È stato definito il più grande furto perpetrato a mezzo informatico: si stima che il gruppo di hacker abbia sottratto alle banche oltre 1 miliardo di dollari in due anni.
Il furto è stato reso noto dalla compagnia di sicurezza informatica Kaspersky, che in collaborazione con l’Interpol, l’Europol e le agenzie di sicurezza nazionali di diversi paesi, ha portato alla luce un’operazione criminale senza precedenti, che ha colpito gli istituti bancari di 30 stati.
Secondo quanto scoperto, l’attività criminale avrebbe avuto inizio nel 2013 e avrebbe colpito, oltre alle banche, anche sistemi di pagamento elettronici e istituti finanziari.
Il denaro è stato sottratto attraverso un sofisticato sistema di hacking che si basa su un malware denominato Carbanak.
Sergey Golovanov, Principal Security Researcher presso il Kaspersky Lab ha reso noto che l’indagine ha avuto origine dalle riprese di una telecamera di sicurezza che mostravano un individuo che ritirava soldi da un bancomat senza toccare la macchina. Il bancomat li emetteva infatti in automatico, come se fosse controllato da remoto. Il misterioso furto si replicava su diversi bancomat della stessa banca, che ha richiesto al team di Kaspersky di iniziare ad investigare.
Le indagini inizialmente si sono concentrate sulla rete di bancomat della banca colpita dal furto ma in breve tempo hanno portato alla scoperta che tutta la rete informatica bancaria presentava una configurazione modificata da terzi attraverso due “malicious code” open-source, Carberp e Anunak.
Seguendo le tracce di questi codici non autorizzati i cyber-investigatori hanno individuato Carbanak, un malware presente nella rete aziendale interna di una banca di di Mosca. Il codice “criminale” aveva infettato il sistema bancario attraverso email di phishing inavvertitamente aperte dagli impiegati.
Alla luce di questa scoperta, il team di Kaspersky ha analizzato i sistemi bancari di tutte le banche del mondo che negli ultimi anni avevano registrato misteriosi furti ai bancomat, trasferimenti bancari non autorizzati e conti correnti fantasma. Il malware Carbanak è stato trovato in tutti i sistemi analizzati.
Il funzionamento della truffa perpetrata attraverso Carbanak è stato ampiamente riportato dalla stampa per la sua ingegnosità. Una volta infettato un sistema, il malware si diffonde attraverso le reti aziendali fino ad individuare i computer degli addetti ai trasferimenti di denaro. Su queste macchine Carbanak installa dei sistemi di registrazione delle attività compiute sullo schermo per permettere ai criminali di osservare le procedure degli impiegati al lavoro.
Attraverso lo studio del lavoro quotidiano degli addetti bancari, i criminali hanno acquisito tutte le informazioni per replicare le procedure e trasferire denaro tra i conti correnti. Tuttavia, nessun furto ha colpito direttamente i clienti delle banche. Il sistema di frode infatti si basava sull’individuazione di conti controllati raramente dai proprietari. Questi conti venivano poi “gonfiati” per via telematica con l’aggiunta di svariati zeri alle cifre depositate. La somma effettivamente aggiunta al conto corrente veniva poi trasferita elettronicamente su conti di banche cinesi e americane intestati ai criminali. In questo modo, i proprietari dei conti correnti usati per trasferire il denaro non si accorgevano dell’intrusione e, di fatto, a rimetterci erano solo gli istituti bancari.
L’altra modalità con cui i criminali informatici si impossessavano dei fondi bancari passava attraverso l’utilizzo di bancomat infettati con codice malware. In questi casi, il denaro non veniva dirottato verso altri conti correnti ma direttamente presso postazioni bancomat, dove erano appostati membri dell’organizzazione criminale ad attendere il contante.
È stato calcolato che grazie a Carbanak i cyber-ladri sono riusciti a trafugare oltre 1 miliardo di dollari in due anni. I “colpi” più redditizi, perpetrati unicamente per via telematica, fruttavano ai criminali oltre 10 milioni di dollari alla volta. In media, ogni rapina richiedeva un lavoro dai due ai 4 mesi, dall’inizio dell’infezione informatica al momento del furto vero e proprio.
Gli investigatori hanno ipotizzato che i criminali siano originari dell’Europa dell’est o della Cina. Le banche vittime di furto sono principalmente statunitensi, inglesi, australiane, canadesi e di Hong Kong. I criminali ad oggi non sono stati identificati e rimangono potenzialmente attivi.
Qui, il video del Corriere.it che ricostruisce la dinamica dei furti al bancomat:
Aggiungi commento