Dagli alert alle denunce: il caso di Poste Italiane

Dagli alert alle denunce
Quando il phishing va a buon fine
Armando LeottaCybercrime 2.0
Roma, 23 giugno 2010

Cosa, Come e chi
Una truffa informatica
Componente sociale
Componente tecnologica
Vettori di attacco:
mail
social network
siti web
IM
etc…
(main) Target:
utenti di servizi bancari, postali e finanziari
social network
cloud…(?)
Report MELANI: trend da e-banking a identity
Quando il phishing va a buon fine - Armando Leotta -
TOP-10 relativa alle organizzazioni maggiormente sottoposte ad attacchi di phishing nel corso del primo trimestre del 2010 (fonte KarsperkyLab)
2

Dove e Quando
Appetibilità
Grandi aziende
Atenei
Postazioni non aggiornate
Unattended
Scarsa consapevolezza dei rischi
In occasione di particolari eventi
Tsunami
Raccolte di fondi umanitari
Croce rossa italiana
Eventi mediatici su larga scala (ad es. influenza suina, la morte di Michael Jackson, mondiali di calcio,…)
…
3

Perchè
Interessi economici
Cybercrime evolve
Spamming
Carding
Phishing
Botnet
Mobile botnet
Spionaggio industriale e targetedattack
Modello di business evolve
Cyber laundering
B U S I N E S S
4

“Solite” Raccomandazioni
Non aprire mail da mittenti ignoti
Non aprire allegati non attesi
Non usare i link proposti via mail
Mantenere aggiornato il proprio sistema
Dotarsi di strumenti antimalware
*aggiornati*
Usare connessioni sicure laddove possibile
Evitare di effettuare autenticazioni in ambienti insicuri o condivisi (cybercafè, hotspot pubblici o open, etc…)
5

Un caso reale: poste italiane
Un saldo inferiore all’atteso
Operazioni non riconosciute come proprie
Panico
(ricariche telefoniche e postepay)
Segnalazione alla propria banca
Segnalazione alle forze dell’ordine
6

BancoPosta
“Gentile Cliente,
con riferimento alla sua richiesta d’informazioni
riguardante le operazioni online disposte dal conto corrente a Lei intestato, Le facciamo presente che dalle verifiche effettuate dette transazioni risultano eseguite con il corretto inserimento dei codici di accesso segreti per il riconoscimento del titolare.”
Leggi: “non ci sono errori tecnici o contabili a noi imputabili:
le transazioni sono avvenute nel rispetto delle modalità previste“
7

BancoPosta II
“Possiamo perciò supporre che i fatti da Lei segnalati siano riconducibili ad un caso di frode informatica. Come Le sarà certamente noto, le modalità mediante le quali può essere realizzato il furto d’identità online può essere vario.”
Leggi: “Sei in buona fede e credo perfettamente alla tua versione dei fatti. E ti aiuto anche a capire come può essere successo tanto…“
8

BancoPosta III
“Può ad esempio accadere che sia lo stesso cliente a digitare inconsapevolmente i propri codici d’accesso in un sito che solo apparentemente risulta essere quello del proprio istituto di credito al quale si è collegato direttamente da un link ricevuto via posta elettronica.”
Leggi: “Lo sai che non devi MAI accedere alla banca tramite link ricevuti in posta? Lo sai quante mail di phishing del nostro istituto girano giornalmente?“
9

BancoPosta IV
“Può anche verificarsi che sul personal computer non adeguatamente protetto vengano installati all’insaputa dell’utente “programmi spia”, in grado cioè di raccogliere informazioni dal computer e di trasmetterle via rete.”
Leggi: “Il personal computer è un problema tuo, non della tua banca: dovevi “proteggerti adeguatamente”“
10

BancoPosta V
“Una volta carpiti i dati personali sono utilizzati fraudolentemente a danno degli ignari utenti. Deve, perciò, essere cura di chi utilizza strumenti informatici adottare tutte le cautele necessarie per garantire la riservatezza dei propri dati.”
Chiusura con applauso: la colpa è senza dubbio la tua.
11

Osservazioni
Poste Italiane ha fatto una campagna d’informazione costante per combattere e sensibilizzare gli utenti circa il fenomeno del phishing
Per contro non è riuscita ad eliminare le mail di phishing nemmeno dai suoi stessi serventi
Nel caso trattato, gli ammanchi sono riconducibili a transazioni in cui è stato inserito anche il PIN dispositivo
12

Contesto
Diversi attacchi andati a buon fine
Continue mail di phishing
Varianti ed affinamenti semantici delle mail di phishing
Ipotesi ragionevoli
Malware
Rootkit
Keylogger
E se il client fosse “pulito”?
13

Responsabilità
Utente
Consapevolezza
Norme comportamentali
Banca
Accorgimenti sufficienti?
VPN, Autenticazione basata su certificati, Token OTP, Verifica aggiornamento sistema Antimalware lato client, etc… (prevenzione)
Notifiche via SMS, MAIL, IM, blocco cautelativo uso anomalo (reazione/contenimento/prevenzione)
…
Notebook in comodato d’uso
Abbonamento attivo per Antivirus e Antispyware
Software preinstallato
…
14

Riflessioni
Possibile che bastino informative, disclaimer e bacheche per demandare completamente all’utente la verifica della auspicata “adeguata protezione” ?
Che significa “adeguata protezione” ?
L’utente è sufficientemente tutelato?
Le misure di sicurezza poste in essere dall’azienda (in questo caso Poste Italiane) sono ragionevolmente adatte e sufficienti?
Forse qualche attenzione in più sull’offerta ai clienti è lecito ipotizzarla (vedi altri servizi bancari analoghi).
Riflettere e condividere come sempre mi sembra la strada maestra.
15

Tab-napping
Nuovo phishing exploit
Basato su javascript
Componenti tecnologiche
Componenti sociali
Più tabelle o finestre e cambio del focus
Proofofconcept
16

Q & A
G r a z i e d e l l ’ a t t e n z i o n e
Armando Leotta
blog.armandoleotta.com
17

Dagli alert alle denunce: il caso di Poste Italiane

by armandoleotta

Accessibility

Categories

Upload Details

Usage Rights

2 Embeds 488

Statistics