SlideShare a Scribd company logo

Sunrise tosunset

S
SilvioAngeloBarattoR

ts-inginf

Engineering
1 of 8
Download to read offline
Universit`a degli Studi di Trieste Dipartimento di Ingegneria e Architettura Tesi di Laurea Triennale Summary of ”Sunrise to Sunset: Analyzing the End-to-end Life Cycle and Effectiveness of Phishing Attacks at Scale” Laureando: Silvio Angelo Baratto Roldan Relatore: Chiar.mo Prof. Alberto Bartoli Anno Accademico 2019–2020
Indice 1 Introduzione 2 2 Le fasi di un attacco di phishing 2 3 Analisi del framework Golden Hour 3 4 Panoramica del set di dati 3 5 Progressione degli attacchi di phishing 4 6 Caratteristiche di un attacco di phishing 5 7 Longevit`a degli attacchi di phishing 6 8 Conclusione 7 1
1 Introduzione Il phishing `e un tipo di attacco informatico attraverso il quale gli attaccanti, utilizzando tecniche di social engineering e fingendosi enti affidabili, ingannano la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso. Il social engineering a sua volta rappresenta un insieme di tecniche utilizzate dai cybercriminali per raggirare gli utenti, ignari, facendo in modo che inviino i propri dati personali, infettando i loro computer tramite malware o aprendo collegamenti a siti infetti. Attualmente gli attacchi di phishing si dividono in due categorie: - spearphishing, questa si verifica quando i cybercriminali scelgono come target individui o gruppi di una certa importanza politica o economica. - large scale dove gli attaccanti prendono di mira un’ampia gamma di potenziali vittime per trarne profitto. In questo studio si `e cercato di sviluppare un framework - Golden Hour - che permette di tracciare passivamente il traffico alle pagine di phishing delle vittime e al contempo proteggere decine di migliaia di account involucrati nel processo. Inizialmente si `e notato come la maggioranza delle pagine di phishing realizzino delle request come immagini e script a risorse di terze parti, tra cui le pagine web che intendono falsificare. Partendo da questo dato si `e utilizzato un data-set di 404 628 URL malevoli per comprendere il ciclo vitale di un attacco di phishing. Successivamente si `e fatta una correlazione tra il traffico e l’email di phishing utilizzata per la truffa, riuscendo cos`ı a comprendere e tracciare le varie fasi di un attacco. Infine si `e investigato in quanto tempo e con quanto successo i cybercriminali siano riusciti a monetizzare l’attacco nel momento in cui gli account sono stati compromessi e nell’istante in cui le stesse vittime hanno realizzato le transazioni fraudolente. 2 Le fasi di un attacco di phishing Figura 1: Fasi tipiche di un attacco di phishing Questo articolo si pone l’obiettivo di studiare il ciclo vitale di un sito web di phishing, dal momento in cui viene configurato fino all’istante in cui il sito viene dismesso. Tipicamente un attacco di phishing si divide in sette fasi principali, descritte in Figura 1. Al primo stadio gli attaccanti ottengono o preparano l’infrastruttura necessaria all’attacco (A). 2
Quando l’infrastruttura `e pronta configurano un sito web di phishing (B). Una volta concluso il processo di configurazione gli attaccanti incominciano a distribuire la pagina web creata (C) e ad attirare le prime vittime (D). Gli ultimi tre stadi non si sviluppano necessariamente nell’ordine indicato in Figura 1. Nello scenario ottimale le infrastrutture di anti-phishing, come Google Safe Browsing o Microsoft Windows Defender (E), rilevano e mitigano l’attacco prima dell’evento (D). Tendenzialmente le vittime continuano a visitare la pagina web fraudolenta e gli attaccanti a monetizzare i dati rubati, che siano essi credenziali o dati bancari (F), fino al momento in cui l’attacco si conclude (G). 3 Analisi del framework Golden Hour Figura 2: Schema funzionamento Golden Hour Come accennato in Sezione 1, i siti web di phishing generalmente utilizzano risorse come immagini e scripts contenuti in domini di terze parti, tra cui i domini della organizzazione che intendono simulare. Inoltre gli attaccanti tendono a reindirizzare le vittime alla pagina web originale una volta sotratte loro le credenziali. In questo studio si `e realizzato un framework - Golden Hour - con l’obiettivo di analizzare le attivit`a di phishing e di effettuare una mitigazione proattiva in tempo reale. Inizialmente nel framework vengono tracciate le request HTTP di interesse, come immagini o componenti grafici (1). Ogni inserimento viene annotato con un timestamp e si estraggono i relativi request headers. Successivamente si estraggono gli ultimi due attributi URL e si applica un filtro whitelist (2). Se la request non viene scartata si fa una correlazione tra l’evento e una lista contenente URL di siti web di phishing conosciuti (3), processo che pu`o avvenire sia online che offline attraverso un’analisi successiva (4). 4 Panoramica del set di dati Il framework Golden Houur `e stato implementato per raccogliere e analizzare un anno di dati (figura 3a) tra il 1 ottobre 2018 e il 30 settembre 2019. Una domanda che si pone immediata riguarda il livello di visibilit`a fornito dal framework Golden Hour. La visibilit`a `e definita come la percentuale di casi di phishing che prendono di mira l’organizzazione, analizzati dal framework. Questo approccio ha avuto una visibilit`a del 39.1% per tutti gli hostnames e del 40.9% per tutti gli URL. Nel periodo analizzato il grado di visibilit`a sia per i hostnames che per gli URL `e rimasto abbastanza costante, ad eccezione di luglio 2019, come mostrato in figura 3b. Storicamente, gli attacchi di phishing sono stati associati a una certa stagionalit`a, in particolare in prossimit`a delle festivit`a. 3
(a) Dataset analizzato (b) Visibilit`a fornita dal framework Golden Hour 5 Progressione degli attacchi di phishing Si `e osservato come in media gli attaccanti godano di un’ ampia finestra di tempo, all’incirca 9 ore, dal momento in cui lanciano l’attacco fino al momento in cui questo viene rilevato dall’ecosistema. In questa fascia temporale gli attaccanti attraggono il 63.73% delle vittime. Nonostante ci`o, attacchi che prevedono transazioni fraudolente sono delle eccezioni con una durata complessiva pi`u lunga, come si intravede in figura 3. Figura 3: Istogramma del traffico dei visitatori indirizzati verso siti web di phishing I seguenti grafici mostrano la funzione di ripartizione delle fasi chiave di un attacco. il 62.73% (figura 4a) dei siti web di phishing inganna le vittime dall’istante successivo in cui l’ecosistema rileva la prima truffa. Per le email questa percentuale si abbassa al 36.59% (figura 4b). Questo poich´e il traffico proveniente da email a pagine web di phishing crolla a causa dei filtri anti-spam oramai diffusi in larga scala. Attacchi che prevedono transazioni fraudolente, come si vede in figura 4c, crescono in maniera costante in un periodo di 14 giorni. Le transazioni avvengono in circa 5,19 giorni di cui il 3.99% nelle prime fasi dell’attacco. Inoltre, le credenziali del 63.61% di questi account compromessi vengono pubblicate e vendute via internet dopo circa 6.92 giorni. 4
(a) Traffico utenti compromessi (b) Distribuzione email di phishing (c) Transazioni fraudolente Figura 4: Grafici della funzione di ripartizione, che descrivono le fasi chiave degli attacchi di phishing. Figura 5 Dato il ruolo chiave dei browser nel rileva- mento degli attacchi, nell’articolo si `e calcolato, a intervalli regolari dopo il primo attacco, il rapporto tra due tipologie di vittime: coloro che utilizzano un browser con difese native (Google Safe Browsing, Windows Defender) e coloro che utilizzano altri browser. Questo rapporto indica la probabilit`a che l’attacco di phishing abbia successo. In figura 5 si vede come i browser con difese native riducano l’ef- ficacia degli attacchi di phishing dopo un’ora dal rilevamento, al termine della seconda ora il rapporto cala al 43.55% e, dopo 7 ore, si stabilizza in un valore tra 0 − 10%. Nonostante ci`o i browser possono avere ritardi nel rilevamento per due ragioni: un fallimento dei sistemi di backend nel segnalare un URL di phishing o il ritardo tra il rilevamento in backend e la propagazione dei dati ai client. Questo periodo di ritardo pu`o variare tra lo stesso browser su dispositivi diversi a causa delle differenze nello stato della cache. 6 Caratteristiche di un attacco di phishing Figura 6: Classificazione dei URLs nel dataset Golden hour Per ingannare facilmente le vittime spesso gli attac- canti utilizzano URL di phishing. La caratteristica principale di questi URL risiede nelle parole chiave che li formano, tipicamente simili alle parole uti- lizzate dall’organizzazione che si vuole mimare (ad esempio www.brand-alert.com), oppure fuorvian- ti, trasmettendo il desiderio di aiutare le vittime (ad esempio secure-my-account.com). Da uno stu- dio delle strutture degli URL si `e osservato che il 28.70% non ha alcun contenuto ingannevole, il 34.76% seguono un percorso ingannevole nonostan- te il dominio, un 8.64% utilizza sottodomini in- gannevoli su domini non ingannevoli e il restante 27.90% utilizza domini ingannevoli. Tuttavia, con l’aumento esponenziale di dispositivi mobili e a causa degli schermi 5
ridotti, l’importanza degli URL `e diminuita. Dal dataset `e risultato che il 62.73% del traffico compiuto dalle vittime di attacchi di phishing proveniva da dispositivi mobili. I browser protetti da navigazione sicura, come Chrome, Safari e Firefox, hanno rappresentato l’81.42% del traffico. L’ampio utilizzo di questi browser, in particolare su piattaforme mobili, sottolinea l’importanza delle funzionalit`a antiphishing che nativamente vengono incluse. 7 Longevit`a degli attacchi di phishing Come detto in precedenza gli attacchi di phishing tendono ad avere mediamente la massima efficacia nel gap che intercorre tra il rilascio e il rilevamento dell’attacco. Tuttavia, esistono gruppi criminali organizzati che riescono a mantenere attacchi persistenti e sofisticati duraturi nel tempo, come mostrano i seguenti dati in figura 7. Figura 7: Migliori campagne di phishing per numero di visitatori Il successo di queste campagne di phishing `e legato alla capacit`a degli attaccanti di eludere le infrastrutture e l’ecosistema di anti-phishing e a una targetizzazione mirata delle vittime. Per raggirare i sistemi di sicurezza sono state adottate le seguenti tecniche: - Broad Data Collection: Questa tecnica ha come obiettivo quello di rubare le identit`a degli utenti vittima: informazioni personali, carte di credito e anche foto- grafie (ad esempio selfie). Affinch´e l’attacco abbia successo, gli attaccanti emulano perfettamente la pagina web dell’organizzazione vittima, inserendo collegamenti e risorse nel caso l’utente cerchi di interagire con essa. - Automatic Translation: I 5 migliori attacchi in figura 7 utilizzavano in grande scala la geolocalizzazione delle vittime per tradurre in maniera automatica il contenuto del sito. - Human Verification: Per ingannare gli utenti sulla veridicit`a del sito web, gli attaccanti spesso fanno ricorso ai sistemi di verificazione CAPTCHA. Inoltre in questo modo si riesce a ostacolare i sistemi di controllo automatizzati. 6
- Cloacking: Il cloacking consiste nel blocco dal lato server di attributi di richiesta come indirizzi IP o nome host. In questo modo si occulta l’accesso ai crawler e ai sistemi di sicurezza oppure ad altre entit`a che non siano vittime. - Victim-specific Paths: Con questa tecnica si reindirizza ogni indirizzo IP di un visitatore in un sottopercorso univoco, non visibile ad altri indirizzi IP. Poich`e il percorso non `e visibile, questo permette di impedire ai crawler di visualizzare la pagine iniziale dell’attacco - Fake Suspension Notices: Se un visitatore non superava i controlli di cloacking si `e osservato che gli attaccanti segnalavano un generico messaggio di errore HTTP 404 o 403. - Man-in-the-Middle Proxies: Due dei pi`u grandi attacchi utilizzavano un proxy incaricato di fare richieste in tempo reale al sito web dell’organizzazione emulata, mostrando la pagina all’utente mentre venivano intercettati tutti i dati inviati. Tali proxy possono annullare la maggior parte delle forme di autenticazione a due fattori e possono richiedere un’attenzione speciale da parte dell’organizzazione di destinazione, come ad esempio la richiesta di chiavi di sicurezza. 8 Conclusione Il phishing rimane una minaccia significativa per noi utenti che utilizziamo Internet a causa dei sistemi di rilevamento e di avvisi che faticano ad affrontare in maniera efficace l’agilit`a e la raffinatezza degli aggressori. I criminali hanno a loro disposizione una serie di tecniche sofisticate che mirano ad aggirare le difese anti-phishing esistenti e aumentare le probabilit`a di successo di compromettere le vittime. Tali attacchi inoltre sono scalabili, come `e stato a lungo osservato dall’ecosistema. L’obiettivo di questo articolo dunque `e motivare il continuo sviluppo di strumenti per attuare analisi proattive, attraverso una pi`u stretta collaborazione tra entit`a anti-phishing, al fine di creare meccanismi potenziati e standardizzati per la condivisione dei dati, proteggendo automaticamente decine di migliaia di account di potenziali vittime. Riferimenti bibliografici [1] Adam Oest, Penghui Zhang, Brad Wardman, Eric Nunes, Jakub Burgis, Ali Zand Kurt Thomas, Adam Doup´e, Gail-Joon Ahn. Sunrise to Sunset: Analyzing the End-to- end Life Cycle and Effectiveness of Phishing Attacks at Scale. 29th USENIX Security Symposium. 7

Recommended

Summary of “Dirty Clicks: A Study of the Usability and Security Implications ...
Summary of “Dirty Clicks: A Study of the Usability and Security Implications ...Summary of “Dirty Clicks: A Study of the Usability and Security Implications ...
Summary of “Dirty Clicks: A Study of the Usability and Security Implications ...EfremCherin
 
Summary of sunrise to sunset analyzing the end to-end life cycle and effectiv...
Summary of sunrise to sunset analyzing the end to-end life cycle and effectiv...Summary of sunrise to sunset analyzing the end to-end life cycle and effectiv...
Summary of sunrise to sunset analyzing the end to-end life cycle and effectiv...SilvioAngeloBarattoR
 
Summary of “Dirty Clicks: A Study of the Usability and Security Implications ...
Summary of “Dirty Clicks: A Study of the Usability and Security Implications ...Summary of “Dirty Clicks: A Study of the Usability and Security Implications ...
Summary of “Dirty Clicks: A Study of the Usability and Security Implications ...EfremCherin
 
Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si ...
Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si ...Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si ...
Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si ...Gianfranco Tonello
 
Phishing - Analisi, Simulazione e Contromisure
Phishing - Analisi, Simulazione e ContromisurePhishing - Analisi, Simulazione e Contromisure
Phishing - Analisi, Simulazione e ContromisureAndrea Draghetti
 
Conto corrente sotto attacco: come l’evoluzione dei Trojan Banker minacciano ...
Conto corrente sotto attacco: come l’evoluzione dei Trojan Banker minacciano ...Conto corrente sotto attacco: come l’evoluzione dei Trojan Banker minacciano ...
Conto corrente sotto attacco: come l’evoluzione dei Trojan Banker minacciano ...Gianfranco Tonello
 
Virus di ieri e virus/malware di oggi… quali pericoli per le aziende, gli ent...
Virus di ieri e virus/malware di oggi… quali pericoli per le aziende, gli ent...Virus di ieri e virus/malware di oggi… quali pericoli per le aziende, gli ent...
Virus di ieri e virus/malware di oggi… quali pericoli per le aziende, gli ent...Gianfranco Tonello
 
Phishing cos’è, come funziona, tipologie e come evitarlo.pdf
Phishing cos’è, come funziona, tipologie e come evitarlo.pdfPhishing cos’è, come funziona, tipologie e come evitarlo.pdf
Phishing cos’è, come funziona, tipologie e come evitarlo.pdfHelpRansomware
 

Recommended

Summary of “Dirty Clicks: A Study of the Usability and Security Implications ...
Summary of “Dirty Clicks: A Study of the Usability and Security Implications ...Summary of “Dirty Clicks: A Study of the Usability and Security Implications ...
Summary of “Dirty Clicks: A Study of the Usability and Security Implications ...EfremCherin
 
Summary of sunrise to sunset analyzing the end to-end life cycle and effectiv...
Summary of sunrise to sunset analyzing the end to-end life cycle and effectiv...Summary of sunrise to sunset analyzing the end to-end life cycle and effectiv...
Summary of sunrise to sunset analyzing the end to-end life cycle and effectiv...SilvioAngeloBarattoR
 
Summary of “Dirty Clicks: A Study of the Usability and Security Implications ...
Summary of “Dirty Clicks: A Study of the Usability and Security Implications ...Summary of “Dirty Clicks: A Study of the Usability and Security Implications ...
Summary of “Dirty Clicks: A Study of the Usability and Security Implications ...EfremCherin
 
Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si ...
Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si ...Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si ...
Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si ...Gianfranco Tonello
 
Phishing - Analisi, Simulazione e Contromisure
Phishing - Analisi, Simulazione e ContromisurePhishing - Analisi, Simulazione e Contromisure
Phishing - Analisi, Simulazione e ContromisureAndrea Draghetti
 
Conto corrente sotto attacco: come l’evoluzione dei Trojan Banker minacciano ...
Conto corrente sotto attacco: come l’evoluzione dei Trojan Banker minacciano ...Conto corrente sotto attacco: come l’evoluzione dei Trojan Banker minacciano ...
Conto corrente sotto attacco: come l’evoluzione dei Trojan Banker minacciano ...Gianfranco Tonello
 
Virus di ieri e virus/malware di oggi… quali pericoli per le aziende, gli ent...
Virus di ieri e virus/malware di oggi… quali pericoli per le aziende, gli ent...Virus di ieri e virus/malware di oggi… quali pericoli per le aziende, gli ent...
Virus di ieri e virus/malware di oggi… quali pericoli per le aziende, gli ent...Gianfranco Tonello
 
Phishing cos’è, come funziona, tipologie e come evitarlo.pdf
Phishing cos’è, come funziona, tipologie e come evitarlo.pdfPhishing cos’è, come funziona, tipologie e come evitarlo.pdf
Phishing cos’è, come funziona, tipologie e come evitarlo.pdfHelpRansomware
 
Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...
Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...
Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...Matteo Makovec
 
Cybersicurity
CybersicurityCybersicurity
CybersicurityChiara Castellani
 
I Quaderni dell' ISEA - Phishing
I Quaderni dell' ISEA - PhishingI Quaderni dell' ISEA - Phishing
I Quaderni dell' ISEA - PhishingISEA ODV
 
Phishing: tecniche e strategie di un fenomeno in evoluzione
Phishing: tecniche e strategie di un fenomeno in evoluzionePhishing: tecniche e strategie di un fenomeno in evoluzione
Phishing: tecniche e strategie di un fenomeno in evoluzioneAndrea Draghetti
 
Rilevazione di defacement invisibili su siti Web: Tecniche per la raccolta d...
Rilevazione di defacement invisibili su siti Web: Tecniche per la raccolta d...Rilevazione di defacement invisibili su siti Web: Tecniche per la raccolta d...
Rilevazione di defacement invisibili su siti Web: Tecniche per la raccolta d...guest0c6317
 
Ransomware ma NON solo… ecco come si stanno evolvendo le minacce nel 2018
Ransomware ma NON solo… ecco come si stanno evolvendo le minacce nel 2018Ransomware ma NON solo… ecco come si stanno evolvendo le minacce nel 2018
Ransomware ma NON solo… ecco come si stanno evolvendo le minacce nel 2018Gianfranco Tonello
 
Il phishing
Il phishingIl phishing
Il phishingmartinaoro
 
Sviluppo di un sistema per la classificazione di URL di phishing mediante tec...
Sviluppo di un sistema per la classificazione di URL di phishing mediante tec...Sviluppo di un sistema per la classificazione di URL di phishing mediante tec...
Sviluppo di un sistema per la classificazione di URL di phishing mediante tec...Federico Cergol
 
Progetto e realizzazione di uno strumento per l'acquisizione e trasmissione d...
Progetto e realizzazione di uno strumento per l'acquisizione e trasmissione d...Progetto e realizzazione di uno strumento per l'acquisizione e trasmissione d...
Progetto e realizzazione di uno strumento per l'acquisizione e trasmissione d...Gabriele Formisano
 
Personal Cybersecurity
Personal CybersecurityPersonal Cybersecurity
Personal CybersecurityUgo Micci
 
DOCFLOW Personal Cybersecurity 2015
DOCFLOW Personal Cybersecurity 2015DOCFLOW Personal Cybersecurity 2015
DOCFLOW Personal Cybersecurity 2015DOCFLOW
 
Phishing: come si realizza, come riconoscerlo ed evitarlo
Phishing: come si realizza, come riconoscerlo ed evitarloPhishing: come si realizza, come riconoscerlo ed evitarlo
Phishing: come si realizza, come riconoscerlo ed evitarlodenis frati
 
Phishing M11a
Phishing M11aPhishing M11a
Phishing M11aguestf5a8624eb
 
Phishing M11
Phishing M11Phishing M11
Phishing M11superpesa
 
Cos’è Il Ransomware A Doppia Estorsione, Come Evitarlo E Quali Sono I Rischi.pdf
Cos’è Il Ransomware A Doppia Estorsione, Come Evitarlo E Quali Sono I Rischi.pdfCos’è Il Ransomware A Doppia Estorsione, Come Evitarlo E Quali Sono I Rischi.pdf
Cos’è Il Ransomware A Doppia Estorsione, Come Evitarlo E Quali Sono I Rischi.pdfHelpRansomware
 
Il Furto di Identità Digitale
Il Furto di Identità Digitale Il Furto di Identità Digitale
Il Furto di Identità DigitaleVincenzo Calabrò
 
Attacchi informatici: cosa sono e come funzionano
Attacchi informatici: cosa sono e come funzionanoAttacchi informatici: cosa sono e come funzionano
Attacchi informatici: cosa sono e come funzionanoSiteGround.com
 
100 Statistiche Di Attacchi Informatici E Ransomware [2022].pdf
100 Statistiche Di Attacchi Informatici E Ransomware [2022].pdf100 Statistiche Di Attacchi Informatici E Ransomware [2022].pdf
100 Statistiche Di Attacchi Informatici E Ransomware [2022].pdfHelpRansomware
 
Extendedsummaryof phish timecontinuouslongitudinalmeasurementoftheeffectivene...
Extendedsummaryof phish timecontinuouslongitudinalmeasurementoftheeffectivene...Extendedsummaryof phish timecontinuouslongitudinalmeasurementoftheeffectivene...
Extendedsummaryof phish timecontinuouslongitudinalmeasurementoftheeffectivene...EnricoDavanzo1
 
Ransomware Sodinokibi: Cos'è, Come Funziona E Come Decriptarlo.pdf
Ransomware Sodinokibi: Cos'è, Come Funziona E Come Decriptarlo.pdfRansomware Sodinokibi: Cos'è, Come Funziona E Come Decriptarlo.pdf
Ransomware Sodinokibi: Cos'è, Come Funziona E Come Decriptarlo.pdfHelpRansomware
 
Sicurezza Internet: tendenze e previsioni 2010
Sicurezza Internet: tendenze e previsioni 2010Sicurezza Internet: tendenze e previsioni 2010
Sicurezza Internet: tendenze e previsioni 2010Symantec Italia
 
Come Funziona Il Ransomware LockBit? Decrittazione E Recupero Dati.pdf
Come Funziona Il Ransomware LockBit? Decrittazione E Recupero Dati.pdfCome Funziona Il Ransomware LockBit? Decrittazione E Recupero Dati.pdf
Come Funziona Il Ransomware LockBit? Decrittazione E Recupero Dati.pdfHelpRansomware
 

More Related Content

What's hot

Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...
Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...
Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...Matteo Makovec
 
I Quaderni dell' ISEA - Phishing
I Quaderni dell' ISEA - PhishingI Quaderni dell' ISEA - Phishing
I Quaderni dell' ISEA - PhishingISEA ODV
 
Phishing: tecniche e strategie di un fenomeno in evoluzione
Phishing: tecniche e strategie di un fenomeno in evoluzionePhishing: tecniche e strategie di un fenomeno in evoluzione
Phishing: tecniche e strategie di un fenomeno in evoluzioneAndrea Draghetti
 
Rilevazione di defacement invisibili su siti Web: Tecniche per la raccolta d...
Rilevazione di defacement invisibili su siti Web: Tecniche per la raccolta d...Rilevazione di defacement invisibili su siti Web: Tecniche per la raccolta d...
Rilevazione di defacement invisibili su siti Web: Tecniche per la raccolta d...guest0c6317
 
Ransomware ma NON solo… ecco come si stanno evolvendo le minacce nel 2018
Ransomware ma NON solo… ecco come si stanno evolvendo le minacce nel 2018Ransomware ma NON solo… ecco come si stanno evolvendo le minacce nel 2018
Ransomware ma NON solo… ecco come si stanno evolvendo le minacce nel 2018Gianfranco Tonello
 
Sviluppo di un sistema per la classificazione di URL di phishing mediante tec...
Sviluppo di un sistema per la classificazione di URL di phishing mediante tec...Sviluppo di un sistema per la classificazione di URL di phishing mediante tec...
Sviluppo di un sistema per la classificazione di URL di phishing mediante tec...Federico Cergol
 
Progetto e realizzazione di uno strumento per l'acquisizione e trasmissione d...
Progetto e realizzazione di uno strumento per l'acquisizione e trasmissione d...Progetto e realizzazione di uno strumento per l'acquisizione e trasmissione d...
Progetto e realizzazione di uno strumento per l'acquisizione e trasmissione d...Gabriele Formisano
 
Personal Cybersecurity
Personal CybersecurityPersonal Cybersecurity
Personal CybersecurityUgo Micci
 
DOCFLOW Personal Cybersecurity 2015
DOCFLOW Personal Cybersecurity 2015DOCFLOW Personal Cybersecurity 2015
DOCFLOW Personal Cybersecurity 2015DOCFLOW
 
Phishing: come si realizza, come riconoscerlo ed evitarlo
Phishing: come si realizza, come riconoscerlo ed evitarloPhishing: come si realizza, come riconoscerlo ed evitarlo
Phishing: come si realizza, come riconoscerlo ed evitarlodenis frati
 
Phishing M11
Phishing M11Phishing M11
Phishing M11superpesa
 

What's hot (14)

Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...
Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...
Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...
 
Cybersicurity
CybersicurityCybersicurity
Cybersicurity
 
I Quaderni dell' ISEA - Phishing
I Quaderni dell' ISEA - PhishingI Quaderni dell' ISEA - Phishing
I Quaderni dell' ISEA - Phishing
 
Phishing: tecniche e strategie di un fenomeno in evoluzione
Phishing: tecniche e strategie di un fenomeno in evoluzionePhishing: tecniche e strategie di un fenomeno in evoluzione
Phishing: tecniche e strategie di un fenomeno in evoluzione
 
Rilevazione di defacement invisibili su siti Web: Tecniche per la raccolta d...
Rilevazione di defacement invisibili su siti Web: Tecniche per la raccolta d...Rilevazione di defacement invisibili su siti Web: Tecniche per la raccolta d...
Rilevazione di defacement invisibili su siti Web: Tecniche per la raccolta d...
 
Ransomware ma NON solo… ecco come si stanno evolvendo le minacce nel 2018
Ransomware ma NON solo… ecco come si stanno evolvendo le minacce nel 2018Ransomware ma NON solo… ecco come si stanno evolvendo le minacce nel 2018
Ransomware ma NON solo… ecco come si stanno evolvendo le minacce nel 2018
 
Il phishing
Il phishingIl phishing
Il phishing
 
Sviluppo di un sistema per la classificazione di URL di phishing mediante tec...
Sviluppo di un sistema per la classificazione di URL di phishing mediante tec...Sviluppo di un sistema per la classificazione di URL di phishing mediante tec...
Sviluppo di un sistema per la classificazione di URL di phishing mediante tec...
 
Progetto e realizzazione di uno strumento per l'acquisizione e trasmissione d...
Progetto e realizzazione di uno strumento per l'acquisizione e trasmissione d...Progetto e realizzazione di uno strumento per l'acquisizione e trasmissione d...
Progetto e realizzazione di uno strumento per l'acquisizione e trasmissione d...
 
Personal Cybersecurity
Personal CybersecurityPersonal Cybersecurity
Personal Cybersecurity
 
DOCFLOW Personal Cybersecurity 2015
DOCFLOW Personal Cybersecurity 2015DOCFLOW Personal Cybersecurity 2015
DOCFLOW Personal Cybersecurity 2015
 
Phishing: come si realizza, come riconoscerlo ed evitarlo
Phishing: come si realizza, come riconoscerlo ed evitarloPhishing: come si realizza, come riconoscerlo ed evitarlo
Phishing: come si realizza, come riconoscerlo ed evitarlo
 
Phishing M11a
Phishing M11aPhishing M11a
Phishing M11a
 
Phishing M11
Phishing M11Phishing M11
Phishing M11
 

Similar to Sunrise tosunset

Cos’è Il Ransomware A Doppia Estorsione, Come Evitarlo E Quali Sono I Rischi.pdf
Cos’è Il Ransomware A Doppia Estorsione, Come Evitarlo E Quali Sono I Rischi.pdfCos’è Il Ransomware A Doppia Estorsione, Come Evitarlo E Quali Sono I Rischi.pdf
Cos’è Il Ransomware A Doppia Estorsione, Come Evitarlo E Quali Sono I Rischi.pdfHelpRansomware
 
Il Furto di Identità Digitale
Il Furto di Identità Digitale Il Furto di Identità Digitale
Il Furto di Identità DigitaleVincenzo Calabrò
 
Attacchi informatici: cosa sono e come funzionano
Attacchi informatici: cosa sono e come funzionanoAttacchi informatici: cosa sono e come funzionano
Attacchi informatici: cosa sono e come funzionanoSiteGround.com
 
100 Statistiche Di Attacchi Informatici E Ransomware [2022].pdf
100 Statistiche Di Attacchi Informatici E Ransomware [2022].pdf100 Statistiche Di Attacchi Informatici E Ransomware [2022].pdf
100 Statistiche Di Attacchi Informatici E Ransomware [2022].pdfHelpRansomware
 
Extendedsummaryof phish timecontinuouslongitudinalmeasurementoftheeffectivene...
Extendedsummaryof phish timecontinuouslongitudinalmeasurementoftheeffectivene...Extendedsummaryof phish timecontinuouslongitudinalmeasurementoftheeffectivene...
Extendedsummaryof phish timecontinuouslongitudinalmeasurementoftheeffectivene...EnricoDavanzo1
 
Ransomware Sodinokibi: Cos'è, Come Funziona E Come Decriptarlo.pdf
Ransomware Sodinokibi: Cos'è, Come Funziona E Come Decriptarlo.pdfRansomware Sodinokibi: Cos'è, Come Funziona E Come Decriptarlo.pdf
Ransomware Sodinokibi: Cos'è, Come Funziona E Come Decriptarlo.pdfHelpRansomware
 
Sicurezza Internet: tendenze e previsioni 2010
Sicurezza Internet: tendenze e previsioni 2010Sicurezza Internet: tendenze e previsioni 2010
Sicurezza Internet: tendenze e previsioni 2010Symantec Italia
 
Come Funziona Il Ransomware LockBit? Decrittazione E Recupero Dati.pdf
Come Funziona Il Ransomware LockBit? Decrittazione E Recupero Dati.pdfCome Funziona Il Ransomware LockBit? Decrittazione E Recupero Dati.pdf
Come Funziona Il Ransomware LockBit? Decrittazione E Recupero Dati.pdfHelpRansomware
 
Come Funziona Il Ransomware LockBit.pdf
Come Funziona Il Ransomware LockBit.pdfCome Funziona Il Ransomware LockBit.pdf
Come Funziona Il Ransomware LockBit.pdfHelpRansomware
 
Che Cos'è Il Ransomware Babuk E Come Proteggere La Tua Azienda HelpRansomware...
Che Cos'è Il Ransomware Babuk E Come Proteggere La Tua Azienda HelpRansomware...Che Cos'è Il Ransomware Babuk E Come Proteggere La Tua Azienda HelpRansomware...
Che Cos'è Il Ransomware Babuk E Come Proteggere La Tua Azienda HelpRansomware...HelpRansomware
 
Il cybercrime, la sicurezza e i rimedi st15
Il cybercrime, la sicurezza e i rimedi st15Il cybercrime, la sicurezza e i rimedi st15
Il cybercrime, la sicurezza e i rimedi st15Fabio Meloni
 
Come Decriptare File Ransomware E Recuperare I Tuoi Dati.pdf
Come Decriptare File Ransomware E Recuperare I Tuoi Dati.pdfCome Decriptare File Ransomware E Recuperare I Tuoi Dati.pdf
Come Decriptare File Ransomware E Recuperare I Tuoi Dati.pdfHelpRansomware
 
Summary of millions of targets under attack, a macroscopic characterization...
Summary of millions of targets under attack, a macroscopic characterization...Summary of millions of targets under attack, a macroscopic characterization...
Summary of millions of targets under attack, a macroscopic characterization...AlbertoLuvisutto
 
10 Grandi Aziende Colpite Da Ransomware.pdf
10 Grandi Aziende Colpite Da Ransomware.pdf10 Grandi Aziende Colpite Da Ransomware.pdf
10 Grandi Aziende Colpite Da Ransomware.pdfHelpRansomware
 
10 Grandi Aziende Colpite Da Ransomware.pdf
10 Grandi Aziende Colpite Da Ransomware.pdf10 Grandi Aziende Colpite Da Ransomware.pdf
10 Grandi Aziende Colpite Da Ransomware.pdfHelpRansomware
 
I crimini informatici e l'azienda
I crimini informatici e l'aziendaI crimini informatici e l'azienda
I crimini informatici e l'aziendaGiovanni Fiorino
 
Ransomware Definizione: Cos’è E Perchè È Pericoloso.pdf
Ransomware Definizione: Cos’è E Perchè È Pericoloso.pdf Ransomware Definizione: Cos’è E Perchè È Pericoloso.pdf
Ransomware Definizione: Cos’è E Perchè È Pericoloso.pdfHelpRansomware
 
Che Cos’è L’attacco Ryuk Ransomware, Come Posso Proteggermi E Rimuoverlo.pdf
Che Cos’è L’attacco Ryuk Ransomware, Come Posso Proteggermi E Rimuoverlo.pdfChe Cos’è L’attacco Ryuk Ransomware, Come Posso Proteggermi E Rimuoverlo.pdf
Che Cos’è L’attacco Ryuk Ransomware, Come Posso Proteggermi E Rimuoverlo.pdfHelpRansomware
 
Extended Summary Of "MadDroid: Characterizing and Detecting Devious Ad Conten...
Extended Summary Of "MadDroid: Characterizing and Detecting Devious Ad Conten...Extended Summary Of "MadDroid: Characterizing and Detecting Devious Ad Conten...
Extended Summary Of "MadDroid: Characterizing and Detecting Devious Ad Conten...AndreaPausig
 

Similar to Sunrise tosunset (20)

Cos’è Il Ransomware A Doppia Estorsione, Come Evitarlo E Quali Sono I Rischi.pdf
Cos’è Il Ransomware A Doppia Estorsione, Come Evitarlo E Quali Sono I Rischi.pdfCos’è Il Ransomware A Doppia Estorsione, Come Evitarlo E Quali Sono I Rischi.pdf
Cos’è Il Ransomware A Doppia Estorsione, Come Evitarlo E Quali Sono I Rischi.pdf
 
Il Furto di Identità Digitale
Il Furto di Identità Digitale Il Furto di Identità Digitale
Il Furto di Identità Digitale
 
Attacchi informatici: cosa sono e come funzionano
Attacchi informatici: cosa sono e come funzionanoAttacchi informatici: cosa sono e come funzionano
Attacchi informatici: cosa sono e come funzionano
 
100 Statistiche Di Attacchi Informatici E Ransomware [2022].pdf
100 Statistiche Di Attacchi Informatici E Ransomware [2022].pdf100 Statistiche Di Attacchi Informatici E Ransomware [2022].pdf
100 Statistiche Di Attacchi Informatici E Ransomware [2022].pdf
 
Extendedsummaryof phish timecontinuouslongitudinalmeasurementoftheeffectivene...
Extendedsummaryof phish timecontinuouslongitudinalmeasurementoftheeffectivene...Extendedsummaryof phish timecontinuouslongitudinalmeasurementoftheeffectivene...
Extendedsummaryof phish timecontinuouslongitudinalmeasurementoftheeffectivene...
 
Ransomware Sodinokibi: Cos'è, Come Funziona E Come Decriptarlo.pdf
Ransomware Sodinokibi: Cos'è, Come Funziona E Come Decriptarlo.pdfRansomware Sodinokibi: Cos'è, Come Funziona E Come Decriptarlo.pdf
Ransomware Sodinokibi: Cos'è, Come Funziona E Come Decriptarlo.pdf
 
Sicurezza Internet: tendenze e previsioni 2010
Sicurezza Internet: tendenze e previsioni 2010Sicurezza Internet: tendenze e previsioni 2010
Sicurezza Internet: tendenze e previsioni 2010
 
Come Funziona Il Ransomware LockBit? Decrittazione E Recupero Dati.pdf
Come Funziona Il Ransomware LockBit? Decrittazione E Recupero Dati.pdfCome Funziona Il Ransomware LockBit? Decrittazione E Recupero Dati.pdf
Come Funziona Il Ransomware LockBit? Decrittazione E Recupero Dati.pdf
 
Come Funziona Il Ransomware LockBit.pdf
Come Funziona Il Ransomware LockBit.pdfCome Funziona Il Ransomware LockBit.pdf
Come Funziona Il Ransomware LockBit.pdf
 
Che Cos'è Il Ransomware Babuk E Come Proteggere La Tua Azienda HelpRansomware...
Che Cos'è Il Ransomware Babuk E Come Proteggere La Tua Azienda HelpRansomware...Che Cos'è Il Ransomware Babuk E Come Proteggere La Tua Azienda HelpRansomware...
Che Cos'è Il Ransomware Babuk E Come Proteggere La Tua Azienda HelpRansomware...
 
Il cybercrime, la sicurezza e i rimedi st15
Il cybercrime, la sicurezza e i rimedi st15Il cybercrime, la sicurezza e i rimedi st15
Il cybercrime, la sicurezza e i rimedi st15
 
Sicurezza in Rete
Sicurezza in ReteSicurezza in Rete
Sicurezza in Rete
 
Come Decriptare File Ransomware E Recuperare I Tuoi Dati.pdf
Come Decriptare File Ransomware E Recuperare I Tuoi Dati.pdfCome Decriptare File Ransomware E Recuperare I Tuoi Dati.pdf
Come Decriptare File Ransomware E Recuperare I Tuoi Dati.pdf
 
Summary of millions of targets under attack, a macroscopic characterization...
Summary of millions of targets under attack, a macroscopic characterization...Summary of millions of targets under attack, a macroscopic characterization...
Summary of millions of targets under attack, a macroscopic characterization...
 
10 Grandi Aziende Colpite Da Ransomware.pdf
10 Grandi Aziende Colpite Da Ransomware.pdf10 Grandi Aziende Colpite Da Ransomware.pdf
10 Grandi Aziende Colpite Da Ransomware.pdf
 
10 Grandi Aziende Colpite Da Ransomware.pdf
10 Grandi Aziende Colpite Da Ransomware.pdf10 Grandi Aziende Colpite Da Ransomware.pdf
10 Grandi Aziende Colpite Da Ransomware.pdf
 
I crimini informatici e l'azienda
I crimini informatici e l'aziendaI crimini informatici e l'azienda
I crimini informatici e l'azienda
 
Ransomware Definizione: Cos’è E Perchè È Pericoloso.pdf
Ransomware Definizione: Cos’è E Perchè È Pericoloso.pdf Ransomware Definizione: Cos’è E Perchè È Pericoloso.pdf
Ransomware Definizione: Cos’è E Perchè È Pericoloso.pdf
 
Che Cos’è L’attacco Ryuk Ransomware, Come Posso Proteggermi E Rimuoverlo.pdf
Che Cos’è L’attacco Ryuk Ransomware, Come Posso Proteggermi E Rimuoverlo.pdfChe Cos’è L’attacco Ryuk Ransomware, Come Posso Proteggermi E Rimuoverlo.pdf
Che Cos’è L’attacco Ryuk Ransomware, Come Posso Proteggermi E Rimuoverlo.pdf
 
Extended Summary Of "MadDroid: Characterizing and Detecting Devious Ad Conten...
Extended Summary Of "MadDroid: Characterizing and Detecting Devious Ad Conten...Extended Summary Of "MadDroid: Characterizing and Detecting Devious Ad Conten...
Extended Summary Of "MadDroid: Characterizing and Detecting Devious Ad Conten...
 

Recently uploaded

Giornata Tecnica da Piave Servizi, 11 aprile 2024 | ROMANO' Davide
Giornata Tecnica da Piave Servizi, 11 aprile 2024 | ROMANO' DavideGiornata Tecnica da Piave Servizi, 11 aprile 2024 | ROMANO' Davide
Giornata Tecnica da Piave Servizi, 11 aprile 2024 | ROMANO' DavideServizi a rete
 
Giornata Tecnica da Piave Servizi, 11 aprile 2024 | DISCIPIO Antonio
Giornata Tecnica da Piave Servizi, 11 aprile 2024 | DISCIPIO AntonioGiornata Tecnica da Piave Servizi, 11 aprile 2024 | DISCIPIO Antonio
Giornata Tecnica da Piave Servizi, 11 aprile 2024 | DISCIPIO AntonioServizi a rete
 
Giornata Tecnica da Piave Servizi, 11 aprile 2024 | CADEI Giovanni
Giornata Tecnica da Piave Servizi, 11 aprile 2024 | CADEI GiovanniGiornata Tecnica da Piave Servizi, 11 aprile 2024 | CADEI Giovanni
Giornata Tecnica da Piave Servizi, 11 aprile 2024 | CADEI GiovanniServizi a rete
 
Giornata Tecnica da Piave Servizi, 11 aprile 2024 | ALBIERO Andrea
Giornata Tecnica da Piave Servizi, 11 aprile 2024 | ALBIERO AndreaGiornata Tecnica da Piave Servizi, 11 aprile 2024 | ALBIERO Andrea
Giornata Tecnica da Piave Servizi, 11 aprile 2024 | ALBIERO AndreaServizi a rete
 
Giornata Tecnica da Piave Servizi, 11 aprile 2024 | RENZI Daniele
Giornata Tecnica da Piave Servizi, 11 aprile 2024 | RENZI DanieleGiornata Tecnica da Piave Servizi, 11 aprile 2024 | RENZI Daniele
Giornata Tecnica da Piave Servizi, 11 aprile 2024 | RENZI DanieleServizi a rete
 
Giornata Tecnica da Piave Servizi, 11 aprile 2024 | DI DOMENICO Simone
Giornata Tecnica da Piave Servizi, 11 aprile 2024 | DI DOMENICO SimoneGiornata Tecnica da Piave Servizi, 11 aprile 2024 | DI DOMENICO Simone
Giornata Tecnica da Piave Servizi, 11 aprile 2024 | DI DOMENICO SimoneServizi a rete
 
Giornata Tecnica da Piave Servizi, 11 aprile 2024 | SERRA Giorgio
Giornata Tecnica da Piave Servizi, 11 aprile 2024 | SERRA GiorgioGiornata Tecnica da Piave Servizi, 11 aprile 2024 | SERRA Giorgio
Giornata Tecnica da Piave Servizi, 11 aprile 2024 | SERRA GiorgioServizi a rete
 

Recently uploaded (7)

Giornata Tecnica da Piave Servizi, 11 aprile 2024 | ROMANO' Davide
Giornata Tecnica da Piave Servizi, 11 aprile 2024 | ROMANO' DavideGiornata Tecnica da Piave Servizi, 11 aprile 2024 | ROMANO' Davide
Giornata Tecnica da Piave Servizi, 11 aprile 2024 | ROMANO' Davide
 
Giornata Tecnica da Piave Servizi, 11 aprile 2024 | DISCIPIO Antonio
Giornata Tecnica da Piave Servizi, 11 aprile 2024 | DISCIPIO AntonioGiornata Tecnica da Piave Servizi, 11 aprile 2024 | DISCIPIO Antonio
Giornata Tecnica da Piave Servizi, 11 aprile 2024 | DISCIPIO Antonio
 
Giornata Tecnica da Piave Servizi, 11 aprile 2024 | CADEI Giovanni
Giornata Tecnica da Piave Servizi, 11 aprile 2024 | CADEI GiovanniGiornata Tecnica da Piave Servizi, 11 aprile 2024 | CADEI Giovanni
Giornata Tecnica da Piave Servizi, 11 aprile 2024 | CADEI Giovanni
 
Giornata Tecnica da Piave Servizi, 11 aprile 2024 | ALBIERO Andrea
Giornata Tecnica da Piave Servizi, 11 aprile 2024 | ALBIERO AndreaGiornata Tecnica da Piave Servizi, 11 aprile 2024 | ALBIERO Andrea
Giornata Tecnica da Piave Servizi, 11 aprile 2024 | ALBIERO Andrea
 
Giornata Tecnica da Piave Servizi, 11 aprile 2024 | RENZI Daniele
Giornata Tecnica da Piave Servizi, 11 aprile 2024 | RENZI DanieleGiornata Tecnica da Piave Servizi, 11 aprile 2024 | RENZI Daniele
Giornata Tecnica da Piave Servizi, 11 aprile 2024 | RENZI Daniele
 
Giornata Tecnica da Piave Servizi, 11 aprile 2024 | DI DOMENICO Simone
Giornata Tecnica da Piave Servizi, 11 aprile 2024 | DI DOMENICO SimoneGiornata Tecnica da Piave Servizi, 11 aprile 2024 | DI DOMENICO Simone
Giornata Tecnica da Piave Servizi, 11 aprile 2024 | DI DOMENICO Simone
 
Giornata Tecnica da Piave Servizi, 11 aprile 2024 | SERRA Giorgio
Giornata Tecnica da Piave Servizi, 11 aprile 2024 | SERRA GiorgioGiornata Tecnica da Piave Servizi, 11 aprile 2024 | SERRA Giorgio
Giornata Tecnica da Piave Servizi, 11 aprile 2024 | SERRA Giorgio
 

Sunrise tosunset

  • 1. Universit`a degli Studi di Trieste Dipartimento di Ingegneria e Architettura Tesi di Laurea Triennale Summary of ”Sunrise to Sunset: Analyzing the End-to-end Life Cycle and Effectiveness of Phishing Attacks at Scale” Laureando: Silvio Angelo Baratto Roldan Relatore: Chiar.mo Prof. Alberto Bartoli Anno Accademico 2019–2020
  • 2. Indice 1 Introduzione 2 2 Le fasi di un attacco di phishing 2 3 Analisi del framework Golden Hour 3 4 Panoramica del set di dati 3 5 Progressione degli attacchi di phishing 4 6 Caratteristiche di un attacco di phishing 5 7 Longevit`a degli attacchi di phishing 6 8 Conclusione 7 1
  • 3. 1 Introduzione Il phishing `e un tipo di attacco informatico attraverso il quale gli attaccanti, utilizzando tecniche di social engineering e fingendosi enti affidabili, ingannano la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso. Il social engineering a sua volta rappresenta un insieme di tecniche utilizzate dai cybercriminali per raggirare gli utenti, ignari, facendo in modo che inviino i propri dati personali, infettando i loro computer tramite malware o aprendo collegamenti a siti infetti. Attualmente gli attacchi di phishing si dividono in due categorie: - spearphishing, questa si verifica quando i cybercriminali scelgono come target individui o gruppi di una certa importanza politica o economica. - large scale dove gli attaccanti prendono di mira un’ampia gamma di potenziali vittime per trarne profitto. In questo studio si `e cercato di sviluppare un framework - Golden Hour - che permette di tracciare passivamente il traffico alle pagine di phishing delle vittime e al contempo proteggere decine di migliaia di account involucrati nel processo. Inizialmente si `e notato come la maggioranza delle pagine di phishing realizzino delle request come immagini e script a risorse di terze parti, tra cui le pagine web che intendono falsificare. Partendo da questo dato si `e utilizzato un data-set di 404 628 URL malevoli per comprendere il ciclo vitale di un attacco di phishing. Successivamente si `e fatta una correlazione tra il traffico e l’email di phishing utilizzata per la truffa, riuscendo cos`ı a comprendere e tracciare le varie fasi di un attacco. Infine si `e investigato in quanto tempo e con quanto successo i cybercriminali siano riusciti a monetizzare l’attacco nel momento in cui gli account sono stati compromessi e nell’istante in cui le stesse vittime hanno realizzato le transazioni fraudolente. 2 Le fasi di un attacco di phishing Figura 1: Fasi tipiche di un attacco di phishing Questo articolo si pone l’obiettivo di studiare il ciclo vitale di un sito web di phishing, dal momento in cui viene configurato fino all’istante in cui il sito viene dismesso. Tipicamente un attacco di phishing si divide in sette fasi principali, descritte in Figura 1. Al primo stadio gli attaccanti ottengono o preparano l’infrastruttura necessaria all’attacco (A). 2
  • 4. Quando l’infrastruttura `e pronta configurano un sito web di phishing (B). Una volta concluso il processo di configurazione gli attaccanti incominciano a distribuire la pagina web creata (C) e ad attirare le prime vittime (D). Gli ultimi tre stadi non si sviluppano necessariamente nell’ordine indicato in Figura 1. Nello scenario ottimale le infrastrutture di anti-phishing, come Google Safe Browsing o Microsoft Windows Defender (E), rilevano e mitigano l’attacco prima dell’evento (D). Tendenzialmente le vittime continuano a visitare la pagina web fraudolenta e gli attaccanti a monetizzare i dati rubati, che siano essi credenziali o dati bancari (F), fino al momento in cui l’attacco si conclude (G). 3 Analisi del framework Golden Hour Figura 2: Schema funzionamento Golden Hour Come accennato in Sezione 1, i siti web di phishing generalmente utilizzano risorse come immagini e scripts contenuti in domini di terze parti, tra cui i domini della organizzazione che intendono simulare. Inoltre gli attaccanti tendono a reindirizzare le vittime alla pagina web originale una volta sotratte loro le credenziali. In questo studio si `e realizzato un framework - Golden Hour - con l’obiettivo di analizzare le attivit`a di phishing e di effettuare una mitigazione proattiva in tempo reale. Inizialmente nel framework vengono tracciate le request HTTP di interesse, come immagini o componenti grafici (1). Ogni inserimento viene annotato con un timestamp e si estraggono i relativi request headers. Successivamente si estraggono gli ultimi due attributi URL e si applica un filtro whitelist (2). Se la request non viene scartata si fa una correlazione tra l’evento e una lista contenente URL di siti web di phishing conosciuti (3), processo che pu`o avvenire sia online che offline attraverso un’analisi successiva (4). 4 Panoramica del set di dati Il framework Golden Houur `e stato implementato per raccogliere e analizzare un anno di dati (figura 3a) tra il 1 ottobre 2018 e il 30 settembre 2019. Una domanda che si pone immediata riguarda il livello di visibilit`a fornito dal framework Golden Hour. La visibilit`a `e definita come la percentuale di casi di phishing che prendono di mira l’organizzazione, analizzati dal framework. Questo approccio ha avuto una visibilit`a del 39.1% per tutti gli hostnames e del 40.9% per tutti gli URL. Nel periodo analizzato il grado di visibilit`a sia per i hostnames che per gli URL `e rimasto abbastanza costante, ad eccezione di luglio 2019, come mostrato in figura 3b. Storicamente, gli attacchi di phishing sono stati associati a una certa stagionalit`a, in particolare in prossimit`a delle festivit`a. 3
  • 5. (a) Dataset analizzato (b) Visibilit`a fornita dal framework Golden Hour 5 Progressione degli attacchi di phishing Si `e osservato come in media gli attaccanti godano di un’ ampia finestra di tempo, all’incirca 9 ore, dal momento in cui lanciano l’attacco fino al momento in cui questo viene rilevato dall’ecosistema. In questa fascia temporale gli attaccanti attraggono il 63.73% delle vittime. Nonostante ci`o, attacchi che prevedono transazioni fraudolente sono delle eccezioni con una durata complessiva pi`u lunga, come si intravede in figura 3. Figura 3: Istogramma del traffico dei visitatori indirizzati verso siti web di phishing I seguenti grafici mostrano la funzione di ripartizione delle fasi chiave di un attacco. il 62.73% (figura 4a) dei siti web di phishing inganna le vittime dall’istante successivo in cui l’ecosistema rileva la prima truffa. Per le email questa percentuale si abbassa al 36.59% (figura 4b). Questo poich´e il traffico proveniente da email a pagine web di phishing crolla a causa dei filtri anti-spam oramai diffusi in larga scala. Attacchi che prevedono transazioni fraudolente, come si vede in figura 4c, crescono in maniera costante in un periodo di 14 giorni. Le transazioni avvengono in circa 5,19 giorni di cui il 3.99% nelle prime fasi dell’attacco. Inoltre, le credenziali del 63.61% di questi account compromessi vengono pubblicate e vendute via internet dopo circa 6.92 giorni. 4
  • 6. (a) Traffico utenti compromessi (b) Distribuzione email di phishing (c) Transazioni fraudolente Figura 4: Grafici della funzione di ripartizione, che descrivono le fasi chiave degli attacchi di phishing. Figura 5 Dato il ruolo chiave dei browser nel rileva- mento degli attacchi, nell’articolo si `e calcolato, a intervalli regolari dopo il primo attacco, il rapporto tra due tipologie di vittime: coloro che utilizzano un browser con difese native (Google Safe Browsing, Windows Defender) e coloro che utilizzano altri browser. Questo rapporto indica la probabilit`a che l’attacco di phishing abbia successo. In figura 5 si vede come i browser con difese native riducano l’ef- ficacia degli attacchi di phishing dopo un’ora dal rilevamento, al termine della seconda ora il rapporto cala al 43.55% e, dopo 7 ore, si stabilizza in un valore tra 0 − 10%. Nonostante ci`o i browser possono avere ritardi nel rilevamento per due ragioni: un fallimento dei sistemi di backend nel segnalare un URL di phishing o il ritardo tra il rilevamento in backend e la propagazione dei dati ai client. Questo periodo di ritardo pu`o variare tra lo stesso browser su dispositivi diversi a causa delle differenze nello stato della cache. 6 Caratteristiche di un attacco di phishing Figura 6: Classificazione dei URLs nel dataset Golden hour Per ingannare facilmente le vittime spesso gli attac- canti utilizzano URL di phishing. La caratteristica principale di questi URL risiede nelle parole chiave che li formano, tipicamente simili alle parole uti- lizzate dall’organizzazione che si vuole mimare (ad esempio www.brand-alert.com), oppure fuorvian- ti, trasmettendo il desiderio di aiutare le vittime (ad esempio secure-my-account.com). Da uno stu- dio delle strutture degli URL si `e osservato che il 28.70% non ha alcun contenuto ingannevole, il 34.76% seguono un percorso ingannevole nonostan- te il dominio, un 8.64% utilizza sottodomini in- gannevoli su domini non ingannevoli e il restante 27.90% utilizza domini ingannevoli. Tuttavia, con l’aumento esponenziale di dispositivi mobili e a causa degli schermi 5
  • 7. ridotti, l’importanza degli URL `e diminuita. Dal dataset `e risultato che il 62.73% del traffico compiuto dalle vittime di attacchi di phishing proveniva da dispositivi mobili. I browser protetti da navigazione sicura, come Chrome, Safari e Firefox, hanno rappresentato l’81.42% del traffico. L’ampio utilizzo di questi browser, in particolare su piattaforme mobili, sottolinea l’importanza delle funzionalit`a antiphishing che nativamente vengono incluse. 7 Longevit`a degli attacchi di phishing Come detto in precedenza gli attacchi di phishing tendono ad avere mediamente la massima efficacia nel gap che intercorre tra il rilascio e il rilevamento dell’attacco. Tuttavia, esistono gruppi criminali organizzati che riescono a mantenere attacchi persistenti e sofisticati duraturi nel tempo, come mostrano i seguenti dati in figura 7. Figura 7: Migliori campagne di phishing per numero di visitatori Il successo di queste campagne di phishing `e legato alla capacit`a degli attaccanti di eludere le infrastrutture e l’ecosistema di anti-phishing e a una targetizzazione mirata delle vittime. Per raggirare i sistemi di sicurezza sono state adottate le seguenti tecniche: - Broad Data Collection: Questa tecnica ha come obiettivo quello di rubare le identit`a degli utenti vittima: informazioni personali, carte di credito e anche foto- grafie (ad esempio selfie). Affinch´e l’attacco abbia successo, gli attaccanti emulano perfettamente la pagina web dell’organizzazione vittima, inserendo collegamenti e risorse nel caso l’utente cerchi di interagire con essa. - Automatic Translation: I 5 migliori attacchi in figura 7 utilizzavano in grande scala la geolocalizzazione delle vittime per tradurre in maniera automatica il contenuto del sito. - Human Verification: Per ingannare gli utenti sulla veridicit`a del sito web, gli attaccanti spesso fanno ricorso ai sistemi di verificazione CAPTCHA. Inoltre in questo modo si riesce a ostacolare i sistemi di controllo automatizzati. 6
  • 8. - Cloacking: Il cloacking consiste nel blocco dal lato server di attributi di richiesta come indirizzi IP o nome host. In questo modo si occulta l’accesso ai crawler e ai sistemi di sicurezza oppure ad altre entit`a che non siano vittime. - Victim-specific Paths: Con questa tecnica si reindirizza ogni indirizzo IP di un visitatore in un sottopercorso univoco, non visibile ad altri indirizzi IP. Poich`e il percorso non `e visibile, questo permette di impedire ai crawler di visualizzare la pagine iniziale dell’attacco - Fake Suspension Notices: Se un visitatore non superava i controlli di cloacking si `e osservato che gli attaccanti segnalavano un generico messaggio di errore HTTP 404 o 403. - Man-in-the-Middle Proxies: Due dei pi`u grandi attacchi utilizzavano un proxy incaricato di fare richieste in tempo reale al sito web dell’organizzazione emulata, mostrando la pagina all’utente mentre venivano intercettati tutti i dati inviati. Tali proxy possono annullare la maggior parte delle forme di autenticazione a due fattori e possono richiedere un’attenzione speciale da parte dell’organizzazione di destinazione, come ad esempio la richiesta di chiavi di sicurezza. 8 Conclusione Il phishing rimane una minaccia significativa per noi utenti che utilizziamo Internet a causa dei sistemi di rilevamento e di avvisi che faticano ad affrontare in maniera efficace l’agilit`a e la raffinatezza degli aggressori. I criminali hanno a loro disposizione una serie di tecniche sofisticate che mirano ad aggirare le difese anti-phishing esistenti e aumentare le probabilit`a di successo di compromettere le vittime. Tali attacchi inoltre sono scalabili, come `e stato a lungo osservato dall’ecosistema. L’obiettivo di questo articolo dunque `e motivare il continuo sviluppo di strumenti per attuare analisi proattive, attraverso una pi`u stretta collaborazione tra entit`a anti-phishing, al fine di creare meccanismi potenziati e standardizzati per la condivisione dei dati, proteggendo automaticamente decine di migliaia di account di potenziali vittime. Riferimenti bibliografici [1] Adam Oest, Penghui Zhang, Brad Wardman, Eric Nunes, Jakub Burgis, Ali Zand Kurt Thomas, Adam Doup´e, Gail-Joon Ahn. Sunrise to Sunset: Analyzing the End-to- end Life Cycle and Effectiveness of Phishing Attacks at Scale. 29th USENIX Security Symposium. 7