In questi mesi mi sono trovato a effettuare perizie in diversi casi di attacchi alle comunicazioni email con lo scopo di modificare informazioni sensibili. Questo attacco prende il nome di Man in the Mail, una versione della più estesa casistica degli attacchi Man in the Middle.
Nei casi analizzati si è trattato di intrusioni nella comunicazione che avevano come obbiettivo la modifica del codice IBAN di fatture inviate appunto per email.
Comunicare dati importanti via email non è mai una buona idea in quanto le email viaggiano in chiaro sulla rete e questo equivarrebbe a scriverle su una cartolina del tradizionale sistema postale. La email è sempre da considerarsi un sistema di trasmissione insicuro, a me che non introduciamo accorgimenti quali la crittografia asimmetrica del contenuto con strumenti quali GPG.
In ogni caso questo tipo di attacco prevede la modifica delle informazioni nella casella email prima che queste vengano lette dal destinatario. L’attacco è normalmente portato a termine per via di password deboli o con tecniche di phising o ingegneria sociale.
Da segnalare il fatto che le banche non sono tenute a verificare la corrispondenza tra l’IBAN e la ragione sociale a cui viene fatto un bonifico. Pertanto al criminale informatico basta modificare l’IBAN corretto con uno associato a una carta di credito intestata a vario titolo a prestanome e la truffa è compiuta.
Se siete incappati in questa truffa e volete far valere i vostri diritti sono a disposizione per il necessario supporto tecnico.