Questo articolo è stato migrato al nuovo blog Attivissimo.me. Eventuali aggiornamenti saranno pubblicati lì.
È disponibile subito il podcast di oggi de Il Disinformatico della
Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo trovate
qui sul sito della RSI
(si apre in una finestra/scheda separata) e lo potete scaricare
qui.
Le puntate del Disinformatico sono ascoltabili anche tramite
iTunes,
Google Podcasts,
Spotify
e
feed RSS.
Buon ascolto, e se vi interessano il testo di accompagnamento e i link alle
fonti di questa puntata, sono qui sotto.
—
[CLIP: Squillo di telefono]
Il vostro telefonino squilla all’improvviso. Sul suo schermo compare il numero
della vostra banca. Rispondete, e una voce molto precisa e professionale vi
informa, con il tono leggermente spassionato di chi ha detto queste stesse
parole infinite volte, che è successo quello che temevate e che un po’ tutti
temiamo. Dei criminali informatici hanno avuto accesso al vostro conto
corrente.
Per fortuna la vostra banca ha bloccato il tentativo di frode e vi sta
chiamando appunto per informarvi della situazione e per chiedervi di smettere
di usare le vostre coordinate bancarie attuali e sostituirle con quelle nuove,
che vi verranno dettate tra un momento. A voi non resta che trasferire il
saldo del conto dalle coordinate attuali a quelle nuove, e tutto sarà a posto.
Ma come avete probabilmente intuito, la chiamata è una messinscena, il numero
che compare sul vostro schermo è stato falsificato, la voce è quella alterata
digitalmente di un criminale che finge di essere un funzionario antifrode, e
le coordinate nuove servono per convincervi a trasferire volontariamente i
vostri soldi su un conto controllato dal malvivente.
Fin qui niente di nuovo, ma questa non è la storia dell’ennesimo caso di frode
bancaria informatica: è la storia di Russian Coms, un vero e proprio servizio
commerciale di assistenza tecnica ai criminali, il cosiddetto
crime as a service, che vendeva kit chiavi in mano per aspiranti
truffatori e ha permesso di derubare centinaia di migliaia di persone in oltre
cento paesi per un totale di svariate decine di milioni di dollari.
Dico “vendeva” perché Russian Coms è stato sgominato dalle forze
dell’ordine, arrestando varie persone e soprattutto prendendo il controllo dei
server sui quali i criminali gestivano i rapporti con la propria clientela,
promettendo discrezione e riservatezza. Ma ora tutti i dati di quei rapporti
sono nelle mani degli inquirenti, e sul canale Telegram di Russian Coms è
comparso un avviso:
“tutto è stato compromesso, non importa quale software stiate usando. Anche
tutti gli altri fornitori sono stati compromessi”.
In altre parole, si salvi chi può.
Questo fuggi fuggi generale è un’occasione rara per gettare luce sulla filiera
del crimine informatico e sulle sue tecniche, per riconoscerle e difendersi
meglio, ma anche per rispondere a un paio di curiosità che magari vi siete
posti: ma dove vanno esattamente i criminali online a procurarsi i ferri del
mestiere? Vanno nel dark web? Sono tutti esperti del fai da te
informatico, dediti al male? E poi, perché è possibile falsificare il numero
del chiamante?
Benvenuti alla puntata del 9 agosto 2024 del Disinformatico, il podcast
della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane
dell’informatica. Io sono Paolo Attivissimo.
[SIGLA di apertura]
—
Questa storia inizia nel 2021, quando nasce un gruppo di criminali online che
si fa chiamare Russian Coms anche se non ha nessun collegamento noto
con la Federazione Russa. La sua specialità è offrire ad altri criminali
servizi di caller ID spoofing, ossia di falsificazione del numero del
chiamante. Servizi che fanno comparire sui telefonini delle persone chiamate
un numero appartenente a una banca, a una compagnia telefonica o a una forza
di polizia, per conquistare la fiducia di queste persone e aiutare così a
carpirne i dati personali, le carte di credito e i soldi.
Russian Coms comincia offrendo ai propri clienti dei telefonini Android
appositamente personalizzati, dotati di app finte che li fanno sembrare
normali telefoni in caso di sequestro da parte della polizia, di VPN per
rendere meno tracciabili le attività criminali per le quali vengono usati, e
anche di una app di autodistruzione che cancella istantaneamente la memoria
dello smartphone in caso di necessità. Successivamente offre anche lo stesso
servizio tramite una web app.
Russian Coms propone contratti di sei mesi che costano circa 1300 euro in
tutto, sono pagabili con criptovalute e vengono pubblicizzati su Snapchat,
Instagram e Telegram, e su un normalissimo sito Web, Russiancoms.cm. Non
provate a visitarlo adesso: non ci troverete nulla. Lo so perché ho provato io
per voi.
Avete capito bene: niente dark web, ma tutto sfacciatamente alla luce
del sole, sul Web normale, sui social network, come se niente fosse.
Agency.
Il servizio è completo e professionale: le chiamate sono cifrate, viene
offerto un software che altera la voce in tempo reale, i costi delle
telefonate internazionali sono inclusi nel canone, e naturalmente c’è
un’assistenza clienti disponibile ventiquattr’ore su ventiquattro, sette
giorni su sette. Un livello di customer care invidiabile, migliore di
quello di tante aziende regolari.
Gli affari di Russian Coms vanno bene. I suoi clienti arrivano a saccheggiare
conti correnti in ben 107 paesi, dagli Stati Uniti alla Norvegia, dalla
Francia alle Bahamas. Fra il 2021 e il 2024, gli utenti paganti di Russian
Coms effettuano milioni di chiamate a milioni di vittime, fingendo di
rappresentare aziende di buona reputazione e facendosi dare soldi per merci
mai consegnate, spacciandosi per banche per accedere ai conti correnti delle
persone chiamate, e organizzando in alcuni casi il ritiro fisico, fatto di
persona, di carte di debito e di credito con la scusa che andavano sostituite
per motivi di sicurezza. Il sistema funziona. Nel Regno Unito, per esempio, il
danno medio ammonta a oltre 9000 sterline (circa 10.000 euro o franchi) per
ciascuna delle circa 170.000 vittime.
Ma a marzo 2024 le cose prendono una brutta piega per i membri di Russian
Coms.
—
Dopo mesi di indagini, gli agenti della National Crime Agency britannica
arrestano due uomini di 26 e 28 anni a Londra. Gli inquirenti ritengono che si
tratti degli sviluppatori e degli amministratori del servizio.
Nei giorni successivi, il sito di Russian Coms viene disattivato, e il 12
aprile viene arrestato, sempre a Londra, un altro uomo che viene considerato
uno degli addetti alla consegna di persona degli smartphone modificati. Pochi
giorni fa è stato arrestato, sempre nel Regno Unito, uno dei clienti di
Russian Coms, e inoltre l’Europol ha in corso altre operazioni analoghe in
vari altri paesi.
Gli agenti britannici hanno
reso pubblici
i dettagli di questa vicenda il primo agosto scorso, pubblicando anche un
video dell’irruzione e dell’arresto e una schermata tratta dal sito di Russian
Coms che ne illustra il tariffario.
[rumore dell’irruzione]
Today, the NCA can reveal that they have shut down a platform used by
hundreds of criminals to defraud victims across the world.FULL
STORY ➡️ https://t.co/XMtmrnhi3Q
pic.twitter.com/toStq5jpRC— National Crime Agency (NCA) (@NCA_UK)
August 1, 2024
Sul canale Telegram di Russian Coms i messaggi dei criminali sono stati
sostituiti da un avviso che informa la clientela, per così dire, che il
servizio
“è ora sotto il controllo delle forze dell’ordine internazionali” e
annuncia che “La polizia verrà a trovarvi presto”, con tanto di emoji
sorridente ma non troppo.
La National Crime Agency sottolinea che anche se le tecnologie sofisticate e
le tecniche professionali usate da gruppi come Russian Coms
“promettono l’anonimato, a insaputa dei loro utenti criminali registrano e
conservano i loro dati, e quindi è possibile identificare chi sono e come
operano”.
Il fatto che i server dei fornitori del servizio siano stati acquisiti dalle
forze dell’ordine implica un bottino ingentissimo di dati, e soprattutto di
identità di vittime e truffatori, che fotografa l’intera organizzazione e la
sua clientela con un dettaglio che si vede di rado. La polizia londinese ha
dichiarato di aver svolto controlli incrociati su oltre 100.000 dati, compresi
indirizzi IP, numeri di telefono e soprattutto nomi, per identificare i
sospettati e rintracciare anche le loro vittime.
L’obiettivo di questo intervento e del suo annuncio al pubblico è minare in
generale la fiducia dei malviventi in questi fornitori di servizi e quindi
spezzare la filiera del crimine organizzato, ma è anche un’occasione per
ricordare al pubblico alcune regole di cautela da adottare per non finire tra
le vittime di questi professionisti dei reati digitali.
Se ricevete una chiamata inattesa di qualcuno che dice di rappresentare la
vostra banca, un servizio finanziario, un corriere o qualunque ente ufficiale
e vi mette sotto pressione chiedendovi di prendere una decisione immediata
riguardante del denaro oppure vi chiede dati personali, riagganciate e
chiamate subito il numero che trovate sul sito dell’ente o del servizio in
questione o sul retro della vostra carta di credito o di debito. Nessuna
azienda seria e nessun ente vi metterà mai fretta chiedendovi di prendere
subito decisioni importanti per telefono.
—
Vicende come quella di Russian Coms rivelano che i criminali online non sono
tutti esperti del settore, non sono tutti geni malvagi dell’informatica: sono
molto spesso dei semplici consumatori opportunisti, a volte inetti, di
tecnologie sviluppate da altri e comprate chiavi in mano, senza sapere nulla
del loro funzionamento, e possono commettere questo tipo di reati solo perché
trovano facilmente chi fornisce loro i grimaldelli informatici necessari.
C’è anche un altro aspetto messo in luce da questo successo delle forze di
polizia contro il crimine online, ed è il fatto a prima vista assurdo che il
sistema telefonico mondiale consenta di falsificare il numero del chiamante.
Se non ci fosse questa possibilità, i malviventi perderebbero un appiglio
psicologico molto importante nel costruire la propria credibilità e nel
conquistare la fiducia delle loro vittime, che non si aspettano che esista una
funzione del genere e si fidano del numero che vedono sul proprio schermo. Ma
allora perché gli operatori telefonici non cambiano le cose, visto che questa
possibilità di falsificazione consente frodi da decine di milioni di dollari
come quella di Russian Coms?
La risposta, poco intuitiva, è che in realtà ci sono dei casi legittimi nei
quali chi chiama ha bisogno di far comparire un numero differente da quello
effettivo, come per esempio un call center che effettua chiamate per
conto di varie aziende, oppure una ditta che ha varie sedi ma vuole
presentarsi ai clienti sempre con lo stesso numero per non creare confusione,
e quindi le compagnie telefoniche devono lasciare aperta questa possibilità.
Tuttavia possono mettere delle regole, per cui per esempio il numero da
visualizzare (il cosiddetto Presentation Number) non può appartenere a
un paese differente da quello del numero effettivo (il cosiddetto
Network Number). E infatti alcuni operatori telefonici lo fanno
[lo spiega
qui
Ofcom per il Regno Unito]. Ma per tutta risposta, i criminali eludono questo filtro procurandosi numeri
di telefono nazionali.
Per ogni difesa, insomma, i malviventi inventano un attacco che la scavalca
dal punto di vista strettamente tecnico. Ma se si riesce a far salire il costo
e la complessità di questo attacco, diventa meno conveniente effettuarlo e le
persone capaci di compierlo e di procurarsi le risorse necessarie diventano
meno numerose. E se la difesa adottata costringe per esempio gli aggressori a
usare numeri di telefono del paese che vogliono colpire, quei criminali non
possono più agire impunemente dall’estero ma devono risiedere localmente, e
questo non solo complica la logistica di questi reati ma rende enormemente più
semplici gli interventi di giustizia e di polizia, che non vengono più
ostacolati dalla necessità di rogatorie e coordinamenti internazionali
interforze.
Le soluzioni tecniche, dunque, ci sono
[STIR/SHAKEN, CLI authentication, eccetera]; il problema è mettere d’accordo tutti gli operatori del mondo su
quale
soluzione adottare, coordinarli su questa adozione senza trovarsi con interi
paesi bloccati per errore, e convincerli ad affrontare la spesa del
cambiamento. Buona fortuna.
In attesa di quel momento, a noi utenti non resta altro che imparare a essere
diffidenti su tutto, anche su un concetto in teoria elementare come il numero
di telefono di chi ci chiama e ci compare sullo schermo.
Fonti:
- Spoofing: fai attenzione alle chiamate inattese, Swisscom.ch (2024)
- Ofcom UK Test New Way to Detect and Block Spoofed Numbers, ISPReview (2023)
- NCA shuts down major fraud platform responsible for 1.8 million scam calls, National Crime Agency (2024)
- UK authorities shut down scammer platform behind global fraud, Swissinfo.ch (2024)
- UK Nabs 2 Behind “Russian Coms” Scam, Platform Dismantled, OCCRP.org (2024)
- Police hunt scammers after takedown of Russian Coms fraud platform, Computer Weekly (2024)
- UK takes down major ‘Russian Coms’ caller ID spoofing platform, BleepingComputer (2024)
-
UK crimebusters shut down global call-spoofing outfit that claimed
170K-plus victims, The Register
(2024) - Suspects in ‘Russian Coms’ spoofing service arrested in London, as NCA announces takedown, The Record (2024)
- Fake caller app shut after thieves duped thousands, BBC (2024)