Banking Fraud: la “svolta” analogica dei frodatori nell’era della Digital Transformation
Il processo di digital transformation degli istituti finanziari che ha consentito il rilascio di nuovi servizi bancari e una migliore e più semplice user experience da parte dei Clienti è stato certamente accelerato dalla pandemia, che forzatamente ha reso l’interazione tra Cliente e Istituto totalmente digitale, rimuovendo buona parte o, in taluni casi, persino la totalità, delle interazioni fisiche.
Per supportare quindi uno svolgimento sicuro delle operazioni di pagamento digitale da un lato, e una user experience sempre più frictionless dall’altro, gli istituti, attraverso le loro strutture preposte (sicurezza, antifrode, etc) hanno ampliato, migliorato e arricchito le loro capabilities ed i loro strumenti di monitoraggio e analisi, al fine di garantire una verifica end-to-end sull’operatività cliente dal momento dell’entrata in relazione (onboarding) all’accesso ai servizi (login), per finire con le operazioni di pagamento.
Un esempio? L’introduzione di strumenti di verifica e identificazione di malware, peraltro requisito di compliance PSD2, consente di individuare dispositivi compromessi, app malevole e comportamenti anomali finalizzati al furto delle credenziali (Account Take Over) ed all’automazione delle operazioni di pagamento senza alcun intervento umano. Le tecnologie in campo sono in grado di contrastare tale fenomeno con un livello di affidabilità elevato, riducendo le attività manuali e distinguendo gli utenti genuini da quelli malevoli.
Continuare ad alzare e fortificare le barriere cyber, facendo del contrasto ai frodatori una Guerra “digitale contro digitale”, sembra quindi un approccio destinato a porre fine al problema delle frodi, consentendo, potenzialmente, di arrivare a bloccare progressivamente ogni nuovo tipo di attacco che sfrutti i canali digitali.
Ma è veramente così? La risposta, purtroppo, non è affermativa, come invece tutti, istituti finanziari, team antifrode e Clienti, si sarebbero auspicati.
I frodatori hanno infatti compreso velocemente che continuare a scontrarsi con barriere digitali sempre più alte, forti e numerose renderebbe loro la vita troppo difficile: da un lato, per superarle, le tecniche di attacco dovrebbero essere estremamente “puntuali”, con costi di ingegnerizzazione sempre più elevati; dall’altro, una differenziazione sempre maggiore degli importi delle transazioni (che possono andare da pochi euro a migliaia) non garantisce un risultato commisurato allo sforzo.
La risposta dei frodatori a questo scenario è quindi un repentino cambio del “campo di battaglia”, operato reintroducendo in un mondo digitale estremamente controllato e protetto attività di tipo analogico (tradizionale social engineering): “rompere” la catena digitale consente infatti di rendere i sistemi di controllo complessi meno efficaci, andando a sfruttare e colpire l’unico elemento ancora vulnerabile, ovvero l’essere umano (il Cliente).
Gli elevati e continui casi di frodi recenti che stanno colpendo tutte le banche lo confermano.
Questa nuova evoluzione dà vita a un nuovo tipo di frode ibrida che sfrutta come principale elemento di labilità l’emotività umana, sfruttando a proprio beneficio una componente analogica, data dall’interazione diretta “da umano a umano”, e una digitale, ovvero la velocità e possibilità di effettuare un bonifico/pagamento facilmente e in tempi rapidissimi, utilizzando qualsiasi dispositivo digitale.
Il principale elemento analogico introdotto è rappresentato dal “Vishing” (“Voice-phishing”), che applica le stesse tecniche di social engineering del phishing utilizzando, invece che una mail o un sms, un canale ancora più diretto, ovvero la telefonata: portando all’estremo la risposta emotiva umana, ed eludendo i sistemi informatici in grado di contrastare le frodi su altri canali (quali, ad esempio, le e-mail), il vishing si è rivelato uno strumento estremamente efficace per i frodatori.
Alcuni esempi di frodi che sfruttano il vishing come componente analogica:
- Frode per autenticazione finalizzata al singolo bonifico/operazione: Account takeover, attraverso la raccolta di una prima serie di informazioni sull’account tramite phishing/smishing, seguita da social engineering tramite vishing per ottenere il secondo fattore di autenticazione, per la realizzazione di pagamenti fraudolenti in sostituzione del Cliente.
- Frode per autenticazione finalizzata all’associazione di un dispositivo al conto: Account takeover attraverso la raccolta di informazioni sull’account tramite phishing/smishing, seguita da social engineering tramite vishing per ottenere il secondo fattore di autenticazione necessario a completare le procedure di onboarding dei dispositivi mobili dei frodatori e successivamente agire per conto del Cliente
- Compromissione device mobile: Compromissione del Device attraverso Phishing/Smishing e redirect verso siti che hanno il compito di distribuire Malware e aggiungere il dispositivo compromesso alla Botnet, cui si aggiungono azioni di social engineering tramite vishing finalizzate a rafforzare il senso di urgenza dell’azione e convincere della “legittimità” della stessa.
- Falso Call Center telefonico per transazioni (bonifico bancario): Attività di Social Engineering, attraverso Vishing, per simulare il call center della banca e convincere il cliente che siano in corso attività fraudolente sul suo conto, spingendolo a spostare i soldi in conti di deposito “della banca”, tramite bonifico, per metterli al sicuro..
- Falso Call Center telefonico per transazioni (canali fisici/ATM): Attività di Social Engineering, attraverso Vishing, per simulare il call center della banca e convincere il cliente che siano in corso attività fraudolente sul suo conto, spingendolo a compiere attività fisiche presso l’ATM/Bancomat più vicino per contrastarle.
La maggiore difficoltà al contrasto delle frodi nei casi sopra descritti è rappresentata dal fatto che in queste circostanze i controlli antifrode tendono ad essere meno efficaci, in quanto la valutazione end-to-end è “spezzata” dall’introduzione del fattore analogico (social engineering): di fatto, è l’utente reale ad effettuare le operazioni che, apparendo come lecite, non destano sospetti e non mettono in allerta i sistemi di contrasto alle frodi.
Come possono quindi intervenire le organizzazioni per contrastare questa nuova fenomenologia “Digitale-Analogica-Digitale”?
La principale risposta risiede in un’evoluzione che interessi non il punto di vista tecnologico ma anche, e soprattutto, il processo di Prevenzione Frodi e di Customer Satisfaction, attraverso la costruzione di un framework di Fraud Management che preveda come minimo:
- Il passaggio da strumenti antifrode storicamente impostati in modalità Detection ad applicazioni di Prevention, che gestiscano il controllo pre-autorizzativo della transazione in real-time;
- L’implementazione di componenti di rilevazione malware nella transazione in relazione ai dispositivi dei Clienti nativamente integrati con le applicazioni di Prevention;
- L’adozione di componenti risk-based authentication;
- L’implementazione di applicazioni antifrode che gestiscano modelli analitico-comportamentali in grado di catalogare il comportamento e le tipologie di spesa del Cliente;
- La creazione di un’organizzazione resiliente, strutturata, con capacità antifrode e assistenza Clienti che sappia coniugare la componente di contrasto della frode con la soddisfazione del Cliente nella gestione dell’evento fraudolento;
- La promozione di iniziative di formazione dei Clienti sulle tematiche antifrode e di campagne di comunicazione multicanale;
L’area di expertise di Alfa Group dedicata al dominio Antifrode combina capacità di Consulenza (Fraud Assessment, Benchmark, Roadmap e Analytics), di System Integration (Controlli tecnologici, analisi del rischio integrata, support) e di Operations (efficientamento processi di Prevenzione, Contrasto frodi e Customer Satisfaction), per supportare le organizzazioni nell’implementazione di tutte le trasformazioni ed evoluzioni necessarie a fronteggiare le frodi in uno scenario in continuo mutamento.