Attributi

Nello sviluppare il nostro sistema l’obiettivo era di individuare le frodi MITB perpetrate tramite trasferimento elettronico di denaro, in particolare tramite bonifico bancario. Un’operazione di questo tipo contiene diverse informazioni:

• Importo

5. ANALISI DEI DATI

• Codice IBAN del conto corrente del beneficiario • Causale del pagamento

• Data e ora dell’inserimento dell’operazione • Codice utente di colui che effettua l’operazione

Oltre a questi campi il sistema informativo aziendale da noi analizzato prevede anche una serie di campi aggiuntivi utilizzati internamente che non sono per`o semanticamente correlati e non forniscono informazione aggiuntiva. Degno di nota `e solamente il campo che rappresenta lo stato effettivo dell’operazione (se andata a buon fine oppure se in errore e per quale motivazione); d’ora in avanti considereremo nella nostra analisi solo le operazioni inserite con successo nel sistema.

Nel seguito dedichiamo una breve discussione relativa ai dati in nostro possesso. Mentre alcuni campi come l’importo non hanno bisogno di chiarimenti ci soffermeremo su alcuni pi`u interessanti.

IBAN L’International Bank Account Number (IBAN), `e una stringa alfanumerica, definita dallo standard internazionale ISO 13616 del 1997 utilizzato per identificare univocamente un’utenza bancaria (un conto corrente). Un IBAN pu`o comporsi di al pi`u 34 caratteri (sono caratteri validi per l’IBAN le cifre numeriche da 0 a 9 e le 26 lettere maiuscole dell’alfabeto latino da A a Z) e si divide in tre blocchi:

• 2 lettere rappresentanti lo Stato (codificato secondo lo standard ISO 3166-1 alpha-2)

• 2 caratteri di controllo

• codice BBAN (Basic Bank Account Number) specifico per Stato

Il codice BBAN varia da Stato a Stato ma deve mantenere una lunghezza fissa fra i conti correnti della stessa Nazione. In Tabella 5.2 `e possibile osservare alcuni esempi di codici IBAN di vari Stati Europei; i caratteri di spaziatura sono stati inseriti solo per migliorare la leggibilit`a, non fanno parte dei caratteri validi. Si noti come la porzione del codice relativa del BBAN sia piuttosto differente da uno Stato all’altro.

5.1 Due principali sotto-domini

Paese IBAN

Italia IT 02 L 12345 12345 123456789012 Romania RO 02 1234 1234567890 123456 Germania DE 02 12345678 1234567890

Tabella 5.2: Esempi fittizzi di IBAN da diversi Paesi

Per i nostri scopi non `e necessario conoscere la procedura di estrazione delle lettere di controllo in quanto qualunque IBAN che viene da noi analizzato `e gi`a passato attraverso un algoritmo di verifica della sua correttezza e pertanto si pu`o considerare sempre valido.

Di tutti i possibili 34 caratteri dell’IBAN quelli pi`u interessanti ai nostri fini sono i primi due, quelli che compongono cio`e il codice dello Stato in cui `e stato aperto il conto corrente del beneficiario dell’operazione dispositiva. Si deve ricordare che la maggior parte delle truffe del tipo sotto nostro esame avviene tramite un pagamento verso conto corrente estero. Nonostante questo complichi le procedure di verifica degli opportuni organi nazionali e internazionali e renda pi`u difficile bloccare o annullare il pagamento una volta che `e stato confermato ci permette per`o di focalizzare la nostra analisi sul numero, ovviamente ridotto, di pagamenti internazionali senza per`o trascurare quelli interni.

Codice utente Questo campo `e la controparte del “Codice utente” corrispondente alle singole richieste HTTP che abbiamo incontrato in Sezione 5.1.1.1. Ci permette di correlare semplicemente le operazioni dispositive memorizzate all’interno del database di produzione con il contenuto dei log di navigazione.

Beneficiario `E un campo testuale in cui l’utente che dispone l’operazione inserisce tipicamente nome e cognome del beneficiario se si tratta di un conto corrente privato oppure la ragione sociale se si tratta di un conto corrente aziendale o della pubblica amministrazione. Si tratta per`o di un campo il cui contenuto non `e automaticamen-te verificato e costituisce pertanto principalmenautomaticamen-te un valore mnemonico per l’uautomaticamen-tenautomaticamen-te. Non `e raro infatti che anche per diverse disposizioni verso lo stesso conto corrente una persona utilizzi identificativi differenti, scambiando ad esempio la posizione di nome e

5. ANALISI DEI DATI

cognome, modificando eventuali accenti o abbreviando in maniera diversa alcune com-ponenti della ragione sociale in caso di aziende o PA. Dal punto di vista del nostro sistema un campo con queste propriet`a non risulta affidabile per essere utilizzato senza sufficiente cautela come valore di discriminazione tra pagamento corretto e potenziale frode. Infatti essendo il suo inserimento completamente sotto il controllo dell’utente (e quindi anche dell’eventuale frodatore) e il suo valore non verificato all’atto della transazione un software MITB abbastanza sofisticato potrebbe approfittare di queste debolezze per associare un nominativo familiare all’utente ad un IBAN completamente diverso verso cui dirottare il pagamento in modo da rendere pi`u difficoltosa la scoper-ta della frode ad un rapido esame dei movimenti bancari da parte dell’utente stesso. D’altro canto `e sempre possibile che uno stesso nominativo sia associato a pi`u un con-to corrente (e quindi pi`u di un IBAN) sia a livello nazionale che internazionale, basti pensare ad un’azienda di medie o grandi dimensioni. Il codice IBAN risulta quindi in definitiva l’unico parametro veramente affidabile attraverso cui identificare un’utenza beneficiaria.

Causale L’ultimo campo non banale dell’elenco `e la “Causale” dell’operazione. Si trat-ta di una stringa che descrive in poche parole la natura del pagamento in oggetto come ad esempio “PAGAMENTO AFFITTO OTTOBRE 2012” o “ACQUISTO FERRARI F40”; anche questo campo come gi`a visto per il “Beneficiario” `e a completa discrezione dell’utente. Dai dati in nostro possesso possiamo notare come tipicamente i frodatori siano sufficientemente furbi da evitare l’utilizzo di causali in sospette lingue straniere ma preferiscano utilizzare l’italiano, anche se a volte non senza qualche percebile lacuna lessicale o grammaticale. Alcuni esempi reali, utilizzati nei casi di frode accertati da noi esaminati, sono:

• PAGAMENTO PREMIO ASSICURAZIONE • LOCAZIONE SANCHEZ

• AMMINISTRATORE MESE DI GIUGNO • DA SILVA REST.2012

Alcuni degli esempi sono linguisticamente ineccepibili, altri risultano meno imme-diati ma bisogna tenere a mente la natura del campo e la sua lunghezza limitata che

5.1 Due principali sotto-domini

costringe spesso all’utilizzo di abbreviazioni rendendo la comprensione del messaggio non banale da parte di un osservatore esterno anche nel caso di campi perfettamente legittimi. D’altro canto l’uso di valori come “FATTURA” consentono al frodatore di passare praticamente inosservato senza eccessivi sforzi linguistici e in maniera del tutto ripetibile.

Data e ora La data e ora che vengono memorizzate sono quelle corrispondenti al momento dell’inserimento via web dell’operazione dispositiva, fatto che rende poi pos-sibile nell’implementazione del nostro sistema correlare facilmente la disposizione con la sessione che l’ha effettivamente generata.