SlideShare a Scribd company logo

Dagli alert alle denunce: il caso di Poste Italiane

A
armandoleotta

Un caso di phishing andato a buon fine? Un caso reale di un ammanco su un conto BancoPosta: risposte, osservazioni e riflessioni sui livelli di sicurezza offerti all'utenza.

TechnologyEconomy & FinanceBusiness
1 of 17
Dagli alert alle denunce Quando il phishing va a buon fine Armando LeottaCybercrime 2.0 Roma, 23 giugno 2010
Cosa, Come e chi Una truffa informatica Componente sociale Componente tecnologica Vettori di attacco: mail social network siti web IM etc… (main) Target: utenti di servizi bancari, postali e finanziari social network cloud…(?) Report MELANI: trend da e-banking a identity Quando il phishing va a buon fine - Armando Leotta - TOP-10 relativa alle organizzazioni maggiormente sottoposte ad attacchi di phishing nel corso del primo trimestre del 2010 (fonte KarsperkyLab) 2
Dove e Quando Appetibilità Grandi aziende Atenei Postazioni non aggiornate Unattended Scarsa consapevolezza dei rischi In occasione di particolari eventi Tsunami Raccolte di fondi umanitari Croce rossa italiana Eventi mediatici su larga scala (ad es. influenza suina, la morte di Michael Jackson, mondiali di calcio,…) … Quando il phishing va a buon fine - Armando Leotta - 3
Perchè Interessi economici Cybercrime evolve Spamming Carding Phishing Botnet Mobile botnet Spionaggio industriale e targetedattack Modello di business evolve Cyber laundering Quando il phishing va a buon fine - Armando Leotta - B U S I N E S S 4
“Solite” Raccomandazioni Non aprire mail da mittenti ignoti Non aprire allegati non attesi Non usare i link proposti via mail Mantenere aggiornato il proprio sistema Dotarsi di strumenti antimalware *aggiornati* Usare connessioni sicure laddove possibile Evitare di effettuare autenticazioni in ambienti insicuri o condivisi (cybercafè, hotspot pubblici o open, etc…) Quando il phishing va a buon fine - Armando Leotta - 5
Un caso reale: poste italiane Un saldo inferiore all’atteso Operazioni non riconosciute come proprie Panico (ricariche telefoniche e postepay) Segnalazione alla propria banca Segnalazione alle forze dell’ordine Quando il phishing va a buon fine - Armando Leotta - 6
BancoPosta “Gentile Cliente, con riferimento alla sua richiesta d’informazioni riguardante le operazioni online disposte dal conto corrente a Lei intestato, Le facciamo presente che dalle verifiche effettuate dette transazioni risultano eseguite con il corretto inserimento dei codici di accesso segreti per il riconoscimento del titolare.” Quando il phishing va a buon fine - Armando Leotta - Leggi: “non ci sono errori tecnici o contabili a noi imputabili: le transazioni sono avvenute nel rispetto delle modalità previste“ 7
BancoPosta II “Possiamo perciò supporre che i fatti da Lei segnalati siano riconducibili ad un caso di frode informatica. Come Le sarà certamente noto, le modalità mediante le quali può essere realizzato il furto d’identità online può essere vario.” Quando il phishing va a buon fine - Armando Leotta - Leggi: “Sei in buona fede e credo perfettamente alla tua versione dei fatti. E ti aiuto anche a capire come può essere successo tanto…“ 8
BancoPosta III “Può ad esempio accadere che sia lo stesso cliente a digitare inconsapevolmente i propri codici d’accesso in un sito che solo apparentemente risulta essere quello del proprio istituto di credito al quale si è collegato direttamente da un link ricevuto via posta elettronica.” Quando il phishing va a buon fine - Armando Leotta - Leggi: “Lo sai che non devi MAI accedere alla banca tramite link ricevuti in posta? Lo sai quante mail di phishing del nostro istituto girano giornalmente?“ 9
BancoPosta IV “Può anche verificarsi che sul personal computer non adeguatamente protetto vengano installati all’insaputa dell’utente “programmi spia”, in grado cioè di raccogliere informazioni dal computer e di trasmetterle via rete.” Quando il phishing va a buon fine - Armando Leotta - Leggi: “Il personal computer è un problema tuo, non della tua banca: dovevi “proteggerti adeguatamente”“ 10
BancoPosta V “Una volta carpiti i dati personali sono utilizzati fraudolentemente a danno degli ignari utenti. Deve, perciò, essere cura di chi utilizza strumenti informatici adottare tutte le cautele necessarie per garantire la riservatezza dei propri dati.” Quando il phishing va a buon fine - Armando Leotta - Chiusura con applauso: la colpa è senza dubbio la tua. 11
Osservazioni Poste Italiane ha fatto una campagna d’informazione costante per combattere e sensibilizzare gli utenti circa il fenomeno del phishing Per contro non è riuscita ad eliminare le mail di phishing nemmeno dai suoi stessi serventi Nel caso trattato, gli ammanchi sono riconducibili a transazioni in cui è stato inserito anche il PIN dispositivo Quando il phishing va a buon fine - Armando Leotta - 12
Contesto Diversi attacchi andati a buon fine Continue mail di phishing Varianti ed affinamenti semantici delle mail di phishing Quando il phishing va a buon fine - Armando Leotta - Ipotesi ragionevoli ,[object Object]
Rootkit
Keylogger
E se il client fosse “pulito”?13
Responsabilità Utente Consapevolezza Norme comportamentali Banca Accorgimenti sufficienti? VPN, Autenticazione basata su certificati, Token OTP, Verifica aggiornamento sistema Antimalware lato client, etc… (prevenzione) Notifiche via SMS, MAIL, IM, blocco cautelativo uso anomalo (reazione/contenimento/prevenzione) … Notebook in comodato d’uso Abbonamento attivo per Antivirus e Antispyware Software preinstallato … Quando il phishing va a buon fine - Armando Leotta - 14

Recommended

Raccomandazioni e-commerce
Raccomandazioni e-commerce Raccomandazioni e-commerce
Raccomandazioni e-commerce Fondazione Mondo Digitale
 
L'assedio nella rete
L'assedio nella reteL'assedio nella rete
L'assedio nella reteElena Prestinice
 
Phishing - Analisi, Simulazione e Contromisure
Phishing - Analisi, Simulazione e ContromisurePhishing - Analisi, Simulazione e Contromisure
Phishing - Analisi, Simulazione e ContromisureAndrea Draghetti
 
I Quaderni dell' ISEA - Phishing
I Quaderni dell' ISEA - PhishingI Quaderni dell' ISEA - Phishing
I Quaderni dell' ISEA - PhishingISEA ODV
 
La sicurezza delle reti
La sicurezza delle retiLa sicurezza delle reti
La sicurezza delle retifrancescacaruso01
 
Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si ...
Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si ...Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si ...
Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si ...Gianfranco Tonello
 
Rt Linkedin Ycr
Rt Linkedin YcrRt Linkedin Ycr
Rt Linkedin YcrSignature Service GMAC Real Estate
 
Vapors & E Cigs
Vapors & E Cigs Vapors & E Cigs
Vapors & E Cigs Ms. Somar
 

Recommended

Raccomandazioni e-commerce
Raccomandazioni e-commerce Raccomandazioni e-commerce
Raccomandazioni e-commerce Fondazione Mondo Digitale
 
L'assedio nella rete
L'assedio nella reteL'assedio nella rete
L'assedio nella reteElena Prestinice
 
Phishing - Analisi, Simulazione e Contromisure
Phishing - Analisi, Simulazione e ContromisurePhishing - Analisi, Simulazione e Contromisure
Phishing - Analisi, Simulazione e ContromisureAndrea Draghetti
 
I Quaderni dell' ISEA - Phishing
I Quaderni dell' ISEA - PhishingI Quaderni dell' ISEA - Phishing
I Quaderni dell' ISEA - PhishingISEA ODV
 
La sicurezza delle reti
La sicurezza delle retiLa sicurezza delle reti
La sicurezza delle retifrancescacaruso01
 
Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si ...
Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si ...Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si ...
Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si ...Gianfranco Tonello
 
Rt Linkedin Ycr
Rt Linkedin YcrRt Linkedin Ycr
Rt Linkedin YcrSignature Service GMAC Real Estate
 
Vapors & E Cigs
Vapors & E Cigs Vapors & E Cigs
Vapors & E Cigs Ms. Somar
 
AICP slides
AICP slidesAICP slides
AICP slidesguest12d02a
 
多螢時代下,以16個夏天及徵婚啟事,看品牌置入及效益評估
多螢時代下,以16個夏天及徵婚啟事,看品牌置入及效益評估多螢時代下,以16個夏天及徵婚啟事,看品牌置入及效益評估
多螢時代下,以16個夏天及徵婚啟事,看品牌置入及效益評估Nicky Hsieh
 
Jasonvillie Photo Album
Jasonvillie Photo AlbumJasonvillie Photo Album
Jasonvillie Photo Albumwilld75382
 
Book 2 lesson 2
Book 2 lesson 2Book 2 lesson 2
Book 2 lesson 2Gloria Guerra
 
prueba
prueba prueba
prueba guest737ee5
 
Todo los calculo
Todo los calculoTodo los calculo
Todo los calculoguest3f9d9cb
 
Il phishing
Il phishingIl phishing
Il phishingmartinaoro
 
Phishing: se lo conosci, lo eviti
Phishing: se lo conosci, lo evitiPhishing: se lo conosci, lo eviti
Phishing: se lo conosci, lo evitiVincenzo Calabrò
 
Il ricatto è online: Cryptolocker, il virus che rapisce la privacy
Il ricatto è online: Cryptolocker, il virus che rapisce la privacyIl ricatto è online: Cryptolocker, il virus che rapisce la privacy
Il ricatto è online: Cryptolocker, il virus che rapisce la privacynetWork S.a.s
 
Smau Milano 2014 Walter Russo
Smau Milano 2014 Walter RussoSmau Milano 2014 Walter Russo
Smau Milano 2014 Walter RussoSMAU
 
Wwc2
Wwc2Wwc2
Wwc2Daniele Cipri
 
Alessandro Canella - convegno privacy - 23 Marzo 2004
Alessandro Canella - convegno privacy - 23 Marzo 2004Alessandro Canella - convegno privacy - 23 Marzo 2004
Alessandro Canella - convegno privacy - 23 Marzo 2004Alessandro Canella
 
Conto corrente sotto attacco: come l’evoluzione dei Trojan Banker minacciano ...
Conto corrente sotto attacco: come l’evoluzione dei Trojan Banker minacciano ...Conto corrente sotto attacco: come l’evoluzione dei Trojan Banker minacciano ...
Conto corrente sotto attacco: come l’evoluzione dei Trojan Banker minacciano ...Gianfranco Tonello
 
R. Villano - Sicurezza e reati informatici: problemi tecnici, giuridici e no...
R. Villano - Sicurezza e reati informatici: problemi tecnici, giuridici e no...R. Villano - Sicurezza e reati informatici: problemi tecnici, giuridici e no...
R. Villano - Sicurezza e reati informatici: problemi tecnici, giuridici e no...Raimondo Villano
 
5 online
5 online5 online
5 onlinetapisge
 
Sicurezza informatica
Sicurezza informaticaSicurezza informatica
Sicurezza informaticaFedericaPaolini3
 
Web reputation combined italian
Web reputation combined italianWeb reputation combined italian
Web reputation combined italianGianluigi Spagnoli
 
Personal Cybersecurity
Personal CybersecurityPersonal Cybersecurity
Personal CybersecurityUgo Micci
 
DOCFLOW Personal Cybersecurity 2015
DOCFLOW Personal Cybersecurity 2015DOCFLOW Personal Cybersecurity 2015
DOCFLOW Personal Cybersecurity 2015DOCFLOW
 
Perché oggi è importante tutelare le informazioni
Perché oggi è importante tutelare le informazioniPerché oggi è importante tutelare le informazioni
Perché oggi è importante tutelare le informazioniDI.TECH - Innovazione per la distribuzione
 
Phishing fast & furious
Phishing fast & furiousPhishing fast & furious
Phishing fast & furiousdenis frati
 
Il cybercrime, la sicurezza e i rimedi st15
Il cybercrime, la sicurezza e i rimedi st15Il cybercrime, la sicurezza e i rimedi st15
Il cybercrime, la sicurezza e i rimedi st15Fabio Meloni
 

More Related Content

Viewers also liked

多螢時代下,以16個夏天及徵婚啟事,看品牌置入及效益評估
多螢時代下,以16個夏天及徵婚啟事,看品牌置入及效益評估多螢時代下,以16個夏天及徵婚啟事,看品牌置入及效益評估
多螢時代下,以16個夏天及徵婚啟事,看品牌置入及效益評估Nicky Hsieh
 
Jasonvillie Photo Album
Jasonvillie Photo AlbumJasonvillie Photo Album
Jasonvillie Photo Albumwilld75382
 

Viewers also liked (6)

AICP slides
AICP slidesAICP slides
AICP slides
 
多螢時代下,以16個夏天及徵婚啟事,看品牌置入及效益評估
多螢時代下,以16個夏天及徵婚啟事,看品牌置入及效益評估多螢時代下,以16個夏天及徵婚啟事,看品牌置入及效益評估
多螢時代下,以16個夏天及徵婚啟事,看品牌置入及效益評估
 
Jasonvillie Photo Album
Jasonvillie Photo AlbumJasonvillie Photo Album
Jasonvillie Photo Album
 
Book 2 lesson 2
Book 2 lesson 2Book 2 lesson 2
Book 2 lesson 2
 
prueba
prueba prueba
prueba
 
Todo los calculo
Todo los calculoTodo los calculo
Todo los calculo
 

Similar to Dagli alert alle denunce: il caso di Poste Italiane

Phishing: se lo conosci, lo eviti
Phishing: se lo conosci, lo evitiPhishing: se lo conosci, lo eviti
Phishing: se lo conosci, lo evitiVincenzo Calabrò
 
Il ricatto è online: Cryptolocker, il virus che rapisce la privacy
Il ricatto è online: Cryptolocker, il virus che rapisce la privacyIl ricatto è online: Cryptolocker, il virus che rapisce la privacy
Il ricatto è online: Cryptolocker, il virus che rapisce la privacynetWork S.a.s
 
Smau Milano 2014 Walter Russo
Smau Milano 2014 Walter RussoSmau Milano 2014 Walter Russo
Smau Milano 2014 Walter RussoSMAU
 
Alessandro Canella - convegno privacy - 23 Marzo 2004
Alessandro Canella - convegno privacy - 23 Marzo 2004Alessandro Canella - convegno privacy - 23 Marzo 2004
Alessandro Canella - convegno privacy - 23 Marzo 2004Alessandro Canella
 
Conto corrente sotto attacco: come l’evoluzione dei Trojan Banker minacciano ...
Conto corrente sotto attacco: come l’evoluzione dei Trojan Banker minacciano ...Conto corrente sotto attacco: come l’evoluzione dei Trojan Banker minacciano ...
Conto corrente sotto attacco: come l’evoluzione dei Trojan Banker minacciano ...Gianfranco Tonello
 
R. Villano - Sicurezza e reati informatici: problemi tecnici, giuridici e no...
R. Villano - Sicurezza e reati informatici: problemi tecnici, giuridici e no...R. Villano - Sicurezza e reati informatici: problemi tecnici, giuridici e no...
R. Villano - Sicurezza e reati informatici: problemi tecnici, giuridici e no...Raimondo Villano
 
5 online
5 online5 online
5 onlinetapisge
 
Web reputation combined italian
Web reputation combined italianWeb reputation combined italian
Web reputation combined italianGianluigi Spagnoli
 
Personal Cybersecurity
Personal CybersecurityPersonal Cybersecurity
Personal CybersecurityUgo Micci
 
DOCFLOW Personal Cybersecurity 2015
DOCFLOW Personal Cybersecurity 2015DOCFLOW Personal Cybersecurity 2015
DOCFLOW Personal Cybersecurity 2015DOCFLOW
 
Phishing fast & furious
Phishing fast & furiousPhishing fast & furious
Phishing fast & furiousdenis frati
 
Il cybercrime, la sicurezza e i rimedi st15
Il cybercrime, la sicurezza e i rimedi st15Il cybercrime, la sicurezza e i rimedi st15
Il cybercrime, la sicurezza e i rimedi st15Fabio Meloni
 
Presentazione cyber anthea e lios 1.3
Presentazione cyber anthea e lios 1.3Presentazione cyber anthea e lios 1.3
Presentazione cyber anthea e lios 1.3PierpaoloDalCortivo
 
Webinar 2020.04.07- Pillole di sicurezza digitale
Webinar 2020.04.07- Pillole di sicurezza digitaleWebinar 2020.04.07- Pillole di sicurezza digitale
Webinar 2020.04.07- Pillole di sicurezza digitaleMario Rossano
 
I crimini informatici e l'azienda
I crimini informatici e l'aziendaI crimini informatici e l'azienda
I crimini informatici e l'aziendaGiovanni Fiorino
 
La gestione delle identità per il controllo delle frodi bancarie
La gestione delle identità per il controllo delle frodi bancarieLa gestione delle identità per il controllo delle frodi bancarie
La gestione delle identità per il controllo delle frodi bancarieGiuseppe Paterno'
 

Similar to Dagli alert alle denunce: il caso di Poste Italiane (20)

Il phishing
Il phishingIl phishing
Il phishing
 
Phishing: se lo conosci, lo eviti
Phishing: se lo conosci, lo evitiPhishing: se lo conosci, lo eviti
Phishing: se lo conosci, lo eviti
 
Il ricatto è online: Cryptolocker, il virus che rapisce la privacy
Il ricatto è online: Cryptolocker, il virus che rapisce la privacyIl ricatto è online: Cryptolocker, il virus che rapisce la privacy
Il ricatto è online: Cryptolocker, il virus che rapisce la privacy
 
Smau Milano 2014 Walter Russo
Smau Milano 2014 Walter RussoSmau Milano 2014 Walter Russo
Smau Milano 2014 Walter Russo
 
Wwc2
Wwc2Wwc2
Wwc2
 
Alessandro Canella - convegno privacy - 23 Marzo 2004
Alessandro Canella - convegno privacy - 23 Marzo 2004Alessandro Canella - convegno privacy - 23 Marzo 2004
Alessandro Canella - convegno privacy - 23 Marzo 2004
 
Conto corrente sotto attacco: come l’evoluzione dei Trojan Banker minacciano ...
Conto corrente sotto attacco: come l’evoluzione dei Trojan Banker minacciano ...Conto corrente sotto attacco: come l’evoluzione dei Trojan Banker minacciano ...
Conto corrente sotto attacco: come l’evoluzione dei Trojan Banker minacciano ...
 
R. Villano - Sicurezza e reati informatici: problemi tecnici, giuridici e no...
R. Villano - Sicurezza e reati informatici: problemi tecnici, giuridici e no...R. Villano - Sicurezza e reati informatici: problemi tecnici, giuridici e no...
R. Villano - Sicurezza e reati informatici: problemi tecnici, giuridici e no...
 
5 online
5 online5 online
5 online
 
Sicurezza informatica
Sicurezza informaticaSicurezza informatica
Sicurezza informatica
 
Web reputation combined italian
Web reputation combined italianWeb reputation combined italian
Web reputation combined italian
 
Personal Cybersecurity
Personal CybersecurityPersonal Cybersecurity
Personal Cybersecurity
 
DOCFLOW Personal Cybersecurity 2015
DOCFLOW Personal Cybersecurity 2015DOCFLOW Personal Cybersecurity 2015
DOCFLOW Personal Cybersecurity 2015
 
Perché oggi è importante tutelare le informazioni
Perché oggi è importante tutelare le informazioniPerché oggi è importante tutelare le informazioni
Perché oggi è importante tutelare le informazioni
 
Phishing fast & furious
Phishing fast & furiousPhishing fast & furious
Phishing fast & furious
 
Il cybercrime, la sicurezza e i rimedi st15
Il cybercrime, la sicurezza e i rimedi st15Il cybercrime, la sicurezza e i rimedi st15
Il cybercrime, la sicurezza e i rimedi st15
 
Presentazione cyber anthea e lios 1.3
Presentazione cyber anthea e lios 1.3Presentazione cyber anthea e lios 1.3
Presentazione cyber anthea e lios 1.3
 
Webinar 2020.04.07- Pillole di sicurezza digitale
Webinar 2020.04.07- Pillole di sicurezza digitaleWebinar 2020.04.07- Pillole di sicurezza digitale
Webinar 2020.04.07- Pillole di sicurezza digitale
 
I crimini informatici e l'azienda
I crimini informatici e l'aziendaI crimini informatici e l'azienda
I crimini informatici e l'azienda
 
La gestione delle identità per il controllo delle frodi bancarie
La gestione delle identità per il controllo delle frodi bancarieLa gestione delle identità per il controllo delle frodi bancarie
La gestione delle identità per il controllo delle frodi bancarie
 

Dagli alert alle denunce: il caso di Poste Italiane

  • 1. Dagli alert alle denunce Quando il phishing va a buon fine Armando LeottaCybercrime 2.0 Roma, 23 giugno 2010
  • 2. Cosa, Come e chi Una truffa informatica Componente sociale Componente tecnologica Vettori di attacco: mail social network siti web IM etc… (main) Target: utenti di servizi bancari, postali e finanziari social network cloud…(?) Report MELANI: trend da e-banking a identity Quando il phishing va a buon fine - Armando Leotta - TOP-10 relativa alle organizzazioni maggiormente sottoposte ad attacchi di phishing nel corso del primo trimestre del 2010 (fonte KarsperkyLab) 2
  • 3. Dove e Quando Appetibilità Grandi aziende Atenei Postazioni non aggiornate Unattended Scarsa consapevolezza dei rischi In occasione di particolari eventi Tsunami Raccolte di fondi umanitari Croce rossa italiana Eventi mediatici su larga scala (ad es. influenza suina, la morte di Michael Jackson, mondiali di calcio,…) … Quando il phishing va a buon fine - Armando Leotta - 3
  • 4. Perchè Interessi economici Cybercrime evolve Spamming Carding Phishing Botnet Mobile botnet Spionaggio industriale e targetedattack Modello di business evolve Cyber laundering Quando il phishing va a buon fine - Armando Leotta - B U S I N E S S 4
  • 5. “Solite” Raccomandazioni Non aprire mail da mittenti ignoti Non aprire allegati non attesi Non usare i link proposti via mail Mantenere aggiornato il proprio sistema Dotarsi di strumenti antimalware *aggiornati* Usare connessioni sicure laddove possibile Evitare di effettuare autenticazioni in ambienti insicuri o condivisi (cybercafè, hotspot pubblici o open, etc…) Quando il phishing va a buon fine - Armando Leotta - 5
  • 6. Un caso reale: poste italiane Un saldo inferiore all’atteso Operazioni non riconosciute come proprie Panico (ricariche telefoniche e postepay) Segnalazione alla propria banca Segnalazione alle forze dell’ordine Quando il phishing va a buon fine - Armando Leotta - 6
  • 7. BancoPosta “Gentile Cliente, con riferimento alla sua richiesta d’informazioni riguardante le operazioni online disposte dal conto corrente a Lei intestato, Le facciamo presente che dalle verifiche effettuate dette transazioni risultano eseguite con il corretto inserimento dei codici di accesso segreti per il riconoscimento del titolare.” Quando il phishing va a buon fine - Armando Leotta - Leggi: “non ci sono errori tecnici o contabili a noi imputabili: le transazioni sono avvenute nel rispetto delle modalità previste“ 7
  • 8. BancoPosta II “Possiamo perciò supporre che i fatti da Lei segnalati siano riconducibili ad un caso di frode informatica. Come Le sarà certamente noto, le modalità mediante le quali può essere realizzato il furto d’identità online può essere vario.” Quando il phishing va a buon fine - Armando Leotta - Leggi: “Sei in buona fede e credo perfettamente alla tua versione dei fatti. E ti aiuto anche a capire come può essere successo tanto…“ 8
  • 9. BancoPosta III “Può ad esempio accadere che sia lo stesso cliente a digitare inconsapevolmente i propri codici d’accesso in un sito che solo apparentemente risulta essere quello del proprio istituto di credito al quale si è collegato direttamente da un link ricevuto via posta elettronica.” Quando il phishing va a buon fine - Armando Leotta - Leggi: “Lo sai che non devi MAI accedere alla banca tramite link ricevuti in posta? Lo sai quante mail di phishing del nostro istituto girano giornalmente?“ 9
  • 10. BancoPosta IV “Può anche verificarsi che sul personal computer non adeguatamente protetto vengano installati all’insaputa dell’utente “programmi spia”, in grado cioè di raccogliere informazioni dal computer e di trasmetterle via rete.” Quando il phishing va a buon fine - Armando Leotta - Leggi: “Il personal computer è un problema tuo, non della tua banca: dovevi “proteggerti adeguatamente”“ 10
  • 11. BancoPosta V “Una volta carpiti i dati personali sono utilizzati fraudolentemente a danno degli ignari utenti. Deve, perciò, essere cura di chi utilizza strumenti informatici adottare tutte le cautele necessarie per garantire la riservatezza dei propri dati.” Quando il phishing va a buon fine - Armando Leotta - Chiusura con applauso: la colpa è senza dubbio la tua. 11
  • 12. Osservazioni Poste Italiane ha fatto una campagna d’informazione costante per combattere e sensibilizzare gli utenti circa il fenomeno del phishing Per contro non è riuscita ad eliminare le mail di phishing nemmeno dai suoi stessi serventi Nel caso trattato, gli ammanchi sono riconducibili a transazioni in cui è stato inserito anche il PIN dispositivo Quando il phishing va a buon fine - Armando Leotta - 12
  • 13.
  • 16. E se il client fosse “pulito”?13
  • 17. Responsabilità Utente Consapevolezza Norme comportamentali Banca Accorgimenti sufficienti? VPN, Autenticazione basata su certificati, Token OTP, Verifica aggiornamento sistema Antimalware lato client, etc… (prevenzione) Notifiche via SMS, MAIL, IM, blocco cautelativo uso anomalo (reazione/contenimento/prevenzione) … Notebook in comodato d’uso Abbonamento attivo per Antivirus e Antispyware Software preinstallato … Quando il phishing va a buon fine - Armando Leotta - 14
  • 18. Riflessioni Possibile che bastino informative, disclaimer e bacheche per demandare completamente all’utente la verifica della auspicata “adeguata protezione” ? Che significa “adeguata protezione” ? L’utente è sufficientemente tutelato? Le misure di sicurezza poste in essere dall’azienda (in questo caso Poste Italiane) sono ragionevolmente adatte e sufficienti? Forse qualche attenzione in più sull’offerta ai clienti è lecito ipotizzarla (vedi altri servizi bancari analoghi). Riflettere e condividere come sempre mi sembra la strada maestra. Quando il phishing va a buon fine - Armando Leotta - 15
  • 19. Tab-napping Nuovo phishing exploit Basato su javascript Componenti tecnologiche Componenti sociali Più tabelle o finestre e cambio del focus Proofofconcept Quando il phishing va a buon fine - Armando Leotta - 16
  • 20. Q & A G r a z i e d e l l ’ a t t e n z i o n e Quando il phishing va a buon fine - Armando Leotta - Armando Leotta blog.armandoleotta.com 17