ALLERTA PERICOLI INFORMATICI

Rubare soldi con una videochiamata รจ diventato molto semplice

Rubare soldi con una videochiamata รจ diventato molto semplice
Scritto da gestore

Rubare soldi con una videochiamata รจ diventato molto semplice
Dalla classica truffa dell’ad a incursioni in conferenze aziendali a distanza, i sistemi delle sale riunioni possono essere bucati facilmente. Esponendo le aziende a costosi danni

Quando si parla diย cybersicurezza e attacchi informaticiย โ€“ che nel 2018ย sono cresciuti del 38 per cento, come ha messo in luceย lโ€™ultimo rapporto del Clusit, lโ€™Associazione italiana per la sicurezza informatica โ€“ il pensiero va immediatamente ai furti di informazioni che risiedono sui server o i cloud di enti pubblici o aziende, come quello,ย svelato di recente, che nel 2015 ha riguardato 3 milioni di clienti di Unicredit. Molto meno frequente รจ lโ€™attenzione dedicataย ai rischi che corrono le comunicazioni audio e video, sempre piรน importanti e diffuse in moltissimi luoghi di lavoro a tutti i livelli, dallโ€™organizzazione di meeting in diretta al lavoro da remoto.

Intermezzo promozionale ... continua la lettura dopo il box:

Rubare soldi con una videochiamata รจ diventato molto semplice

Rubare soldi con una videochiamata รจ diventato molto semplice

Sempre piรน videochiamate
Il settore รจ in rapida ascesa, come illustraย un rapporto della societร  di analisi Frost & Sullivan: secondo la compagnia, dal 2018 al 2023 questo mercato registrerร ย una crescita annua allโ€™incirca del 12 per cento, fino a raggiungereย un giro dโ€™affari di 13,8 miliardi di dollari. Attualmente di tutte le sale conferenze che Frost & Sullivan stima esistano nel mondo, solo il due per cento รจ abilitata per ilย collegamento video.

Cosรฌ come nel caso degli altri tipi di scambio di dati e informazioni via web, anche in questo campo la sicurezza รจ un fattore cruciale. Lo ha dimostrato, la scorsa estate,ย lโ€™episodio che ha coinvoltoย Zoom, una delle app per videoconferenze piรน diffuse: una falla nel sistema โ€“ poi risolta โ€“ย consentiva ai siti internet diย attivare la webcam dei computer Apple allโ€™insaputa degli utenti.

Un caso ancora piรน clamoroso, anche se di stampo diverso, รจ invece quelloย scoperto in Francia a giugno: dal 2015 al 2017, un gruppo di truffatoriย ha raggirato numerosi uomini dโ€™affari e milionari,ย convincendoli a donare dei soldi per pagare il riscatto di immaginari ostaggi prigionieri in Medio Oriente.

Le truffe venivano messe in atto prima attraversoย colloqui telefonici, e poi con un collegamento viaย Skypeย in cui compariva, distante e illuminato male, un uomo che indossava una maschera con le sembianze dellโ€™allora ministro della Difesa franceseย Jean-Yves Le Drian, ripreso in un ufficio con bandiere tricolori e il ritratto del presidente francese dellโ€™epoca, Franรงois Hollande.

Lโ€™ex ministro della Difesa francese Jean-Yves Le Drian (Foto: Wikipedia)
La truffa del falso ad
Questo inganno รจ lโ€™evoluzione spettacolare di una tipologia di raggiro molto nota,ย la cosiddetta โ€œtruffa del falso adโ€: si tratta di una frode molto sofisticata messa in atto da organizzazioni criminali che, dopo aver studiato attentamente gli obiettivi da attaccare e reperito online tutte le informazioni disponibili su di essi,ย contattano il bersaglio spacciandosi per dirigenti dโ€™azienda. Attraverso pressioni psicologiche tra cui lโ€™uso dellโ€™autoritร , e utilizzando argomenti come lโ€™indispensabilitร  di un versamento di denaro per il successo di una trattativa o di un progetto riservato, i truffatori riescono a convincere le vittime aย effettuare urgentemente un bonifico bancario di importo elevato,ย come รจย successo lโ€™anno scorsoย a un importante manager di Confindustria.

Oltre che su questi elementi, il successo del raggiro si basa sullaย contraffazione degli indirizzi mail del mittenteย (per esempio usando un indirizzo molto simile a quello vero, o un indirizzo vero violato in un episodio diย data breach), oppureย sullโ€™intercettazione delle comunicazioni di unโ€™azienda, effettuata inserendosi in conversazioni giร  in atto, richiamando ordini e fatture eseguiti realmente e producendo documentazione falsificata con intestazioni e loghi originali.

Proteggere le videochiamate
Ed รจ proprio questo il rischio piรน grande a cui sono esposte anche le comunicazioni video, spiega Michael Hembrecht,ย Chief Product and Operations Officer diย Lifesize, una tra le maggiori aziende che si occupano di strumenti hardware e software per la videconferenza. โ€œI principali scenari di violazioniโ€, dice il manager, โ€œsono quelli diย partecipanti non autorizzati che intercettano una videochiamataย interna a una compagnia in cui si stavano condividendo dati sensibiliโ€.

Episodi che possono verificarsi piรน facilmente, continua Hembrecht, โ€œse i flussi video, audio e di altri contenuti trasmessi via streamingย non sono crittografati, e se le registrazioni delle riunioni non vengono crittografate mentre vengono archiviate. Si tratta quindiย piรน di operazioni di spionaggio industriale che di vere e proprie truffeโ€.

Il problema della crittografia dei dati รจ quello di essere molto dispendiosa, proprio perchรฉ le misure di sicurezza vanno costantemente tenute aggiornate. Inoltre,ย crittografare i video ne riduce la qualitร : per questo, in molti fornitori di servizi di videoconferenza la cifratura รจ soltanto opzionale.

Sicurezza e qualitร  non sono in contrasto
Nel caso di Lifesize, invece, โ€œtutti i nostri servizi di comunicazione video si fondano sulla sicurezza come punto fondamentale. La nostra piattaformaโ€, racconta ancora Hembrecht, โ€œprotegge video, audio, contenuti, identitร  dei partecipanti e passwordย con la crittografia end-to-end, opera attraverso il cloud di Amazon Web Services ed รจ stata costruita sulla base di standard aperti come WebRtc, che incorporano entrambi dei certificati di sicurezzaโ€. Oggi la compagnia statunitense ha in tutto il mondoย circa ottomila clienti, il 60 per cento dei quali negli Usa, che operano nei settori piรน diversi: dalla manifattura alla finanza, passando per la moda e lโ€™istruzione.

La qualitร  delle prestazioni e la sicurezza, conclude Hembrecht, non devono essere in conflitto: โ€œNel processo di selezione e implementazione di un fornitore e di una soluzione video o di comunicazione unificata, i team It e gli altri responsabili delle decisioni tecnologiche delle aziende dovrebbero avere un atteggiamento attivo, ponendo al fornitore delle domande sul modo in cui la sicurezza รจ integrata nella sua strategia e nel suo prodotto: se la vede come un obiettivo prioritario oppure come un limite alle prestazioni. O ancora, verificando se i contenuti memorizzati allโ€™interno delle comunicazioni sono crittografati automaticamente, e se il servizio di videoconferenza puรฒ essere eseguito in modo nativo nei browser piรน diffusi e aderisce ai loro controlli di sicurezzaโ€.

Daniele Lettig https://www.wired.it/internet/web/2019/11/25/videochiamata-truffa/