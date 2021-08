Di Shahnawaz Backer, Principal Security Advisor di F5

Aziende come Uber, Airbnb, PayPal e altre con una piattaforma come modello di business hanno prosperato negli ultimi anni grazie alla capacità di soddisfare le richieste dei consumatori, abbinando le offerte di fornitori di servizi come ristoranti, trasporti, pagamenti, e nascondendo agli utenti la complessità dei processi sottostanti.

La rapida adozione di questi modelli, con particolare intensità anche durante i mesi dell’emergenza Covid-19, le ha messe sempre più nel mirino di truffatori alla ricerca di nuovi modi per frodare il sistema e guadagnare illegalmente il più possibile a partire da processi aziendali leciti. Di recente, F5 Labs ha scoperto come molte volte chi froda un sistema digitale lo faccia in collusione con altri partecipanti, ognuno con un ruolo diverso nella truffa.

La collusione in frode: che cosa accade?

La collusione in frode si verifica quando due o più attori cospirano per frodarne un terzo durante una transazione commerciale digitale che coinvolge più gruppi di partecipanti. Una tecnica ampiamente diffusa ora che sempre più aziende adottano piattaforme digitali che servono per diversi scopi.

La quantità di processi e attori coinvolti sulla piattaforma offre numerose opportunità ai potenziali truffatori. Se pensiamo ad esempio a una piattaforma digitale di un’azienda che offre e-commerce e che consente a un consumatore di selezionare gli articoli da un venditore a sua scelta, acquistarli e farseli consegnare a casa capiremo facilmente come una singola transazione commerciale su quella piattaforma coinvolga l’elaborazione degli ordini online, il pagamento, la preparazione delle merci, la logistica e la consegna. Il completamento di queste attività, a sua volta, implica l’adozione di servizi offerti da più fornitori specializzati in diverse aree, con una parte del processo che spesso sfugge al controllo della piattaforma stessa. È proprio tale atto collaborativo, che consente di completare queste transazioni commerciali in più fasi, a fornire potenziali vie di accesso ai malintenzionati.

I truffatori progettano gli attacchi in modo da poter guadagnare rapidamente prendendo di mira sottoprodotti della transazione principale, come un cashback, la mancia o lo sconto. Questi sottoprodotti sono generalmente gestiti separatamente dalla transazione principale e spesso se il consumatore, il fornitore terzo o un altro attore parte del processo di acquisto li ha già ricevuti sono difficili da ottenere indietro una volta individuata la frode.

La mancia: le truffe ai danni di un’azienda leader nel food & beverage

Un esempio concreto di frode per collusione è stato rivelato dagli F5 Labs presso un’azienda leader nel settore Food and Beverage, dove i malintenzionati hanno ampiamente sfruttato il concetto di “mancia”.

La piattaforma digitale di questa azienda offre un servizio conveniente riunendo molte offerte e sconti sulle prenotazioni presso i ristoranti, le consegne e i pagamenti online.

Il truffatore/finto consumatore e un corriere si sono messi d’accordo per organizzare la truffa a partire da carte di credito rubate e hanno realizzato la frode con i seguenti passaggi.

Innanzitutto, hanno utilizzato una carta rubata; il truffatore ha effettuato un ordine costoso (superiore ai 300 dollari) includendo una mancia più che generosa (che di solito ammonta a oltre il 30% del bene acquistato).

A quel punto l’ordine ha seguito il ciclo di vita standard e lecito, e il titolare della carta di credito rubata, una volta rilevata la transazione, ha contestato l’addebito della spesa alla propria banca.

Tutto questo ha portato allo storno dell’addebito sul conto da parte della banca, ovvero lo storno della transazione fraudolenta contestata, che sulla piattaforma dell’azienda equivale all’intero importo dell’ordine, inclusa la mancia, ma a quel punto l’importo della mancia era ormai stato pagato per il servizo di consegna, senza possibilità di restituzione.

I dati sulla sicurezza raccolti da Shape hanno mostrato che questo semplice “gioco” sulla piattaforma online dell’azienda di F&B ha fatto registrare quasi 3.000 ordini con collusione in frode in un periodo di tre mesi, per un valore complessivo di 1,5 milioni di dollari e mance erogate per un importo di circa 350.000 dollari.

Cashback e punti fedeltà: frode ai danni del principale digital wallet

Il secondo caso ha coinvolto un portafoglio per i pagamenti online leader del settore, che con la collusione è stato defraudato dei premi di rimborso: il cosiddetto “Cashback”.

Gli attori coinvolti, in questo caso, sono stati un finto consumatore e un commerciante, che hanno cospirato per frodare la piattaforma a partire dai punti fedeltà.

Il consumatore ha acquistato dei beni dal commerciante utilizzando la piattaforma e così ha guadagnato punti premio, che ha poi utilizzato per acquistare altri beni da un secondo commerciante. Una volta che i punti o cashback sono stati utilizzati, il primo commerciante colluso rimborsa la somma originale al consumatore, adducendo motivi come l’indisponibilità delle scorte. A quel punto la piattaforma di digital wallet rimborsa la somma originaria al consumatore, ma i punti e il cashback sono spariti e non sono più recuperabili!

Conclusione

Con l’aumento del tasso di adozione dei servizi e delle piattaforme digitali, i consumatori saranno attratti da vari incentivi, sconti, premi, cashback e rimborsi assicurati. I truffatori troveranno un modo per inserirsi sempre meglio in questi sottoprodotti e, attraverso i propri complici, colludere per rubare questi incentivi, determinando una varietà sempre maggiore nei modelli di frode online.

È importante notare che rilevare queste collusioni è molto complesso e richiederà sempre più l’adozione dell’intelligenza artificiale per individuare e bloccare queste transazioni su larga scala. Un processo che dovrebbe includere l’utilizzo di modelli analitici basati sull’intelligenza artificiale, algoritmi di clustering e di analisi delle transazioni per rilevare le frodi con collusione. Le organizzazioni dovranno quindi impegnarsi per istruire e riqualificare i modelli di intelligenza artificiale man mano che le tecniche di frode evolvono.