• Save
Dagli alert alle denunce: il caso di Poste Italiane
Upcoming SlideShare
Loading in...5
×
 

Like this? Share it with your network

Share

Dagli alert alle denunce: il caso di Poste Italiane

on

  • 2,323 views

Un caso di phishing andato a buon fine? Un caso reale di un ammanco su un conto BancoPosta: risposte, osservazioni e riflessioni sui livelli di sicurezza offerti all'utenza.

Un caso di phishing andato a buon fine? Un caso reale di un ammanco su un conto BancoPosta: risposte, osservazioni e riflessioni sui livelli di sicurezza offerti all'utenza.

Statistics

Views

Total Views
2,323
Views on SlideShare
1,753
Embed Views
570

Actions

Likes
0
Downloads
0
Comments
0

3 Embeds 570

http://blog.armandoleotta.com 568
http://webcache.googleusercontent.com 1
http://www.docshut.com 1

Accessibility

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

CC Attribution-NonCommercial-ShareAlike LicenseCC Attribution-NonCommercial-ShareAlike LicenseCC Attribution-NonCommercial-ShareAlike License

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Dagli alert alle denunce: il caso di Poste Italiane Presentation Transcript

  • 1. Dagli alert alle denunce
    Quando il phishing va a buon fine
    Armando LeottaCybercrime 2.0
    Roma, 23 giugno 2010
  • 2. Cosa, Come e chi
    Una truffa informatica
    Componente sociale
    Componente tecnologica
    Vettori di attacco:
    mail
    social network
    siti web
    IM
    etc…
    (main) Target:
    utenti di servizi bancari, postali e finanziari
    social network
    cloud…(?)
    Report MELANI: trend da e-banking a identity
    Quando il phishing va a buon fine - Armando Leotta -
    TOP-10 relativa alle organizzazioni maggiormente sottoposte ad attacchi di phishing nel corso del primo trimestre del 2010 (fonte KarsperkyLab)
    2
  • 3. Dove e Quando
    Appetibilità
    Grandi aziende
    Atenei
    Postazioni non aggiornate
    Unattended
    Scarsa consapevolezza dei rischi
    In occasione di particolari eventi
    Tsunami
    Raccolte di fondi umanitari
    Croce rossa italiana
    Eventi mediatici su larga scala (ad es. influenza suina, la morte di Michael Jackson, mondiali di calcio,…)

    Quando il phishing va a buon fine - Armando Leotta -
    3
  • 4. Perchè
    Interessi economici
    Cybercrime evolve
    Spamming
    Carding
    Phishing
    Botnet
    Mobile botnet
    Spionaggio industriale e targetedattack
    Modello di business evolve
    Cyber laundering
    Quando il phishing va a buon fine - Armando Leotta -
    B U S I N E S S
    4
  • 5. “Solite” Raccomandazioni
    Non aprire mail da mittenti ignoti
    Non aprire allegati non attesi
    Non usare i link proposti via mail
    Mantenere aggiornato il proprio sistema
    Dotarsi di strumenti antimalware
    *aggiornati*
    Usare connessioni sicure laddove possibile
    Evitare di effettuare autenticazioni in ambienti insicuri o condivisi (cybercafè, hotspot pubblici o open, etc…)
    Quando il phishing va a buon fine - Armando Leotta -
    5
  • 6. Un caso reale: poste italiane
    Un saldo inferiore all’atteso
    Operazioni non riconosciute come proprie
    Panico
    (ricariche telefoniche e postepay)
    Segnalazione alla propria banca
    Segnalazione alle forze dell’ordine
    Quando il phishing va a buon fine - Armando Leotta -
    6
  • 7. BancoPosta
    “Gentile Cliente,
    con riferimento alla sua richiesta d’informazioni
    riguardante le operazioni online disposte dal conto corrente a Lei intestato, Le facciamo presente che dalle verifiche effettuate dette transazioni risultano eseguite con il corretto inserimento dei codici di accesso segreti per il riconoscimento del titolare.”
    Quando il phishing va a buon fine - Armando Leotta -
    Leggi: “non ci sono errori tecnici o contabili a noi imputabili:
    le transazioni sono avvenute nel rispetto delle modalità previste“
    7
  • 8. BancoPosta II
    “Possiamo perciò supporre che i fatti da Lei segnalati siano riconducibili ad un caso di frode informatica. Come Le sarà certamente noto, le modalità mediante le quali può essere realizzato il furto d’identità online può essere vario.”
    Quando il phishing va a buon fine - Armando Leotta -
    Leggi: “Sei in buona fede e credo perfettamente alla tua versione dei fatti. E ti aiuto anche a capire come può essere successo tanto…“
    8
  • 9. BancoPosta III
    “Può ad esempio accadere che sia lo stesso cliente a digitare inconsapevolmente i propri codici d’accesso in un sito che solo apparentemente risulta essere quello del proprio istituto di credito al quale si è collegato direttamente da un link ricevuto via posta elettronica.”
    Quando il phishing va a buon fine - Armando Leotta -
    Leggi: “Lo sai che non devi MAI accedere alla banca tramite link ricevuti in posta? Lo sai quante mail di phishing del nostro istituto girano giornalmente?“
    9
  • 10. BancoPosta IV
    “Può anche verificarsi che sul personal computer non adeguatamente protetto vengano installati all’insaputa dell’utente “programmi spia”, in grado cioè di raccogliere informazioni dal computer e di trasmetterle via rete.”
    Quando il phishing va a buon fine - Armando Leotta -
    Leggi: “Il personal computer è un problema tuo, non della tua banca: dovevi “proteggerti adeguatamente”“
    10
  • 11. BancoPosta V
    “Una volta carpiti i dati personali sono utilizzati fraudolentemente a danno degli ignari utenti. Deve, perciò, essere cura di chi utilizza strumenti informatici adottare tutte le cautele necessarie per garantire la riservatezza dei propri dati.”
    Quando il phishing va a buon fine - Armando Leotta -
    Chiusura con applauso: la colpa è senza dubbio la tua.
    11
  • 12. Osservazioni
    Poste Italiane ha fatto una campagna d’informazione costante per combattere e sensibilizzare gli utenti circa il fenomeno del phishing
    Per contro non è riuscita ad eliminare le mail di phishing nemmeno dai suoi stessi serventi
    Nel caso trattato, gli ammanchi sono riconducibili a transazioni in cui è stato inserito anche il PIN dispositivo
    Quando il phishing va a buon fine - Armando Leotta -
    12
  • 13. Contesto
    Diversi attacchi andati a buon fine
    Continue mail di phishing
    Varianti ed affinamenti semantici delle mail di phishing
    Quando il phishing va a buon fine - Armando Leotta -
    Ipotesi ragionevoli
    • Malware
    • 14. Rootkit
    • 15. Keylogger
    • 16. E se il client fosse “pulito”?
    13
  • 17. Responsabilità
    Utente
    Consapevolezza
    Norme comportamentali
    Banca
    Accorgimenti sufficienti?
    VPN, Autenticazione basata su certificati, Token OTP, Verifica aggiornamento sistema Antimalware lato client, etc… (prevenzione)
    Notifiche via SMS, MAIL, IM, blocco cautelativo uso anomalo (reazione/contenimento/prevenzione)

    Notebook in comodato d’uso
    Abbonamento attivo per Antivirus e Antispyware
    Software preinstallato

    Quando il phishing va a buon fine - Armando Leotta -
    14
  • 18. Riflessioni
    Possibile che bastino informative, disclaimer e bacheche per demandare completamente all’utente la verifica della auspicata “adeguata protezione” ?
    Che significa “adeguata protezione” ?
    L’utente è sufficientemente tutelato?
    Le misure di sicurezza poste in essere dall’azienda (in questo caso Poste Italiane) sono ragionevolmente adatte e sufficienti?
    Forse qualche attenzione in più sull’offerta ai clienti è lecito ipotizzarla (vedi altri servizi bancari analoghi).
    Riflettere e condividere come sempre mi sembra la strada maestra.
    Quando il phishing va a buon fine - Armando Leotta -
    15
  • 19. Tab-napping
    Nuovo phishing exploit
    Basato su javascript
    Componenti tecnologiche
    Componenti sociali
    Più tabelle o finestre e cambio del focus
    Proofofconcept
    Quando il phishing va a buon fine - Armando Leotta -
    16
  • 20. Q & A
    G r a z i e d e l l ’ a t t e n z i o n e
    Quando il phishing va a buon fine - Armando Leotta -
    Armando Leotta
    blog.armandoleotta.com
    17