Your SlideShare is downloading. ×
0
Dagli alert alle denunce: il caso di Poste Italiane
Dagli alert alle denunce: il caso di Poste Italiane
Dagli alert alle denunce: il caso di Poste Italiane
Dagli alert alle denunce: il caso di Poste Italiane
Dagli alert alle denunce: il caso di Poste Italiane
Dagli alert alle denunce: il caso di Poste Italiane
Dagli alert alle denunce: il caso di Poste Italiane
Dagli alert alle denunce: il caso di Poste Italiane
Dagli alert alle denunce: il caso di Poste Italiane
Dagli alert alle denunce: il caso di Poste Italiane
Dagli alert alle denunce: il caso di Poste Italiane
Dagli alert alle denunce: il caso di Poste Italiane
Dagli alert alle denunce: il caso di Poste Italiane
Dagli alert alle denunce: il caso di Poste Italiane
Dagli alert alle denunce: il caso di Poste Italiane
Dagli alert alle denunce: il caso di Poste Italiane
Dagli alert alle denunce: il caso di Poste Italiane
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Dagli alert alle denunce: il caso di Poste Italiane

1,915

Published on

Un caso di phishing andato a buon fine? Un caso reale di un ammanco su un conto BancoPosta: risposte, osservazioni e riflessioni sui livelli di sicurezza offerti all'utenza.

Un caso di phishing andato a buon fine? Un caso reale di un ammanco su un conto BancoPosta: risposte, osservazioni e riflessioni sui livelli di sicurezza offerti all'utenza.

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,915
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Dagli alert alle denunce<br />Quando il phishing va a buon fine<br />Armando LeottaCybercrime 2.0<br />Roma, 23 giugno 2010<br />
  • 2. Cosa, Come e chi<br />Una truffa informatica<br />Componente sociale<br />Componente tecnologica<br />Vettori di attacco: <br />mail <br />social network<br />siti web<br />IM<br />etc…<br />(main) Target:<br />utenti di servizi bancari, postali e finanziari<br />social network<br />cloud…(?)<br />Report MELANI: trend da e-banking a identity<br />Quando il phishing va a buon fine - Armando Leotta -<br />TOP-10 relativa alle organizzazioni maggiormente sottoposte ad attacchi di phishing nel corso del primo trimestre del 2010 (fonte KarsperkyLab)<br />2<br />
  • 3. Dove e Quando<br />Appetibilità<br />Grandi aziende<br />Atenei <br />Postazioni non aggiornate<br />Unattended<br />Scarsa consapevolezza dei rischi<br />In occasione di particolari eventi<br />Tsunami<br />Raccolte di fondi umanitari<br />Croce rossa italiana<br />Eventi mediatici su larga scala (ad es. influenza suina, la morte di Michael Jackson, mondiali di calcio,…)<br />…<br />Quando il phishing va a buon fine - Armando Leotta -<br />3<br />
  • 4. Perchè<br />Interessi economici<br />Cybercrime evolve<br />Spamming<br />Carding<br />Phishing<br />Botnet<br />Mobile botnet<br />Spionaggio industriale e targetedattack<br />Modello di business evolve<br />Cyber laundering<br />Quando il phishing va a buon fine - Armando Leotta -<br />B U S I N E S S<br />4<br />
  • 5. “Solite” Raccomandazioni<br />Non aprire mail da mittenti ignoti<br />Non aprire allegati non attesi<br />Non usare i link proposti via mail<br />Mantenere aggiornato il proprio sistema<br />Dotarsi di strumenti antimalware<br />*aggiornati*<br />Usare connessioni sicure laddove possibile<br />Evitare di effettuare autenticazioni in ambienti insicuri o condivisi (cybercafè, hotspot pubblici o open, etc…)<br />Quando il phishing va a buon fine - Armando Leotta -<br />5<br />
  • 6. Un caso reale: poste italiane<br />Un saldo inferiore all’atteso<br />Operazioni non riconosciute come proprie<br />Panico <br /> (ricariche telefoniche e postepay)<br />Segnalazione alla propria banca<br />Segnalazione alle forze dell’ordine<br />Quando il phishing va a buon fine - Armando Leotta -<br />6<br />
  • 7. BancoPosta<br />“Gentile Cliente,<br />con riferimento alla sua richiesta d’informazioni<br />riguardante le operazioni online disposte dal conto corrente a Lei intestato, Le facciamo presente che dalle verifiche effettuate dette transazioni risultano eseguite con il corretto inserimento dei codici di accesso segreti per il riconoscimento del titolare.”<br />Quando il phishing va a buon fine - Armando Leotta -<br />Leggi: “non ci sono errori tecnici o contabili a noi imputabili: <br />le transazioni sono avvenute nel rispetto delle modalità previste“<br />7<br />
  • 8. BancoPosta II<br />“Possiamo perciò supporre che i fatti da Lei segnalati siano riconducibili ad un caso di frode informatica. Come Le sarà certamente noto, le modalità mediante le quali può essere realizzato il furto d’identità online può essere vario.”<br />Quando il phishing va a buon fine - Armando Leotta -<br />Leggi: “Sei in buona fede e credo perfettamente alla tua versione dei fatti. E ti aiuto anche a capire come può essere successo tanto…“<br />8<br />
  • 9. BancoPosta III<br />“Può ad esempio accadere che sia lo stesso cliente a digitare inconsapevolmente i propri codici d’accesso in un sito che solo apparentemente risulta essere quello del proprio istituto di credito al quale si è collegato direttamente da un link ricevuto via posta elettronica.”<br />Quando il phishing va a buon fine - Armando Leotta -<br />Leggi: “Lo sai che non devi MAI accedere alla banca tramite link ricevuti in posta? Lo sai quante mail di phishing del nostro istituto girano giornalmente?“<br />9<br />
  • 10. BancoPosta IV<br />“Può anche verificarsi che sul personal computer non adeguatamente protetto vengano installati all’insaputa dell’utente “programmi spia”, in grado cioè di raccogliere informazioni dal computer e di trasmetterle via rete.”<br />Quando il phishing va a buon fine - Armando Leotta -<br />Leggi: “Il personal computer è un problema tuo, non della tua banca: dovevi “proteggerti adeguatamente”“<br />10<br />
  • 11. BancoPosta V<br />“Una volta carpiti i dati personali sono utilizzati fraudolentemente a danno degli ignari utenti. Deve, perciò, essere cura di chi utilizza strumenti informatici adottare tutte le cautele necessarie per garantire la riservatezza dei propri dati.”<br />Quando il phishing va a buon fine - Armando Leotta -<br />Chiusura con applauso: la colpa è senza dubbio la tua.<br />11<br />
  • 12. Osservazioni<br />Poste Italiane ha fatto una campagna d’informazione costante per combattere e sensibilizzare gli utenti circa il fenomeno del phishing<br />Per contro non è riuscita ad eliminare le mail di phishing nemmeno dai suoi stessi serventi<br />Nel caso trattato, gli ammanchi sono riconducibili a transazioni in cui è stato inserito anche il PIN dispositivo<br />Quando il phishing va a buon fine - Armando Leotta -<br />12<br />
  • 13. Contesto<br />Diversi attacchi andati a buon fine <br />Continue mail di phishing<br />Varianti ed affinamenti semantici delle mail di phishing<br />Quando il phishing va a buon fine - Armando Leotta -<br />Ipotesi ragionevoli<br /><ul><li>Malware
  • 14. Rootkit
  • 15. Keylogger
  • 16. E se il client fosse “pulito”?</li></ul>13<br />
  • 17. Responsabilità<br />Utente<br />Consapevolezza<br />Norme comportamentali<br />Banca<br />Accorgimenti sufficienti?<br />VPN, Autenticazione basata su certificati, Token OTP, Verifica aggiornamento sistema Antimalware lato client, etc… (prevenzione)<br />Notifiche via SMS, MAIL, IM, blocco cautelativo uso anomalo (reazione/contenimento/prevenzione)<br />…<br />Notebook in comodato d’uso<br />Abbonamento attivo per Antivirus e Antispyware<br />Software preinstallato<br />…<br />Quando il phishing va a buon fine - Armando Leotta -<br />14<br />
  • 18. Riflessioni<br />Possibile che bastino informative, disclaimer e bacheche per demandare completamente all’utente la verifica della auspicata “adeguata protezione” ?<br />Che significa “adeguata protezione” ?<br />L’utente è sufficientemente tutelato?<br />Le misure di sicurezza poste in essere dall’azienda (in questo caso Poste Italiane) sono ragionevolmente adatte e sufficienti?<br />Forse qualche attenzione in più sull’offerta ai clienti è lecito ipotizzarla (vedi altri servizi bancari analoghi).<br />Riflettere e condividere come sempre mi sembra la strada maestra.<br />Quando il phishing va a buon fine - Armando Leotta -<br />15<br />
  • 19. Tab-napping<br />Nuovo phishing exploit<br />Basato su javascript<br />Componenti tecnologiche<br />Componenti sociali<br />Più tabelle o finestre e cambio del focus<br />Proofofconcept<br />Quando il phishing va a buon fine - Armando Leotta -<br />16<br />
  • 20. Q &amp; A<br />G r a z i e d e l l ’ a t t e n z i o n e <br />Quando il phishing va a buon fine - Armando Leotta -<br />Armando Leotta<br />blog.armandoleotta.com<br />17<br />

×