Giovedì 19 ottobre, durante la conferenza GDPR Day 2023 a Bologna, terrò insieme al Lgt. GdF Davide D’Agostino e all’Avv. Costanza Matteuzzi un talk sulla ormai consolidata truffa dei bonifici tramite IBAN fraudolento inserito all’interno di fatture inviate in PDF mediante posta elettronica dai fornitori ai clienti.
La truffa dei bonifici tramite MITM – anche nota come Business Email Compromise (BEC), o Wire Fraud – consiste nell’inserirsi in una o più caselle di posta elettronica di aziende o clienti privati al fine di spiarne le comunicazioni e intervenire nel momento in cui viene richiesto un pagamento fornendo il codice IBAN sul quale disporre il bonifico.
Ovviamente i criminali avranno l’accortezza di sostituire il valore IBAN, oppure di comunicare fraudolentemente il cambio IBAN con uno nuovo, al fine di deviare il bonifico verso un conto da loro controllato tramite prestanome o money mule così da prelevare immediatamente le cifre sottratte e renderle quanto più possibile irrecuperabili.
Questo tipo di frode online di alterazione IBAN o ingegneria sociale, configurato come un vero e proprio attacco informatico, oltre a rappresentare un data breach che va gestito così come prescritto dal Garante della Privacy e dal GDPR, causa enormi perdite economiche alle aziende che ricorrono tipicamente a vie legali per accertare le responsabilità e distribuire la perdita.
Dal punto di vista delle indagini di Polizia, le operazioni spesso si concentrano sull’acquisizione di log relativi alla frode online che si conclude con il cambio IBAN, tracce di attacco o connessioni a PC e mailbox, alla ricerca di potenziali forward/inoltri impostati dai criminali per deviare le mail verso terzi ed evitare che i legittimi destinatari ne possano leggere il contenuto, così da potersi posizionare “in mezzo” alla comunicazione (o fingere di essere uno dei due interlocutori, senza coinvolgere l’altro) e condurre così la truffa fino al momento in cui viene disposto il bonifico, guidati con l’inganno.
Durante il talk sulle truffe dei bonifici deviati verso IBAN fraudolenti e falsi verranno presentati alcuni metodi di prevenzione, indagine informatica forense, gestione giuridica in ambito penale e civile, spunti investigativi visti dal punto di vista dell’informatico forense, dell’operatore di Polizia Giudiziaria e dell’Avvocato che intervengono a seguito della truffa ormai avvenuta.
Al GDPRDay 2023 a Bologna si terranno, oltre a quello sulle truffe bancarie tramite IBAN e deviazione dei bonifici, numerosi altri talk su materie come cybersecurity, trasferimento internazionale di dati, email marketing, diritto all’oblio, profilazione e privacy, Brand Digitale e Privacy nel Social Media Marketing, Digital Forensics, tecnologia ZKP al servizio della privacy, attacchi informatici.
