Rubare soldi con una videochiamata è diventato molto semplice
Dalla classica truffa dell’ad a incursioni in conferenze aziendali a distanza, i sistemi delle sale riunioni possono essere bucati facilmente. Esponendo le aziende a costosi danni
Quando si parla di cybersicurezza e attacchi informatici – che nel 2018 sono cresciuti del 38 per cento, come ha messo in luce l’ultimo rapporto del Clusit, l’Associazione italiana per la sicurezza informatica – il pensiero va immediatamente ai furti di informazioni che risiedono sui server o i cloud di enti pubblici o aziende, come quello, svelato di recente, che nel 2015 ha riguardato 3 milioni di clienti di Unicredit. Molto meno frequente è l’attenzione dedicata ai rischi che corrono le comunicazioni audio e video, sempre più importanti e diffuse in moltissimi luoghi di lavoro a tutti i livelli, dall’organizzazione di meeting in diretta al lavoro da remoto.
Intermezzo promozionale ... continua la lettura dopo il box:
Usufruisci di uno sconto per fare un CONTROLLO DELLA REPUTAZIONE PERSONALE o AZIENDALE [ click qui ]
Rubare soldi con una videochiamata è diventato molto semplice
Sempre più videochiamate
Il settore è in rapida ascesa, come illustra un rapporto della società di analisi Frost & Sullivan: secondo la compagnia, dal 2018 al 2023 questo mercato registrerà una crescita annua all’incirca del 12 per cento, fino a raggiungere un giro d’affari di 13,8 miliardi di dollari. Attualmente di tutte le sale conferenze che Frost & Sullivan stima esistano nel mondo, solo il due per cento è abilitata per il collegamento video.
Così come nel caso degli altri tipi di scambio di dati e informazioni via web, anche in questo campo la sicurezza è un fattore cruciale. Lo ha dimostrato, la scorsa estate, l’episodio che ha coinvolto Zoom, una delle app per videoconferenze più diffuse: una falla nel sistema – poi risolta – consentiva ai siti internet di attivare la webcam dei computer Apple all’insaputa degli utenti.
Un caso ancora più clamoroso, anche se di stampo diverso, è invece quello scoperto in Francia a giugno: dal 2015 al 2017, un gruppo di truffatori ha raggirato numerosi uomini d’affari e milionari, convincendoli a donare dei soldi per pagare il riscatto di immaginari ostaggi prigionieri in Medio Oriente.
Le truffe venivano messe in atto prima attraverso colloqui telefonici, e poi con un collegamento via Skype in cui compariva, distante e illuminato male, un uomo che indossava una maschera con le sembianze dell’allora ministro della Difesa francese Jean-Yves Le Drian, ripreso in un ufficio con bandiere tricolori e il ritratto del presidente francese dell’epoca, François Hollande.
L’ex ministro della Difesa francese Jean-Yves Le Drian (Foto: Wikipedia)
La truffa del falso ad
Questo inganno è l’evoluzione spettacolare di una tipologia di raggiro molto nota, la cosiddetta “truffa del falso ad”: si tratta di una frode molto sofisticata messa in atto da organizzazioni criminali che, dopo aver studiato attentamente gli obiettivi da attaccare e reperito online tutte le informazioni disponibili su di essi, contattano il bersaglio spacciandosi per dirigenti d’azienda. Attraverso pressioni psicologiche tra cui l’uso dell’autorità, e utilizzando argomenti come l’indispensabilità di un versamento di denaro per il successo di una trattativa o di un progetto riservato, i truffatori riescono a convincere le vittime a effettuare urgentemente un bonifico bancario di importo elevato, come è successo l’anno scorso a un importante manager di Confindustria.
Oltre che su questi elementi, il successo del raggiro si basa sulla contraffazione degli indirizzi mail del mittente (per esempio usando un indirizzo molto simile a quello vero, o un indirizzo vero violato in un episodio di data breach), oppure sull’intercettazione delle comunicazioni di un’azienda, effettuata inserendosi in conversazioni già in atto, richiamando ordini e fatture eseguiti realmente e producendo documentazione falsificata con intestazioni e loghi originali.
Intermezzo promozionale ... continua la lettura dopo il box:
Proteggere le videochiamate
Ed è proprio questo il rischio più grande a cui sono esposte anche le comunicazioni video, spiega Michael Hembrecht, Chief Product and Operations Officer di Lifesize, una tra le maggiori aziende che si occupano di strumenti hardware e software per la videconferenza. “I principali scenari di violazioni”, dice il manager, “sono quelli di partecipanti non autorizzati che intercettano una videochiamata interna a una compagnia in cui si stavano condividendo dati sensibili”.
Episodi che possono verificarsi più facilmente, continua Hembrecht, “se i flussi video, audio e di altri contenuti trasmessi via streaming non sono crittografati, e se le registrazioni delle riunioni non vengono crittografate mentre vengono archiviate. Si tratta quindi più di operazioni di spionaggio industriale che di vere e proprie truffe”.
Il problema della crittografia dei dati è quello di essere molto dispendiosa, proprio perché le misure di sicurezza vanno costantemente tenute aggiornate. Inoltre, crittografare i video ne riduce la qualità: per questo, in molti fornitori di servizi di videoconferenza la cifratura è soltanto opzionale.
Sicurezza e qualità non sono in contrasto
Nel caso di Lifesize, invece, “tutti i nostri servizi di comunicazione video si fondano sulla sicurezza come punto fondamentale. La nostra piattaforma”, racconta ancora Hembrecht, “protegge video, audio, contenuti, identità dei partecipanti e password con la crittografia end-to-end, opera attraverso il cloud di Amazon Web Services ed è stata costruita sulla base di standard aperti come WebRtc, che incorporano entrambi dei certificati di sicurezza”. Oggi la compagnia statunitense ha in tutto il mondo circa ottomila clienti, il 60 per cento dei quali negli Usa, che operano nei settori più diversi: dalla manifattura alla finanza, passando per la moda e l’istruzione.
La qualità delle prestazioni e la sicurezza, conclude Hembrecht, non devono essere in conflitto: “Nel processo di selezione e implementazione di un fornitore e di una soluzione video o di comunicazione unificata, i team It e gli altri responsabili delle decisioni tecnologiche delle aziende dovrebbero avere un atteggiamento attivo, ponendo al fornitore delle domande sul modo in cui la sicurezza è integrata nella sua strategia e nel suo prodotto: se la vede come un obiettivo prioritario oppure come un limite alle prestazioni. O ancora, verificando se i contenuti memorizzati all’interno delle comunicazioni sono crittografati automaticamente, e se il servizio di videoconferenza può essere eseguito in modo nativo nei browser più diffusi e aderisce ai loro controlli di sicurezza”.
Daniele Lettig https://www.wired.it/internet/web/2019/11/25/videochiamata-truffa/
