Secondo diverse stime, Carbanak ha generato circa 1 miliardo di dollari colpendo banche in tutto il mondo e per questo viene considerato il furto informatico del secolo. Ha principalmente colpito infatti aziende in Europa, negli Stati Uniti e in Cina tra il 2013 e il 2014.

Modus Operandi

Ogni attacco è iniziato con una ben congegnata e-mail di spear phishing. Conteneva un allegato maligno che installava un backdoor nel sistema della vittima. Dopo l’installazione, forniva accesso all’intera rete bancaria di destinazione. Attraverso una serie di movimenti laterali, gli aggressori potevano cercare e ottenere accesso al “punto di interesse” della rete. In parole semplici, si trattava di un computer che potevano utilizzare per effettuare trasferimenti di denaro.

I criminali installavano quindi strumenti di accesso remoto nei terminali infetti. Erano in grado di catturare video, screenshot e tutto ciò che le persone digitavano sulla tastiera. Il loro obiettivo era conoscere le attività quotidiane di ciascun dipendente e raccogliere i dati necessari per impersonare il comportamento del dipendente. Potevano quindi camuffare i trasferimenti di denaro attraverso “rutines”.

Iniziava quindi la fase di monitoraggio. Ogni banca aveva meccanismi e procedure interne diverse. Pertanto, questa fase era diversa per ciascuna banca e durava da 2 a 4 mesi. Una volta adeguatamente addestrati, i ladri iniziavano gli attacchi. Utilizzavano due metodi principali:

Trasferimento di denaro virtuale da account “gonfiati”

Uno dei criminali di Carbanak, il database officer, “gonfiava” gli account dei clienti poco attivi della banca sovrascrivendo il saldo. Subito dopo, un altro criminale, incaricato a tal fine, trasferiva i fondi creati su account dei malviventi.

Controllo degli sportelli bancomat

I criminali concordavano con i dipendenti della banca locale, chiamati “mulattieri”,e conducevano una serie di furti agli sportelli bancomat. Il primo impostava il sistema in modo che gli sportelli erogassero denaro in giorni e orari specifici, mentre i “mulattieri” si recavano sul posto e ritiravano il denaro. Puoi guardare un video dei furti agli sportelli bancomat.

La complessa rete organizzativa dietro questi attacchi apparteneva al crimine organizzato. In cima c’erano probabilmente criminali informatici di lingua russa, che hanno ideato e progettato il metodo di attacco. C’erano numerosi tecnici e personale bancario di supporto, già esperti e capaci di apprendere rapidamente le procedure bancarie specifiche. Infine, più in basso, c’era la forza lavoro effettiva o i lavoratori. Erano coinvolti nella raccolta del denaro, aprivano gli account per il transito dei fondi o agivano come esche.

Come difendersi

Ancora oggi, Carbanak rimane uno dei furti informatici più redditizi nella storia. Quindi, come puoi proteggerti online?

• Una delle cose importanti è essere consapevoli delle minacce alla sicurezza informatica che chiunque può affrontare sul posto di lavoro. Una soluzione di security awareness può preparare i dipendenti a riconoscere e comunicare correttamente gli incidenti di sicurezza.
• Una soluzione anti-spam e anti-phishing impedirebbe alle email infette di entrare in una rete aziendale, risolvendo il problema alla radice.
• Infine, il security monitoring regolare della sicurezza e l’analisi approfondita dei dati sulla rete interna aiuterebbero. Rivelerebbero movimenti laterali e traffico anomalo inevitabilmente generato dagli aggressori, consentendo una pronta risposta a qualsiasi intrusione e minimizzando i danni.