stati Uniti alla Norvegia, dalla Francia alle Bahamas. Fra il 2021 e il 2024, gli utenti paganti di Russian Coms effettuano milioni di chiamate a milioni di vittime, fingendo di rappresentare aziende di buona reputazione e facendosi dare soldi per merci mai consegnate, spacciandosi per banche per accedere ai conti correnti delle persone chiamate, e organizzando in alcuni casi il ritiro fisico, fatto di persona, di carte di debito e di credito con la scusa che andavano sostituite per motivi di sicurezza. Il sistema funziona. Nel Regno Unito, per esempio, il danno medio ammonta a oltre 9000 sterline (circa 10.000 euro o franchi) per ciascuna delle circa 170.000 vittime.
Ma a marzo 2024 le cose prendono una brutta piega per i membri di Russian Coms.
---
Dopo mesi di indagini, gli agenti della National Crime Agency britannica arrestano due uomini di 26 e 28 anni a Londra. Gli inquirenti ritengono che si tratti degli sviluppatori e degli amministratori del servizio.
Nei giorni successivi, il sito di Russian Coms viene disattivato, e il 12 aprile viene arrestato, sempre a Londra, un altro uomo che viene considerato uno degli addetti alla consegna di persona degli smartphone modificati. Pochi giorni fa è stato arrestato, sempre nel Regno Unito, uno dei clienti di Russian Coms, e inoltre l’Europol ha in corso altre operazioni analoghe in vari altri paesi.
Gli agenti britannici hanno reso pubblici i dettagli di questa vicenda il primo agosto scorso, pubblicando anche un video dell’irruzione e dell’arresto e una schermata tratta dal sito di Russian Coms che ne illustra il tariffario.
[rumore dell’irruzione]
— National Crime Agency (NCA) (@NCA_UK) August 1, 2024
Sul canale Telegram di Russian Coms i messaggi dei criminali sono stati sostituiti da un avviso che informa la clientela, per così dire, che il servizio “è ora sotto il controllo delle forze dell’ordine internazionali” e annuncia che “La polizia verrà a trovarvi presto”, con tanto di emoji sorridente ma non troppo.
L’avviso sul canale Telegram di Russian Coms. Fonte: National Crime Agency.
La National Crime Agency sottolinea che anche se le tecnologie sofisticate e le tecniche professionali usate da gruppi come Russian Coms “promettono l’anonimato, a insaputa dei loro utenti criminali registrano e conservano i loro dati, e quindi è possibile identificare chi sono e come operano”.
Il fatto che i server dei fornitori del servizio siano stati acquisiti dalle forze dell’ordine implica un bottino ingentissimo di dati, e soprattutto di identità di vittime e truffatori, che fotografa l’intera organizzazione e la sua clientela con un dettaglio che si vede di rado. La polizia londinese ha dichiarato di aver svolto controlli incrociati su oltre 100.000 dati, compresi indirizzi IP, numeri di telefono e soprattutto nomi, per identificare i sospettati e rintracciare anche le loro vittime.
L’obiettivo di questo intervento e del suo annuncio al pubblico è minare in generale la fiducia dei malviventi in questi fornitori di servizi e quindi spezzare la filiera del crimine organizzato, ma è anche un’occasione per ricordare al pubblico alcune regole di cautela da adottare per non finire tra le vittime di questi professionisti dei reati digitali.
Se ricevete una chiamata inattesa di qualcuno che dice di rappresentare la vostra banca, un servizio finanziario, un corriere o qualunque ente ufficiale e vi mette sotto pressione chiedendovi di prendere una decisione immediata riguardante del denaro oppure vi chiede dati personali, riagganciate e chiamate subito il numero che trovate sul sito dell’ente o del servizio in questione o sul retro della vostra carta di credito o di debito. Nessuna azienda seria e nessun ente vi metterà mai fretta chiedendovi di prendere subito decisioni importanti per telefono.
---
Vicende come quella di Russian Coms rivelano che i criminali online non sono tutti esperti del settore, non sono tutti geni malvagi dell’informatica: sono molto spesso dei semplici consumatori opportunisti, a volte inetti, di tecnologie sviluppate da altri e comprate chiavi in mano, senza sapere nulla del loro funzionamento, e possono commettere questo tipo di reati solo perché trovano facilmente chi fornisce loro i grimaldelli informatici necessari.
C’è anche un altro aspetto messo in luce da questo successo delle forze di polizia contro il crimine online, ed è il fatto a prima vista assurdo che il sistema telefonico mondiale consenta di falsificare il numero del chiamante.
Se non ci fosse questa possibilità, i malviventi perderebbero un appiglio psicologico molto importante nel costruire la propria credibilità e nel conquistare la fiducia delle loro vittime, che non si aspettano che esista una funzione del genere e si fidano del numero che vedono sul proprio schermo. Ma allora perché gli operatori telefonici non cambiano le cose, visto che questa possibilità di falsificazione consente frodi da decine di milioni di dollari come quella di Russian Coms?
La risposta, poco intuitiva, è che in realtà ci sono dei casi legittimi nei quali chi chiama ha bisogno di far comparire un numero differente da quello effettivo, come per esempio un call center che effettua chiamate per conto di varie aziende, oppure una ditta che ha varie sedi ma vuole presentarsi ai clienti sempre con lo stesso numero per non creare confusione, e quindi le compagnie telefoniche devono lasciare aperta questa possibilità.
Tuttavia possono mettere delle regole, per cui per esempio il numero da visualizzare (il cosiddetto Presentation Number) non può appartenere a un paese differente da quello del numero effettivo (il cosiddetto Network Number). E infatti alcuni operatori telefonici lo fanno [lo spiega qui Ofcom per il Regno Unito]. Ma per tutta risposta, i criminali eludono questo filtro procurandosi numeri di telefono nazionali.
Per ogni difesa, insomma, i malviventi inventano un attacco che la scavalca dal punto di vista strettamente tecnico. Ma se si riesce a far salire il costo e la complessità di questo attacco, diventa meno conveniente effettuarlo e le persone capaci di compierlo e di procurarsi le risorse necessarie diventano meno numerose. E se la difesa adottata costringe per esempio gli aggressori a usare numeri di telefono del paese che vogliono colpire, quei criminali non possono più agire impunemente dall’estero ma devono risiedere localmente, e questo non solo complica la logistica di questi reati ma rende enormemente più semplici gli interventi di giustizia e di polizia, che non vengono più ostacolati dalla necessità di rogatorie e coordinamenti internazionali interforze.
Le soluzioni tecniche, dunque, ci sono [STIR/SHAKEN, CLI authentication, eccetera]; il problema è mettere d’accordo tutti gli operatori del mondo su quale soluzione adottare, coordinarli su questa adozione senza trovarsi con interi paesi bloccati per errore, e convincerli ad affrontare la spesa del cambiamento. Buona fortuna.
In attesa di quel momento, a noi utenti non resta altro che imparare a essere diffidenti su tutto, anche su un concetto in teoria elementare come il numero di telefono di chi ci chiama e ci compare sullo schermo.
Fonti: