La truffa è man-in-the-mail è nota ormai in tutto il mondo con nomi diversi, come “Business Email Compromise” (BEC), “Targeted Wire Scam” o “Change of Supplier Bank Details’ Scam” ed è una delle truffe basate sul phishing più efficaci e paradossalmente semplici. Un responsabile aziendale riceve una mail da un contatto che crede essere fidato (cliente, collaboratore, datore di lavoro, etc…) dove viene richiesto un versamento di denaro verso un certo conto bancario. Ovviamente la mail non proviene dal contatto noto – seppur il dominio mittente sia simile a quello da cui ci si aspetta di ricevere il messaggio – ma da un delinquente. Tramite phishing (talvolta anche mediante attacco di brute force o trojan) qualcuno infatti è riuscito ad accedere alla casella di posta aziendale per spiarne i contenuti e potersi così intromettere nella comunicazione nel momento opportuno e fare una richiesta di bonifico fraudolenta.
Il giro d’affari di questa truffa dei bonifici fraudolenti basata sul phishing è in aumento ovunque, come rilevato dall’FBI a inizio 2015, tanto che ad agosto 2015 l’FBI ha calcolato una perdita di quasi un miliardo di dollari tra USA e il resto del mondo. Sempre l’FBI ha di recente nuovamente lanciato l’allarme perché le aziende in USA continuano a perdere milioni di dollari a causa della truffa Business Email Comprimise (BEC).
Abbiamo ampiamente parlato di questo tipo di truffe e supportato personalmente diverse aziende cadute nel tranello della richiesta di bonifico fraudolenta che, soltanto in Italia, hanno nel complesso perso alcuni milioni di euro versati su conti esteri e da lì in alcuni casi parzialmente recuperati, in altri persi. L’attacco è sempre stato portato avanti tramite phishing, trojan tipo Zeus o Dyre o brute force sulle caselle di posta elettronica.
Di questi giorni la notizia che anche nel mondo Bitcoin è arrivata la truffa man-in-the-mail scam/fraud. Il CFO Direttore Finanziario di Bitpay, Bryan Krohn, ha infatti ricevuto una mail di phishing che lo ha invitato a inserire le credenziali del suo account email aziendale su un sito che emulava la webmail del suo provider di posta elettronica. Come è solito fare chi pratica attacchi di phishing, il delinquente ha quindi rediretto la connessione verso la webmail reale senza destare così sospetti nella vittima ma intanto ha acquisito login e password della casella di posta elettronica aziendale.
A questo punto, per alcune settimane, l’organizzazione criminale ha spiato la posta elettronica del dirigente che, ignaro, ha continuato a coordinare le trattative e gli scambi commerciali di cui quindi i delinquenti erano a conoscenza. A un certo punto, l’organizzazione criminale ha scritto al CEO, Amministratore Delegato di Bitpay, Stephen Pair, inviando il messaggio di posta elettronica dalla mail del Direttore Finanziario Bryan Krohn e firmando a suo nome. Nella mail, veniva richiesto un versamento di 1.000 bitcoin che l’Amminitratore Delegato Pair – fidandosi del mittente della mail – ha trasferito verso il wallet che credeva essere della cliente Ms.
Gina Guarnaccia di Second Market. Visto il successo di questo trasferimento, i delinquenti hanno inviato una nuova mail all’Amministratore Delegato, sempre fingendosi il Direttore Finanziario, chiedendo un ulteriore versamento di 1.000 BTC, che sono stati prontamente trasferiti verso il wallet richiesto. Non accontentandosi, i delinquenti hanno inviato un’ultima mail dall’account di Krohn chiedendo a Pair di eseguire un nuovo versamento di 3.000 bitcoin sempre verso il wallet del cliente.
Ovviamente ad inviare le mail non è mai stato il vero Krohn e il wallet non apparteneva a un cliente ma ai delinquenti, che hanno intascato la bellezza di 4.500 bitcoin – quasi due milioni di dollari. Sembra che la truffa sia stata scoperta perché a seguito del terzo trasferimento, l’Amministratore Delegato Krohn ha inviato una mail a Krohn e in CC anche alla vera cliente Sig.ra Gina Guarnaccia di Second Market, che doveva essere la vera proprietaria del wallet su cui sono stati versati i 4.500 bitcoin. La Sig.ra Guarnaccia ha ovviamente risposto dicendo che non sapeva nulla dei versamenti e così fatto scattare l’allarme.
Questo schema segue esattamente il flusso delle truffe Man In The Mail (MITM) o Business Email Compromise (BEC) descritto in modo chiarissimo da Brian Krebs nel suo blog linkato a fine pagina e sintetizzato in questa immagine.
Bitpay non ha recuperato nessuno dei bitcoin rubati – dato che le transazioni sono irreversibili e i proprietari del wallet ignoti – ma sta tentando di rivalersi sulla società assicurativa per la metà della cifra, cioè circa un milione di euro. L’assicurazione Massachusetts Bay Insurance Company (“MBIC”) si è però rifiutata di rifondere la perdita e così Bitpay ha avviato un procedimento legale nei loro confronti.
Dato che certamente gli attacchi di phishing e gli accessi alla casella di posta elettronica saranno provenuti da indirizzi anonimi nascosti dietro Tor, I2P o altre VPN, dal punto di vista investigativo non sarà facile per gli inquirenti capire chi ha operato la truffa man in the mail richiedendo un pagamento in bitcoin invece che i soliti bonifici bancari. Le tecniche di bitcoin forensics potrebbero permettere, seguendo le tracce del wallet e degli indirizzi sulla blockchain, di capire in che direzione è andato il denaro, seguendo il vecchio principio del “follow the money”. Ovviamente la difficoltà maggiore sarà data da eventuali mixer/thumbler utilizzati dai delinquenti per riciclare il denaro e far perdere le tracce.
Chi è interessato può leggere l’atto integrale di denuncia di Bitpay nei confronti di MBIC [WBM]e gli allegati al documento di denuncia [WBM] che contengono una descrizione dettagliata degli eventi e alcune mail scambiate tra Bitpay e la Società Assicurativa.
Per approfondire l’argomento relativo alle truffe Man In The Mail o Business Email Compromise, riportiamo alcuni link d’interesse: