Archivi tag: bitcoin

Dalle Istituzioni alla Blockchain con E-Privacy a Bari

Il 3 e 4 ottobre 2019 si terrà a Bari, presso la Biblioteca dell’Ordine degli Avvocati in Piazza Enrico de Nicola, 1, la conferenza E-Privacy 2019 XXVI, Autumn Edition.

E-Privacy 2019 a Bari - Dalle Istituzioni alla Blockchain

Il tema guida della XXVI edizione di e-privacy è “Dalle Istituzioni alla Blockchain”
Condivisione, fiducia, consenso e delega attraverso la tecnologia in un mondo senza privacy?”.

La partecipazione al convegno è libera e gratuita, e l’iscrizione è facoltativa, l’evento ha il patrocinio morale dell’Ordine degli Avvocati di Bari, sono stati riconosciuti 9 crediti formativi per gli avvocati partecipanti (di qualsiasi Ordine provinciale), 3 per ogni mezza giornata.

La manifestazione e’ organizzata dal Progetto Winston Smith (un’associazione senza fini di lucro che si occupa della difesa del diritto alla privacy in Rete e fuori) e il progetto HERMES (Centro Studi Trasparenza e Diritti Umani Digitali) oltre ad altre organizzazioni, aziende e associazioni.

Il programma della conferenza E-Privacy 2019 a Bari è il seguente:

Giovedì 3 ottobre 2019 – mattina

Chairman: Marco A. L. Calamari (Progetto Winston Smith)

10:00: Apertura lavori: “Conoscenza”
10:05: Saluti istituzionali
10:20: Monica Gobbato , Alessia Roberto e Giacomo De Simio (Sme System s.r.l.) – Dalla autentica digitale all’analisi predittiva del valore dell’opera tramite big data. Aspetti sottesi alla tecnologia nel mondo delle arti figurative
10:50: Adriana Augenti (Studio Legale Augenti Diasparro) – La trasformazione tecnologica del Mercato dell’Arte
11:10: Enrica Priolo (Avvocata e formatrice) – Come uso ciò che so?
11:40: Marco Ciurcina (StudioLegale.it) – Privacy e condivisione della conoscenza
12:00: Yvette Agostini – VR,AR,XR: l’estensione tecno-mediata dei confini della realtà percepita
12:30: Alessandro Ricciuti (Bitcoin Foundation Puglia) – Delete: diritto all’oblio
13:00: PAUSA PRANZO

Giovedì 3 Ottobre 2019 – pomeriggio

Chairman: Nicola Gargano

15:00: Apertura lavori pomeridiani: Istituzioni e Blockchain
15:05: Tommaso Scannicchio (CILD Coalizione Italiana Libertà e Diritti) – LIBRA: una bilancia in equilibrio sulla privacy
15:35: Graziano Albanese – Distributed ledger technology:fiducia e trasparenza, paradigma o utopia per i servizi al cittadino nel rispetto del principio della trasparenza per le pubbliche amministrazioni.
16:05: Rebecca Berto – Blockchain: dicotomia del consenso
16:25: Paolo Dal Checco (Consulente Informatico Forense) e Marco Tullio Giordano (LT42) – Metodologie, procedure e limiti delle indagini forensi e di Polizia Giudiziaria su blockchain ed exchange
16:55: Riccardo Fallacara (Bitcoin Foundation Puglia) – Blockchain: problem or solving
16:55: Tavola Rotonda: Blockchain’s out? – Modera: Marco A. L. Calamari (Progetto Winston Smith) – Partecipano: Paolo Dal Checco (Consulente Informatico Forense), Marco Tullio Giordano (LT42), Riccardo Fallacara (Bitcoin Foundation Puglia), Giuseppe Mastronardi (Politecnico di Bari) e Claudia Cascione (Università degli Studi di Bari)
18:30: Chiusura lavori prima giornata

Venerdì 4 Ottobre 2018 – mattina

Chairman: Adriana Augenti (Studio Legale Augenti Diasparro)

10:00: Apertura lavori
10:00: Marco A. L. Calamari (Progetto Winston Smith) – Information Overload e Social Overload
10:20: Alfredo De Felice (CRC Lex) – Blockchain e DLT: un nuovo approccio all’identità digitale
10:40: Roberto Reale (Libero professionista) – Tokenizzare il panopticon. Privacy, sorveglianza e consenso nella società disintermediata
11:25: Raoul Chiesa (Security Brokers) – (Digital) Democracy and massive-control in the post-Snowden age
12:10: Manuela Vacca (Oohmm), Renato Gabriele (Oohmm) e Giulia Seno (Giornalista) – Dal rumore alla conoscenza: l’etica e l’algoritmo per decifrare i big data
12:25: Tavola Rotonda: Social Overload – Modera: Adriana Augenti (Studio Legale Augenti Diasparro) – Partecipano: Marco A. L. Calamari (Progetto Winston Smith), Roberto Reale (Libero professionista), Raoul Chiesa (Security Brokers), Marco Bellezza (Consulente M.I.S.E.) e Giovanni Battista Gallus (Circolo dei Giuristi Telematici – Nexa Center)

Blockchain, criptovalute e Bitcoin: applicazioni in ambito notarile

Venerdì, 15 marzo 2019 si terrà il seminario di aggiornamento professionale per Notai, in collaborazione con il Consiglio Notarile dei distretti riuniti di Viterbo e Rieti, con argomenti di attualità e relatori di altissimo valore professionale.

Il seminario, proposto da FormazioneWebTV e JusWeb, è nato dall’esigenza di fornire al Notaio un quadro esauriente delle tecnologie basate sulla blockchain, con particolare riferimento ai profili giuridici e fiscali ed alle possibili applicazioni pratiche, quali le stipule in bitcoin e le operazioni societarie in criptovalute con le connesse implicazioni in ambito antiriciclaggio. Al tempo stesso, durante il convegno il notaio già informato o formato su questi argomenti avrà l’opportunità di confrontarsi con esperti per approfondire eventuali problemi emersi nel corso dell’attività professionale. Un percorso tra tecnologia e diritto, anche alla luce del d.l. 135/2018 che riconosce il valore giuridico dei dati certificati tramite blockchain

Convegno su blockchain per Consiglio Notarile di Viterbo

Il CNN ha attribuito 10 Crediti Formativi al convegno, che è possibile seguire da remoto, in diretta, tramite accesso all’area riservata del sito FormazioneWebTV. Per informazioni su costi o iscrizioni, consigliamo di visionare la pagina ufficiale sul seminario per notai che si terrà a Viterbo.

Il mio intervento come relatore sarà introduttivo e verterà sulle basi della blockchain e del bitcoin, con cenni alle potenzialità investigative tramite blockchain forensics e intelligence, alla raccolta e analisi della prova digitale in ambito di cripotomonete, al sequestro di bitcoin e cryptocurrencies

Il programma completo del seminario sulla blockchain per notai, che durerà tutta la giornata di venerdì, è il seguente:

Presiede
Federico Tedeschi Porceddu, presidente del Consiglio notarile Viterbo/Rieti

9,30/13,30

Paolo Dal Checco, titolare dello Studio tecnico d’informatica forense, CTP e CTU in Torino
Introduzione tecnica e storica su blockchain e criptovalute

Raffaele Battaglini, avvocato, Battaglini-De Sabato Law Firm
Blockchain / Smart Contracts / ICO – aspetti giuridici essenziali

Remo Maria Morone, notaio in Torino
Stipulare in bitcoin

Eugenio Stucchi, notaio in Carmagnola (TO), Commissione informatica del notariato
Il conferimento in società di criptovalute

Stefano Capaccioli, dottore commercialista in Arezzo, membro del gruppo esperti Blockchain del Ministero dello sviluppo economico
Utilizzo di criptovalute all’interno della contabilità, Intervento fuori programma

Dibattito e quesiti ai relatori

PAUSA

15,00 – 18,00

Vincenzo Aguì, ricercatore, cofondatore di Helperbit
Tokenizzazione e altri ambiti operativi della blockchain di interesse notarile

Stefano Massarotto, dottore commercialista tributarista, partner dello Studio tributario Facchini Rossi & Soci in Milano e Roma
Il regime fiscale delle criptovalute e delle ICOs

Marco Tullio Giordano, avvocato in Milano, R&P Legal Studio Associato
Antiriciclaggio e criptovalute

Dibattito e quesiti ai relatori

IISFA Memberbook 2018 – pubblicati 14 nuovi articoli sulla digital forensics

Come ogni fine anno, arriva il momento della pubblicazione del consueto volume di raccolta di articoli della serie “IISFA Memberbook” sulla digital forensics, realizzati nell’ambito delle attività dell’associazione IISFA Italian Chapter.

Continua a leggere→

Crescono gli attacchi di “Man in The Mail”, la truffa dei bonifici a falsi IBAN

Sono anni che si parla della truffa dei bonifici deviati in modo fraudolento verso falsi IBAN ai quali le aziende inviano fondi destinati a fornitori a fronte di false fatture modificate ad hoc da criminali che si sono insinuati nelle caselle di posta elettronica al fine di spiare le comunicazioni tra cliente e fornitore. L’FBI ha segnalato ormai da tempo il problema come una delle truffe maggiormente in voga nei confronti delle aziende e anche in Italia se n’è parlato in TV, sui giornali e online.

Nonostante questo, novembre è stato un mese nero per le truffe bancarie dei bonifici di tipo Man in The Mail (MITM) che prendono anche il nome di “Man in The Middle”, “BEC Scam”, “Wire fraud”, “Business Email Compromise”, “BEC Fraud” o ancora “Bogus Invoice Scheme”, “Supplier Swindle” o “Invoice Modification Scheme”. Se durante l’anno abbiamo ricevuto segnalazioni con frequenza di due o tre truffe al mese, nelle settimane di novembre le segnalazioni di Man in The Mail sono salite a diverse truffe al giorno.

Non è chiaro il motivo per il quale gli attacchi di falsificazione delle coordinate bancarie IBAN via email si sono fatti più aggressivi e pervasivi, al punto da colpire piccole, medie e grandi imprese, utilizzando persino IBAN ospitati presso enti bancari italiani, che dal punto di vista del riciclaggio e il rischio di blocco dei fondi diventano più complicati da gestire per i criminali.

L’FBI dichiara – nel suo rapporto del luglio 2018 – di aver conteggiato dall’ottobre 2013 al maggio 2018 ben 78.617 casi di Man in The Mail per una perdita totale di oltre 12 miliardi di dollari, cifre in aumento costante nonostante la consapevolezza di questa truffa stia cominciando a essere più presente fra le aziende.

Le modalità con le quali i criminali ottengono l’accesso ai dati riservati delle aziende tramite man in the middle, in particolare alla loro posta elettronica e alle loro fatture, cambia di volta in volta, così come la tecnica utilizzata per alterare i codici IBAN all’interno delle fatture originali, così da deviare il bonifico verso conti spesso poco tracciabili o dai quali, in ogni caso, i fondi verranno rimossi non appena arrivati grazie ai bonifici disposti volontariamente dalle vittime.

Da anni il metodo principale con cui avviene il man in the middle degli IBAN rimane il phishing, cui bisogna prestare massima attenzione, perché le difese tecnologiche spesso sono insufficienti di fronte a un operatore che fornisce le proprie credenziali ai delinquenti, anche tramite telefono (mediante il cosiddetto “vishing”, come è avvenuto pochi giorni fa) o SMS (in questo caso il fenomeno si chiama “smishing”) e persino via FAX. La percezione degli utenti è spesso quella del “mi hanno hackerato la mail” o “mi hanno bucato la casella di posta elettronica“, in realtà sono stati loro a fornire le credenziali agli attaccanti o persino il cookie di sessione, come mostrerò più avanti.

Precauzioni come l’autenticazione a due fattori (la cosiddetta “2fa”, “two factor authentication“) riducono il fenomeno ma non lo eliminano del tutto: è infatti possibile per i delinquenti rubare dalle vittime i cookie di sessione ed entrare direttamente nell’account di posta senza dover inserire username o password.

Oltre al phishing, uno dei vettori più comuni per il man in the mail è l’infezione tramite malware o trojan dei PC o degli smartphone di chi esegue movimenti e bonifici bancari. Tramite l’invio di una finta fattura, nota di credito, istanza o altro i criminali trasmettono in realtà un “dropper”, un programma in grado di scaricare il malware e installarlo sul PC, dove questo sarà in grado di spiare le attività dell’utilizzatore e carpire le password. Banalmente, dopo alcuni giorni o settimane di monitoraggio, i delinquenti procedono con la registrazione di domini simili a quelli di una delle due aziende coinvolte e all’invio delle email fake, con gli IBAN errati, così da trarre in inganno le vittime.

Ultimamente abbiamo rilevato diversi casi di Man in The Mail perpetrati attraverso l’accesso diretto alla casella di posta tramite protocollo IMAP, grazie al quale i criminali sostituiscono direttamente le email arrivate al cliente, lasciando intatto il testo ma modificando l’allegato PDF contente la fattura con il codice IBAN corretto che viene modificato indicandone uno diverso. Il cliente, scaricando la mail “farlocca”, pagherà la merce o i servizi al conto bancario IBAN sbagliato, intestato appunto ai delinquenti o in realtà a dei prestanome. In sostanza, il cliente riceve la mail corretta dal fornitore (il cui account quindi non è stato compromesso) ma quando la scarica, l’allegato PDF è diverso, il tutto grazie alla possibilità del protocollo IMAP di sostituire una mail (o l’allegato, nel caso specifico la fattura originale con il vero IBAN) lasciandola sul server in modo che la vittima possa scaricarla già falsificata.

Oltre a utilizzare sempre più spesso direttamente il protocollo IMAP per sostituire le mail originali con quelle false contenenti la fattura con IBAN modificato, una precauzione molto spesso presa dai truffatori è quella d’impostare un inoltro, o forward, su una o più caselle compromesse, così da evitare che i proprietari possano leggere le email inviate dai reali clienti o fornitori.

Una volta incassate le somme estorte con l’inganno i ladri procedono, tramite “money mule“, a svuotare il conto su cui vengono ricevuti i bonifici di chi è stato truffato, attraverso prelievi di contante o trasferimenti irreversibili mediante servizi di money transfer. In alcuni casi, il cash out e il money laundering viene fatto persino tramite acquisto di bitcoin. Questo è uno dei motivi per i quali le truffe di tipo Man in The Mail spesso non permettono l’annullamento o lo storno dei bonifici o il recupero delle cifre bonificate, che sono già state immediatamente svuotate dal conto della banca ricevente. In alcuni casi, fortunatamente, è possibile contattare immediatamente la banca che ha ricevuto il bonifico sull’IBAN farlocco per imporre il blocco dei fondi, cosa fattibile quando la banca di appoggio dei criminali è ad esempio in Italia, cosa difficile quando l’istituto bancario si trova all’estero in paesi lontani o poco collaborativi.

Lo Studio, per questo tipo di reati, esegue perizie su truffe bancarie di tipo “Man in The Mail” con bonifici su falsi IBAN finalizzate a identificare le modalità dell’attacco alla casella di posta o ai sistemi informatici ma soprattutto a capire chi è stato compromesso, se il compratore o il venditore. Dal punto di vista di un eventuale risarcimento, la perizia informatica sulla truffa degli IBAN cambia radicalmente la prospettiva nel caso in cui il raggiro sia avvenuto a causa della compromissione degli account o dei sistemi del fornitore/venditore, in tal caso il cliente che ha bonificato verso l’IBAN sbagliato può tentare di esonerarsi dalla responsabilità e ottenere comunque la merce o i servizi. In altri casi, non riuscendo a identificare correttamente la responsabilità di chi è stato causa indiretta della truffa (cioè colui che ha avuto l’indirizzo di posta elettronica bucato o i sistemi compromessi) si può tentare un accordo o conciliazione al 50%. Anche le banche possono essere coinvolte in una eventuale richiesta di risarcimento, con maggiore difficoltà, ma in alcuni casi i profili di responsabilità possono essere valutati andando oltre il cliente e il fornitore.

Con le iene sulla truffa con ricatto in bitcoin per il video della webcam

E’ andato in onda su Italia Uno il servizio dove ho fornito il mio piccolo contributo per Le Iene sulla famosa truffa informatica che sta intasando da alcuni mesi le nostre caselle di posta elettronica. Nicolò De Devitiis, con l’autore Marco Fubini, hanno magistralmente descritto nel loro servizio quella che sta diventando la truffa del “Paga o ti faremo vedere a tutti mentre guardi i porno”.