Truffe, come funziona la tecnica Man-in-the-middle utilizzata dall’hacker per truffare l’avvocato

Non solo raggiri clonando la voce, ci sono altri casi preoccupanti segnalati dalle cronache recenti. Un avvocato di Roma, Alberto Bonu, ha pagato 10mila euro ad un truffatore, convinto invece di saldare una fattura ricevuta da una ditta edile per la ristrutturazione di un immobile. Si dirà: casi del genere purtroppo oggi sono frequenti (qui la nostra guida alle truffe più diffuse, online e telefoniche), cosa c’è di nuovo? L’elemento nuovo, e particolarmente inquietante, è che in questo caso il legale ha semplicemente effettuato un pagamento tramite bonifico per lavori di ristrutturazione, utilizzando l’Iban indicato sulla fattura ricevuta dall’azienda. Tuttavia, l’Iban apparteneva a un prestanome: i soldi sono andati su un conto diverso, addirittura di un’altra banca e intestato ad una terza persona, anziché alla ditta legittima che aveva fatto i lavori. Il caso è diventato palese solo dopo un ulteriore pagamento, di 5.000 euro, fortunatamente rifiutato dalla banca. Ma come è stato possibile tutto questo?

L’attacco informatico «Man-in-The-Middle»

Le caselle e-mail dell’avvocato, oppure dell’azienda edile (o perché no, di entrambi), con tutta probabilità hanno subìto un attacco informatico. Probabilmente, attraverso il phishing, il malvivente ha ottenuto le credenziali di accesso delle caselle. A questo punto, è stato possibile intercettare la corrispondenza. L’intruso è presumibilmente entrato nella casella email dell’impresa che ha inoltrato la fattura. Gli è bastato creare un Pdf identico alla fattura originale e cambiarne il conto corrente. Dopodiché ha reinoltrato la fattura falsificata attraverso l’indirizzo e-mail autentico dell’impresa edile, cancellando quella originale dalla casella e-mail dell’avvocato. Questo è solo uno dei tanti esempi della tecnica del man-in-the-middle, ovvero quando una terza persona («l’uomo in mezzo» che dà il nome alla truffa) si inserisce nella comunicazione tra due soggetti.

I bonifici

Il primo colpo è andato dunque a segno. Il bonifico da 10mila euro è finito in una filiale romana della banca Mediolanum, anziché alla Bnl di Brescia. Il secondo bonifico da 5.000 euro, è stato invece stornato e dunque rifiutato. Ma perché uno è andato a buon fine e l’altro no? Per comprendere meglio, abbiamo contattato un professionista che lavora nell’ambito bancario (e che preferisce rimanere anonimo). 

Le dinamiche

Come riportato nella testimonianza, l’avvocato vittima della truffa ha inviato due diffide lo scorso gennaio a Bnl, benché non abbia ottenuto (ancora) riscontro. Il legale ha sollecitato la restituzione della somma rubata, anche se il malfattore non è stato ancora rintracciato. A disposizione dell’uomo solo l’intestatario del conto, che potrebbe comunque essere un prestanome. L’avvocato Bonu si domanda anche come mai il primo bonifico sia andato a buon fine e l’altro no. Proviamo a rispondere noi.

In prima istanza il legale ha eseguito un bonifico parlante. Ovvero una transazione utile a fornire all’Agenzia delle Entrate tutte le informazioni necessarie al fine di ottenere una detrazione, in questo caso la possibilità di ricevere il 36% di restituzione dell’importo per la ristrutturazione dell’immobile. La causale è ricca di dettagli, ma non utili a fornire maggiori controlli. «Anzi, solitamente una causale molto dettagliata è molto più sicura di una causale altrimenti generica», riferisce la bancaria. 

Perché il primo bonifico non è stato bloccato

«Di recente i bonifici istantanei non sono più soggetti a costi extra. Così il numero di transazioni giornaliere è aumentato esponenzialmente. Questo ha reso impossibile un controllo manuale su ogni operazione». E così le banche virano sugli algoritmi, ovvero «sistemi automatici che analizzano i bonifici in tempo reale».  Se individuano qualcosa di sospetto, bloccano l’operazione prima ancora che venga eseguita. «Questo sistema si basa su parametri predefiniti, come l’abituale operatività del cliente o importi anomali rispetto alla sua cronologia», spiega l’esperta. 
«Il problema principale è che il sistema automatico può sia bloccare operazioni legittime sia lasciar passare bonifici fraudolenti. Ad esempio, un bonifico potrebbe essere bloccato perché il cliente sta ricaricando la sua carta prepagata per un importo elevato. Ma le carte prepagate sono spesso usate anche dai truffatori, quindi il sistema potrebbe ritenere l’operazione sospetta, anche se del tutto lecita. Dall’altro lato, una transazione perfettamente orchestrata da un truffatore, che rispetta i parametri di sicurezza del sistema, può passare senza problemi, perché non c’è nulla che desti sospetti nei controlli automatici».

Perché il secondo bonifico non è andato a buon fine

Se l’avvocato nel primo tentativo è stato truffato, è legittimo pensare che anche altre persone siano cadute in truffe simili e che dunque abbiano segnalato il conto sospetto ad altri enti e al proprio. «Il vero problema è che vi sono mille modi per truffare i clienti e i malviventi sono più veloci dei modi in cui noi possiamo prevenirli senza danneggiare il cliente o andare contro le leggi»  

«Quando un bonifico viene bloccato dalla banca, il primo passo è sempre lo stesso: l’istituto contatta il cliente telefonicamente, utilizzando il numero registrato nei propri database. L’obiettivo è chiedere conferma dell’operazione, ma qui nasce il primo problema: per legge, l’operatore della banca non può chiedere dati sensibili o fare domande che permettano un’autenticazione certa del cliente.
In pratica, la banca può solo fidarsi di chi risponde al telefono. Se il conto appartiene, per esempio, a Mario Rossi nato nel 1945 e all’altro capo del telefono si sente una voce giovane e femminile, è evidente che qualcosa non torna. Ma se invece risponde un uomo che si presenta come Mario Rossi, magari il fratello Guido Rossi nato nel 1950, la banca non ha strumenti per verificare se chi sta parlando è davvero il titolare del conto. 
Questa limitazione esiste per motivi di privacy e tutela del cliente, ma apre un margine di rischio: in caso di truffa, anche se l’operatore ha dei dubbi, se il cliente (o chi si spaccia per lui) conferma il bonifico, la banca non può fare altro che procedere con l’operazione».

E prosegue: «Può capitare che la banca abbia forti sospetti su un bonifico e decida di contattare il cliente per chiedere chiarimenti. A questo punto, se il cliente conferma di essere sicuro della transazione, la banca non può intervenire. Anche se l’operatore ha il sentore che qualcosa non quadri, il cliente ha l’ultima parola. E proprio qui si crea una situazione paradossale».

«Ci sono stati casi in cui persone truffate hanno tentato di fare causa alla banca, accusandola di non averli avvisati del rischio. Ma se il cliente conferma il bonifico, la responsabilità rimane sua. Quindi, anche quando i sospetti ci sono, se chi sta effettuando il bonifico insiste sul fatto che sia tutto regolare, la banca non ha modo di fermare l’operazione. Se poi si scopre che il denaro è finito nelle mani sbagliate, purtroppo non si può più tornare indietro».

Come proteggersi dunque?

Ci sono diverse strade che si possono percorrere . La prima è la via della sicurezza informatica, ovvero attivare l’autenticazione a due fattori della propria casella e-mail in modo da potervi accedere solo inserendo un codice ottenuto tramite Sms, e-mail oppure da app come Authenticator. 
Un altro modo è verificare telefonicamente la correttezza dell’Iban, sicché la prudenza non è mai troppa. Una casella e-mail può essere compromessa, ma una telefonata o un messaggio su WhatsApp, possono essere alternative percorribili, se non si è sufficientemente sicuri. 
Un altro modo è l’utilizzo di software per la fatturazione, benché non sempre siano a prova di truffatori. Anch’essi possono essere violati da phishing. 
Un mix delle soluzioni di cui sopra può aumentare il livello di sicurezza.