Il 30 luglio 2024 è stata pubblicata per il download gratuito la nuova release della live distro d’informatica forense “Tsurugi” nella versione lab 2024.1 (da 16.7G) e in macchina virtuale (da 33.7G). Strumento spesso essenziale per chi si occupa d’informatica forense, la forensic distro Tsurugi è da anni – insieme alla distribuzione Caine Linux – una delle più utilizzate in ambito digital forensics.
Tsurugi Linux è una distribuzione Linux orientata all’informatica forense, live forensics, incident response e malware analysis potente e versatile. progettata specificamente per le indagini forensi digitali. Offre una suite completa di strumenti preinstallati che soddisfano varie necessità dei consulenti informatici forensi, tra cui acquisizione forense dei dati, analisi della memoria e analisi forense del traffico di rete. Una delle sue caratteristiche distintive è la capacità di funzionare come un sistema live, consentendo agli investigatori digitali di analizzare e acquisire dati senza alterare lo stato della macchina di destinazione, garantendo l’integrità delle prove.
Tsurugi Linux è altamente personalizzabile, con diversi moduli su misura per specifiche esigenze forensi, come l’analisi di sistemi Windows, dispositivi mobili o la conduzione di indagini su malware. Tsurugi eccelle anche nell’analisi forense di rete e memoria, offrendo strumenti per acquisire e analizzare il traffico di rete e la memoria volatile, che sono cruciali nei moderni casi forensi.
La sua natura open source rende Tsurugi un’opzione ottimale e la sua struttura modulare consente agli investigatori forensi di creare un ambiente di acquisizione e analisi mirato e semplificato.
Grazie a una community solida, a una documentazione esaustiva e alla compatibilità con altri strumenti forensi, Tsurugi Linux è una risorsa indispensabile per i professionisti dell’informatica forense che cercano una piattaforma investigativa solida e sicura.
La forensic distro Tsurugi è scaricabilegratuitamente dalla pagina dei download del sito ufficiale Tsurugi-Linux, il software è gratuito e – come ricordano gli sviluppatori – viene distribuito AS IS GNU sotto la General Public License senza alcuna garanzia.
Le modifiche presenti nella versione di Linux Tsurugi disponibile per il download rispetto a quella versione del 22 dicembre 2023 sono le seguenti e si ricavano dal changelog pubblicato sul sito ufficiale:
Nuovo Kernel 6.9.3 personalizzato
Aggiornamento totale del sistema
Aggiornamenti Firmware
Correzione di errori minori
Correzione di Volatility
Nuovi strumenti e tool aggiunti al menù
Menù aggiornati
Purtroppo la dimensione di quasi 17 GB non rende la distribuzione forense ideale per attività informatiche forensi sul campo, ad esempio per copie forensi, acquisizione RAM, triage e preview, essendo poco proponibile caricarla in RAM e richiedendo più spazio e tempo per l’esecuzione. È ovviamente ideale per l’installazione in locale o per utilizzare uno dei migliaia di strumenti messi a disposizione dagli sviluppatori. Attendiamo quindi con ansia l’uscita della versione Tsurugi Acquire, più agevole per permettere di eseguire copie forensi di supporti digitali, essendo di dimensione ridotta e offrendo compatibilità massima con i sistemi sui quali può essere avviata la distribuzione linux.
È stato aperto il bando per la nuova edizione del Corso di Perfezionamento in Criminalità Informatica e Investigazioni Digitali, edizione 2023 dedicata interamente all’intelligenza artificiale in ambito penalistico, criminale e processuale.
Il corso ha l’obiettivo di formare esperti in informatica giuridica, in diritto delle nuove tecnologie, in criminalità informatica e investigazioni digitali con particolare attenzione alla capacità di effettuare investigazioni (valide in giudizio) sulla cosiddetta “fonte di prova digitale” in caso di frodi informatiche in qualsiasi ambito (bancario, assicurativo, familiare, aziendale).
Il corso è suddiviso nei seguenti moduli:
Primo modulo: Un’introduzione tecnica, politica e normativa all’AI (Bias, discriminazioni e responsabilità, rischi dell’algoritmo, protezione del dati, analisi del rischio e anticipatory compliance)
Secondo modulo: L’intelligenza Artificiale e il mondo criminale (Analisi predittiva dei comportamenti criminali, generazione “autonoma” del crimine, criminalità organizzata e reati associativi)
Terzo modulo: Intelligenza Artificiale, profilazione e controllo (Disinformazione, phishing, spam, profilazione e orientamento del comportamento dei dipendenti)
Quarto modulo: Bot, botnet, deep fake, Metaverso (Deepfake e crimine, bot e botnet per uso criminale, crimine nel metaverso)
Quinto modulo: Intelligenza Artificiale e information warfare (Eserciti e armi autonome, droni, fake news)
Sesto modulo: intelligenza Artificiale e reati correlati al mondo aziendale (Antifrode in ambito bancario e assicurativo, tutela della proprietà industriale e accertamenti tecnici, tutela della proprietà intellettuale e strumenti di contrasto)
Settimo modulo: Intelligenza Artificiale e infrastrutture critiche (Privacy del paziente e rischi per la salute, attacchi alle strutture sanitarie)
Ottavo modulo: Intelligenza Artificiale e cybersecurity (Protezione dagli attacchi, detection, virus e malware, trasparenza e black box)
Nono modulo: Intelligenza Artificiale a supporto delle attività investigative (Digital forensics, sicurezza nazionale e antiterrorismo, contrasto all’evasione, antipirateria e anticontraffazione tra AI e ACR)
Decimo modulo: Intelligenza Artificiale e applicazioni pratiche (Tutele e rischi peri minori, Tribunali e ‘sistema giustizia”, analisi degli assistenti domestici)
I docenti del Corso di Perfezionamento organizzato dall’Università di Studi di Milano sono: C. Ardagna, S. Aterno, F. Basile, S. Battiato, F. Bavetta, N. Bena, F. Bertoni, D. Caccavella, L. Confente, P. Dal Checco, F. Ditaranto, M. Epifani, M. Flora, D. Gabrini, G. B. Gallus, S. Greco, T. Grotto, M. A. Incardona, B. Indovina, P. Kowalicka, S. Mele, F. P. Micozzi, G. Pasceri, P. Perri, E. Pino, A. Stanchi, S. Stanco, G. Vaciago, V. Vertua, A. Zampetti, G. Ziccardi.
Gli obiettivi formativi verranno raggiunti sia con la costruzione di una solida base teorica nel discente, sia con numerosi esempi e casi pratici risolti insieme allo studente e che coprono quasi tutti gli scenari possibili presenti oggi nella società digitale.
I posti disponibili sono soltanto 200, il corso è come sempre online anche in asincrono, quindi è possibile seguire le lezioni anche successivamente e in qualunque momento, possono iscriversi solo laureati/e (anche triennali) in qualsiasi disciplina, il costo è di euro 566,00 (comprensivo della quota assicurativa nonché dell’imposta di bollo, pari a euro 16,00, prevista dalla legge).
La locandina del Corso di Perfezionamento in Criminalità Informatica e Indagini Digitali è disponibile qui di seguito.
Le lezioni si terranno su piattaforma Zoom e Moodle in lingua italiana, la graduatoria di accesso verrà attivata solo in caso di superamento dei 200 iscritti.
La scadenza del bando per l’iscrizione al Corso di Perfezionamento è il giorno 3 ottobre 2023 alle ore 23.59, per iscrizioni, informazioni e contatti è disponibile la pagina presso il sito dell’Università degli Studi di Milano, raggiungibile al seguente link.
Nell’ambito delle perizie informatiche forensi il tempo è un elemento dirimente, che ricorre in diversi contesti delle analisi tecniche: timeline, supertimeline, metadati, perizie su email ordinarie o PEC, data di creazione, modifica o accesso di un file, data di pubblicazione di un post o una pagina web, sono diventati argomenti su cui si ragiona quasi quotidianamente.
Ulteriori complicazioni vengono dalle varie interpretazioni del tempo informatico, che introducono questioni come Unix Epoch Time (numero di secondi dal 1970), Mac HFS+ timestamp (numero di secondi dal 1904), GMT, UTC, Zulu Time, AM/PM (importante la distinzione tra ore 12AM e ore 12PM), il concetto di mezzanotte e mezzogiorno, il protocollo di gestione di ora solare e ora legale (l’ora legale ha inizio l’ultima domenica di marzo e termina l’ultima domenica di ottobre) che vanno tutte tenute ben presenti quando si analizzano eventi, si richiedono log telematici di accesso per utilizzo Giudiziario.
Quando poi il tempo entra in contatto con la legislazione, si sollevano questioni come i termini per un deposito di una perizia informatica, per un ricorso, per una richiesta di liquidazione, per la produzione di memorie, relazione tecnica di CTU informatica, impugnazione, comparsa, che dagli orari di ufficio e notifica via Ufficiale Giudiziario o Poste sono stati traslati nell’utilizzo della PEC, Posta Elettronica Certificata, dei sistemi di gestione delle cause civili tramite PCT, nei sistemi per le spese di Giustizia SIAMM, dove non vi sono più contatti diretti e orari di ufficio ma spesso si fa riferimento alla necessità del compimento di un determinato atto “entro le ore 24:00” del giorno di scadenza.
Chi è uso a questi concetti e vincoli non può non essere affascinato dall’interessantissima Sentenza di Cassazione n. 1519 del 18 gennaio 2023 che ha fornito importantissime precisazioni sul tema della notifica di un ricorso a mezzo PEC quando il termine del ricorso sono le ore 24:00 del giorno di scadenza.
Le domande cui la sentenza risponde sono le seguenti: quando finisce esattamente un dato giorno? Quando inizia esattamente il giorno successivo? Che differenza c’è tra le ore 24:00:00 di un giorno e le ore 00:00:00 di quello dopo? A che giorno appartiene quel secondo?
La Sentenza, scritta in modo tecnicamente ineccepibile, che apre ribadendo l’illegittimità costituzionale della legge che imponeva che una PEC inviata dopo le ore 21:00 e prima delle ore 24:00 fosse da considerarsi perfezionata per il mittente e il destinatario alle ore 7:00 del giorno successivo, consolidando l’orientamento per il quale “la spedizione del messaggio a mezzo PEC effettuata tra le ore 21 e la fine dell’ultimo giorno continua a perfezionarsi, per il destinatario, alle ore 7 del giorno successivo, mentre per il mittente occorre far riferimento al momento della generazione della ricevuta di accettazione di cui all’art. 6, comma 1, d.P.R n. 68/2005 (recante Regolamento recante disposizioni per l’utilizzo della posta elettronica certificata)”.
Emerge già qui, nella precisazione relativa alla questione delle ore 7:00, come per il mittente fa fede la data contenuta nella ricevuta di accettazione della PEC “nella quale sono contenuti i dati di certificazione che costituiscono prova dell’avvenuta spedizione” (ex art. 6, comma 1, d.P.R n. 68/2005) e quindi anche se la ricevuta di consegna (e quindi contestualmente la consegna) della PEC è successiva non rappresenta un problema. Dal punto di vista tecnico, è utile ricordare che anche la datazione della ricevuta di accettazione viene inserita dal server di Posta Elettronica Certificata nella ricevuta di consegna della PEC e non fa fede sull’orario del PC del mittente… questo rende vano il tentativo d’invio di una PEC retrodatando la data del PC, cosa che con una email normale invece causa la consegna di una mail che – almeno all’apparenza – sembra inviata alla data inserita dal mittente.
Anche se questa problematica è ultronea al caso in esame, una riflessione nasce spontanea: si potrebbe pensare di retrodatare localmente l’orario del PC per rimanere nei termini d’invio di una PEC, inviando così una PEC retrodatata. Per chi si chiedesse cosa accade retrodatando la data o l’ora del PC nel momento in cui s’invia una PEC, la risposta è che s’invia una PEC dentro la quale il messaggio è retrodatato, ma la busta non lo è. Quindi il destinatario riceverà una normale PEC con la corretta e ufficiale UTC data di accettazione e consegna, dentro la quale vi sarà un messaggio che, all’apertura, mostrerà la data manipolata dal mittente e quindi la prima impressione può esser quella di PEC retrodatata mentre in realtà non vi sono ambiguità.
Come si può osservare dall’esperimento di PEC retrodatata mostrato qui sopra, il corpo del messaggio risulta retrodatato come la data del PC, ma l’orario di consegna della PEC è corretto e oggettivo, è quindi possibile dimostrare anche senza avvalersi di una perizia informatica su posta elettronica o analisi forense che la PEC è stata manipolata durante l’invio e, in ogni caso, fa fede come già indicato sopra in base all’art. 6, comma 1, d.P.R n. 68/2005 il valore di data e ora inserito dal Certificatore nella ricevuta di consegna.
La Cassazione a questo punto si addentra nella questione più delicata della validità di un ricorso notificato alle ore 24:00:00 del giorno di scadenza, cioè quando il giorno di scadenza è terminato ma che compaiono nelle PEC come ora 00:00:00 del giorno successivo, dato che il ricorso in esame aveva ricevuta di accettazione contenente orario 00:00:00 del giorno successivo al termine.
Per arrivare alla soluzione, la Corte parte dal ragionamento che “non è concepibile – già sul piano logico – che un determinato “minuto secondo” possa appartenere, ad un tempo, a due giorni, quand’anche immediatamente contigui” e quindi un dato secondo o appartiene a un giorno oppure a un altro. Il ricorrente ovviamente sostiene che le 00:00:00 appartenessero al giorno di scadenza, il resistente invece che appartenesse già al giorno successivo: parliamo in questo caso dell’orario di invio della PEC, ci sarebbe poi in realtà la questione dell’orario di accettazione, che in questo caso non entra nel ragionamento.
La cassazione osserva come “benché collegata a nozioni che svariano dalla filosofia all’astrofisica, ha essenzialmente una base convenzionale oltre che scientifica, occorre comunque evidenziare che – almeno ai fini che qui interessano – il primario dato normativo di riferimento va individuato nel Regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio, del 23.7.2014 (c.d. Regolamento eIDAS – electronic IDentification Authentication and Signature)” e quindi passa ad approfondire come i gestori delle PEC certificano il tempo apponendo “un riferimento temporale su ciascun messaggio e quotidianamente una marca temporale sui log dei messaggi“.
Affascinante poi la trattazione di come vengono calcolati i secondi nel modello UTC e di come vi sono alcune correzioni di un secondo che potrebbero, in altri casi diversi da quello oggetto di causa, introdurre nuovi dubbi perché un paio di giorni all’anno potrebbero avere un secondo in più o in meno, cosa che genererebbe chiaramente una ambiguità in atti notificati in quel secondo: “Il riferimento temporale che viene in rilievo, ai fini delle trasmissioni a mezzo PEC, è dunque il Coordinated Universal Time (noto con l’acronimo UTC); questo rappresenta una scala di tempo che, parametrata al fuso orario corrispondente per ciascun Paese (in Italia, +1 o +2, a seconda che sia in vigore l’ora solare o l’ora legale), è stata adottata dall’International Telecommunication Union (Agenzia nell’egida dell’ONU, con sede a Ginevra) e diffusa a livello planetario a partire dal 1972. Detta modalità di misurazione, pur sostanzialmente coincidente con il GMT (c.d. Tempo Medio di Greenwich), è basata su complesse metodologie di calcolo generate da precisi orologi atomici, per quanto necessiti di specifiche correzioni ad epoche prefissate (generalmente apportate, se del caso, il 30 giugno e/o il 31 dicembre di ogni anno), per allineare l’UTC alla velocità di rotazione della Terra, non sempre costante. In tal caso, l’adeguamento può comportare l’addizione o la sottrazione di un secondo: si tratta del c.d. “secondo intercalare”, o leap-second, in terminologia anglosassone, e il suo utilizzo è demandato all’International Earth Rotation and Reference Systems Service-IERS. Può dunque accadere che – secondo i dati emergenti dalle suddette misurazioni e con un preavviso, di regola, di circa sei mesi – lo IERS stabilisca che occorre apportare una correzione ad un determinato giorno di fine giugno o fine dicembre, stabilendone la durata in 24h più un secondo, ovvero in 24h meno un secondo, in base all’occorrenza (si veda, in particolare, la Recommendation ITU-R TF 460-6); da quanto consta, l’ultima l’addizione di un secondo, da parte dello IERS, è avvenuta il 31 dicembre 2016, che pertanto – anticipandosi sin d’ora quanto meglio si dirà nel par. 2.7.7 – è spirato alle ore 23:59:60 ed è durato un secondo in più rispetto alla norma. Pertanto, è evidente che, ove l’ente preposto dovesse valutare la necessità di sottrarre un secondo (evenienza che, da quanto risulta, non s’è finora mai verificata), quel dato giorno verrebbe a spirare alle ore 23:59:58, ossia durerebbe un secondo in meno.“.
Alla fine, la Corte di Cassazione arriva al dunque precisando che “la misurazione relativa al giorno “x” non può che avere come dato iniziale, per una ragione di immediata intuitività logica, le ore 00:00:00; sul punto, può qui anche richiamarsi Cass. n. 24637/2014, che – seppur senza giungere a tale elemento di dettaglio, in quel caso non necessario – indica significativamente, e non a caso, il momento d’inizio del calcolo con “le ore zero del giorno stesso”. In secondo luogo, poiché il giorno è destinato a durare, di regola, complessivi 86.400 secondi, ne deriva che la fine del giorno considerato (ovvero, “lo spirare della mezzanotte”, per usare le medesime parole di Corte cost. n. 75/2019) non resta integrata fino a che l’ultimo secondo (ossia, l’86.400°) non si sia ancora integralmente consumato, il che avviene nell’esatto momento in cui scatta il secondo immediatamente successivo: pertanto, il giorno in questione termina effettivamente – almeno ai fini che qui interessano, com’è ovvio – alle ore “23:59:59” UTC (in relazione al fuso orario italiano), mentre quello immediatamente seguente segnerà le ore “00:00:00” UTC, senza soluzione di continuità, indiscutibilmente rappresentando il primo secondo del nuovo giorno. Almeno con riguardo alle notifiche telematiche, non può dunque configurarsi alcuno spazio, tecnicamente inteso, perché vengano prese in considerazione le ore “24:00:00”. Pertanto, quale ulteriore corollario, si ha che il riferimento alla “ricevuta di accettazione … generata … entro le ore 24 …”, come indicato dalla più volte citata Corte cost. n. 75/2019, deve essere letto nel senso che la ricevuta in discorso, ove si tratti di notificazione di una impugnazione, deve essere generata al più tardi entro la ventiquattresima ora dell’ultimo giorno, ossia entro le ore 23:59:59. Il discorso, naturalmente, può complicarsi ove un evento simile a quello da cui origina la questione in esame – indubbiamente “al limite”, oltre che di sicura rarità –, che si svolgesse con la medesima tempistica (ossia, con invio del messaggio nel secondo immediatamente successivo all’86.400° secondo del giorno di scadenza) dovesse intervenire in uno dei giorni oggetto di adeguamento mediante addizione del “secondo intercalare” (v. supra, par. 2.7.5), ma il problema è certamente irrilevante nel caso che occupa, giacché il 12 dicembre 2016 non venne interessato dalla questione.”
La conclusione della Cassazione è che ” Sulla questione fin qui esaminata può dunque affermarsi il seguente principio di diritto: “In tema di notifica del ricorso per cassazione a mezzo PEC, a seguito della sentenza della Corte Costituzionale n. 75 del 2019 – che ha dichiarato l’illegittimità dell’art. 16-septies del d.l. n. 179/2012, conv. in legge n. 221/2012 nella parte in cui tale norma prevedeva che la notifica eseguita con modalità telematiche, la cui ricevuta di accettazione è generata dopo le ore 21 ed entro le ore 24 dell’ultimo giorno utile ad impugnare, si perfeziona, per il notificante, alle ore 7 del giorno successivo, anziché al momento di generazione della predetta ricevuta – l’applicazione della regola generale di scindibilità soggettiva degli effetti della notificazione per notificante e destinatario implica che la stessa ricevuta di accettazione deve essere generata, al più tardi, entro la ventiquattresima ora del predetto ultimo giorno utile, ossia entro le ore 23:59:59 (UTC), giacché, con l’insorgere del secondo immediatamente successivo, alle ore 00:00:00 (UTC), il termine di impugnazione deve intendersi irrimediabilmente scaduto, per essere già iniziato il nuovo giorno, restando irrilevante che il ricorso sia stato già avviato alla spedizione dal mittente prima di tale momento”.“
In sostanza, il secondo che segna le ore 00:00:00 fa già parte del giorno successivo, un ricorso che dalla PEC risulta notificato alle ore 00:00:00 di tale giorno è scaduto se il termine era il giorno precedente, a meno che non si tratti del 30 giugno o 31 dicembre di ogni anno, date nelle quali, per allineare l’UTC alla velocità di rotazione della Terra, potrebbero avvenire aggiunta o sottrazione di un secondo (detto “secondo intercalare” o “leap-second” in base alle direttive dell’International Earth Rotation and Reference Systems Service-IERS e in tal caso credo andrebbe valutato singolarmente.
Per chi è interessato a visionare e scaricare la Sentenza in PDF della Corte Di Cassazione – Sentenza N. 1519 Del 18 Gennaio 2023, Corte Costituzionale – Sentenza N. 75 Del 9 Aprile 2019 e Decreto Legge N. 179 del 18 Ottobre 2012 (Aggiornato Al 16/07/2020) oltre al DPR dell’11 febbraio 2005 sulla Posta Elettronica, citati nella Sentenza può trovarle in allegato al post su Edotto che commenta la Sentenza, articolo tra l’altro interessante perché formula ulteriori considerazioni giuridiche, oppure direttamente sul sito della Cassazione, Corte Costituzionale e sul sito della Documentazione Economica e Finanziaria a cura del CeRDEF ai link diretti che seguono:
Da oggi è disponibile per il download la nuova versione della Live Distro per Digital Forensics “Tsurugi Acquire” in versione 2021.1, soluzione ideale in ambito d’informatica forense per eseguire copie forensi e cristallizzazione di evidenze digitali.
Tsurugi Acquire è una distribuzione forense – prodotta dal Team Tsurugi – progettata in modo da occupare poco spazio sia su disco sia in RAM e quindi molto veloce da caricare al boot sui sistemi che supportano l’avvio da CDROM, DVD o USB. Si tratta in sostanza di una versione ridotta di Tsurugi Linux Lab alla quale sono stati rimossi tutti gli strumenti non necessari in fase di triage e copia forense, pensata per essere supportata sulla maggior parte dei dispositivi (PC, Macbook, Netbook, Tablet, etc…) e architetture che supportano il boot di un OS esterno a 32 bit in attività di triage, eDiscovery, copia forense e cristallizzazione dei dati per utilizzo in Tribunale a uso legale, ad esempio durante CTP o CTU informatiche o per la redazione di perizie tecniche forensi.
Grazie alla esigua dimensione, la forensic distro Tsurugi Lab è in grado di essere avviata e caricata direttamente in RAM (utilizzando l’opportuna selezione al boot o passando il parametro “toram” al kernel) in modo tale da velocizzare le operazioni e liberare una porta USB, essenziale ad esempio quando si acquisiscono in maniera forense dispositivi con una sola porta disponibile.
La distro forense Tsurugi Acquire Live 2021.1 è basata su distribuzione Linux Debian 10 con kernel patch 5.11.6 a 32 bit in modo da poter garantire la massima compatibilità anche con dispositivi obsoleti.
Nella forensic distro Tsurugi Linux Acquire è presente un sistema di risoluzione automatica della risoluzione dello schermo, in modo tale da poter adattare la dimensione delle icone e dei menu anche ai dispositivi Retina e agli schermi con risoluzione 4k.
La distribuzione Tsurugi Acquire Live 2021.1 è scaricabile dal sito ufficiale Tsurugi Linux, consigliamo sempre di verificare il valore hash delle versioni in download, scaricando anche la hash list e la relativa firma digitale, eseguita tramite la chiave pubblica del Team Tsurugi, scaricabile sempre al sito alla pagina download.
Il valore SHA256 della versione Linux Tsurugi Acquire 2021.1, salvata nel file “tsurugi_acquire_2021.1.iso”, è il seguente:
Sono passati ormai oltre tre anni da quando l’FBI ha avviato un’impegnativa opera di divulgazione e formazione preventiva circa la truffa dei bonifici tramite compromissione della posta elettronica e falsi IBAN. Da allora, il fenomeno è aumentato in modo esponenziale e ancora oggi ogni giorno numerose aziende italiane sono vittima del raggiro del bonifico deviato verso un falso IBAN tramite false email e fatture od offerte PDF modificate ad arte.
Poiché lo Studio esegue anche attività in ambito d’incident response o digital forensics in ambito di questo tipo di truffa mediante email false, IBAN modificati e bonifici fraudolenti, riteniamo utile riprendere il discorso e presentare alcune caratteristiche di questo fenomeno che sta facendo perdere agli italiani decine di milioni di euro trasferiti spesso su conti IBAN esteri.
Un fenomeno in crescita
L’Italia è terreno fertile per questo tipo di truffa bancaria informatica e conta ormai migliaia di vittime con svariati milioni di soldi rubati tramite i bonifici o le spedizioni di merce. Nel 2015 ho partecipato a un servizio per Striscia la Notizia dove un’azienda ha raccontato la sua avventura con un bonifico fraudolento proveniente da un cliente estero che non è arrivato perché deviato – grazie all’ausilio di false email che sembravano provenire dall’azienda – verso un IBAN di un conto di un prestanome che lo ha poi svuotato impedendo così il recupero della somma bonificata.
Come agiscono i delinquenti
Questo tipo di truffe informatiche risulta piuttosto complesso da identificare, perché le modalità con le quali i delinquenti colpiscono le vittime sono svariate:
Attacco alla casella di posta tramite phishing, brute force o utilizzo di credenziali riciclate su più account provenienti dai vari leak disponibili in rete con conseguente monitoraggio della mailbox a volte anche tramite inoltro delle mail tramite forward e blocco di alcuni indirizzi;
Installazione di trojan e spyware sui PC o smartphone di chi esegue o riceve i bonifici o comunica con clienti e fornitori;
Attività di social engineering (su Linkedin, Facebook, etc…) finalizzato a identificare le relazioni tra membri della società così da poter inviare false mail con richieste di bonifici fraudolenti verso IBAN creati ad hoc;
Registrazione di domini simili a quello della vittima o dei suoi fornitori e clienti, utilizzando poi le caselle di posta per perpetrare la truffa dei trasferimenti deviati verso IBAN di terzi;
Non sempre il furto avviene tramite bonifici, in alcuni casi i criminali hanno convinto le vittime a spedire del materiale verso indirizzi controllati da loro (magazzini, capannoni, etc…) fingendosi gli acquirenti che in realtà sono ignari della nuova destinazione della merce che hanno in realtà realmente pagato (ma bonificando la cifra richiesta su conti bancari diversi da quello del fornitore);
In alcuni casi la compromissione delle mail permette ai delinquenti di sostituirle in tempo reale tramite IMAP e la funzione di upload e modifica dei messaggi, rendendo così superfluo l’invio di posta da canali fraudolenti, dato che diventa più semplice modificarla direttamente sul server della vittima prima che questa ne scarichi il contenuto.
Come posso difendermi dalle truffe dei bonifici con IBAN falsi?
La miglior difesa è, purtroppo, la formazione del personale che deve essere ben consapevole che se un fornitore richiede un repentino cambiamento del conto IBAN sul quale versare il saldo indicato in fattura, è necessario eseguire adeguate verifiche tramite telefonate, fax o PEC. Imparare a distinguere una falsa mail destinata a perpetrare la frode dei bonifici può permettere all’azienda di non diventarne vittima.
Ovviamente le email false avranno una forte somiglianza con quelle originali, sia negli indirizzi sia nel contenuto, ma spesso uno sguardo attento è sufficiente per cogliere gli elementi distintivi e capire se si tratta di un messaggio originale o prodotto dai delinquenti a fini di truffa e raggiro.
Dal punto di vista tecnico, esistono diverse soluzioni che permettono di configurare dei filtri sulla posta elettronica finalizzati a identificare potenziali email fraudolente e segnalarle all’utente o agli amministratori di sistema. Una mail che arriva in azienda da indirizzo di posta aziendale ma partendo da server esterni può ad esempio essere un’indice di compromissione, così come la presenza di un indirizzo “Reply to:” diverso da quello del mittente.
Poiché client di posta elettronica tipo Outlook non mostrano chiaramente il vero indirizzo del mittente, che può quindi essere più facilmente mascherato, è importante verificare, nel momento in cui si risponde a un messaggio, a quale indirizzo arriverà la risposta.
Se si ricevono mail da parte dell’Amministratore Delegato o di apicali che richiedono l’esecuzione di un bonifico pregando di non informare nessuno e di procedere speditamente, è indispensabile richiedere una conferma telefonica o di persona. Molto spesso infatti nelle truffe di tipo “CEO Fraud” non vi sono accessi abusivi alle caselle di posta ma i delinquenti provano a inviare mail da indirizzi di posta falsi, fingendosi dirigenti o apicali e sperando che i destinatari non si accorgano della differenza ed eseguano gli ordini ricevuti. Spesso vengono messi in copia anche Avvocati o Studi Legali finti (o veri ma con indirizzi falsi) così da rendere più autorevole la richiesta.
Come vengono chiamate queste truffe dei bonifici?
La truffa dei bonifici deviati verso IBAN falsi tramite email create ad hoc così da ingannare il ricevente è nota con i termini di CEO Fraud, Payment Diversion, Executive Scam, Business Executive Scam, Bogus Boss, Boss Fraud, CEO scam o CEO phishing, Wire Transfer Fraud, Corporate Account Takeover o CEO impersonation.
Quando si rileva anche un’attività di compromissione e accesso abusivo alla mail aziendale, si parla di truffa di tipo Man in The Mail, Business Email Compromise, BEC, BEC Scam, BEC Fraud o BEC Attack. In questi casi, la mail, i server o il PC delle vittime sono (stati) posti sotto controllo da parte dei delinquenti, che a un certo punto si sostituiscono a uno dei due interlocutori impersonandolo.
Posso recuperare la cifra che ho bonificato all’IBAN sbagliato?
In genere, i bonifici fraudolenti vengono fatti verso conti esteri oppure conti italiani registrati da prestanome. Una volta ricevuto, i criminali utilizzano una rete di money mule per svuotare il conto, cioè persone che – consapevolmente o meno – si fanno inviare alcune migliaia di euro a testa e li rigirano verso conti terzi dopo aver trattenuto una percentuale per il “lavoro”. Questo passaggio rende molto più complicato tracciare il flusso di denaro sottratto con l’inganno alla vittima e permette di svuotare il conto molto velocemente, così che quando la vittima capisce di essere stata truffata tramite bonifici fraudolenti spesso non è in grado di recuperare il maltolto.
Devo fare denuncia presso l’Autorità Giudiziaria?
Ovviamente non c’è obbligo di denuncia querela ma certamente può essere importante farla, se non altro per rendere le Forze dell’Ordine consapevoli dell’entità del fenomeno. Raramente la denuncia porterà al recupero dei fondi rubati, spesso non si riuscirà a capire neanche dove sono stati trasferiti, in ogni caso è eticamente e civilmente sensato sporgere denuncia querela facendosi supportare da legali esperti se possibile in informatica giuridica.
Dal punto di vista del GDPR e della protezione dei dati, invece, se la truffa è di tipo “Man in The Mail” e l’accesso alla casella di posta è avvenuto tramite phishing, trojan o brute force, può essere obbligatorio segnalare al Garante l’avvenuto data breach.
Di chi è la responsabilità? Della banca? Del fornitore? Del cliente?
Spesso chi fa il bonifico all’IBAN sbagliato avrebbe la possibilità di accorgersene prestando attenzione agli indirizzi utilizzati dai delinquenti. Ciò che impedisce alle vittime di realizzare quanto sta accadendo è, spesso, il fatto che i delinquenti utilizzano (nel caso di Man in The Mail) uno scambio di corrispondenza con uno storico tale da rendere “credibile” la fonte e superflue verifiche.
Quando a una visione attenta della mail è possibile verificare che il mittente non è davvero il fornitore certamente una parte di responsabilità può essere demandata alla vittima. Vero è che se la truffa è stata possibile grazie alla compromissione di caselle o computer del fornitore, il rapporto di responsabilità può invertirsi.
Anche la banca può in alcuni casi essere considerata responsabile, se ad esempio accetta di aprire un conto a un prestanome con il nome di una società di cui egli non è il titolare, oppure se riceve grandi quantità di denaro destinate a persone o aziende diverse da quella indicata nell’intestazione del conto, per quanto in alcuni casi non sembra ci sia l’obbligo di verifica.
Se le mail false e fraudolente tramite le quali i delinquenti richiedono i bonifici falsificando i PDF delle fatture provengono realmente dagli indirizzi di posta dei fornitori, certamente la responsabilità può essere demandata ad essi, perché la carenza di misure minime e controlli di sicurezza ha fatto sì che i criminali riuscissero a entrare nelle caselle di posta e utilizzarle per la truffa.
Cosa posso fare se sono stato truffato?
Sicuramente può essere strategica una perizia informatica sulla truffa Man in The Mail avvenuta via bonifico a falso IBAN presso banca estera o italiana, finalizzata a identificare eventuali responsabilità, capire se c’è stato un data breach, un accesso abusivo tramite trojan, phishing, brute force oppure se la compromissione può essere lato fornitori o clienti o ancora se non si rilevano malware o violazioni alla sicurezza ma solo l’utilizzo di account di posta o domini opportunamente plasmati.
La perizia informatica sul Man in The Middle può essere utilizzata da uno studio legale specializzato in informatica forense, per produrre una querela o una richiesta di conciliazione con il cliente o il fornitore coinvolto a sua insaputa nella truffa. La responsabilità della parte il cui account di posta o i cui sistemi sono stati compromessi infatti è un elemento che può permettere alla parte che ha perso il denaro (o la merce) di richiedere uno storno, una spedizione, un risarcimento.