Phishing: anatomia del fenomeno

1,278 views

Published on

anatomia del phishing, dalla realizzazione alle metodiche investigative e di contrasto

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,278
On SlideShare
0
From Embeds
0
Number of Embeds
117
Actions
Shares
0
Downloads
45
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Phishing: anatomia del fenomeno

  1. 1.     Il Phishing: anatomia del fenomeno Reati Informatici e Investigazioni Digitali 2a sess. Padova, Sabato 27 Novembre 2010 www.denisfrati.it ­ denis.frati@cybercrimes.it ­ denis.frati@gmail.com
  2. 2.     www.denisfrati.it ­ denis.frati@cybercrimes.it ­ denis.frati@gmail.com Il Phishing: Anatomia del fenomeno. Reati Informatici e Investigazioni Digitali 2a sess. Padova La realizzazione di un attacco di phishing necessita di una struttura complessa per individuare vittime  e risorse ed accedere alle stesse
  3. 3.     Gli enti vittima sono ricercati tra quelli che non dispongono di sistemi di  autenticazione forti per l'autorizzazione all'esecuzione degli ordini ­ one time password; ­ sms; www.denisfrati.it ­ denis.frati@cybercrimes.it ­ denis.frati@gmail.com Il Phishing: Anatomia del fenomeno. Reati Informatici e Investigazioni Digitali 2a sess. Padova
  4. 4.     Gli utenti vittima sono i destinatari dei messaggi di posta. Gli indirizzi possono essere: ­ acquistati; ­ raccolti in rete; ­ creati; ­ verificati; www.denisfrati.it ­ denis.frati@cybercrimes.it ­ denis.frati@gmail.com Il Phishing: Anatomia del fenomeno. Reati Informatici e Investigazioni Digitali 2a sess. Padova
  5. 5.     L'invio delle mail, veicolo dell' “infezione”, avviene attraverso: ➢ open relay, server di posta mal configurati; ➢ host/reti compromessi (zombi, open wireless); ➢ mailer script posizionati sui server compromessi; www.denisfrati.it ­ denis.frati@cybercrimes.it ­ denis.frati@gmail.com Il Phishing: Anatomia del fenomeno. Reati Informatici e Investigazioni Digitali 2a sess. Padova  Server compromesso  Script  Indirizzi mail  Corpo html mail  1 Struttura la mail  2 Spedisce la mail  Usando mail server presente Lasciando traccia in mail log
  6. 6.     Il KIT è composto dall'insieme di file (html, php, immagini, css,ecc..)  costituenti la struttura del falso sito e le pagine di gestione delle  credenziali. Può: ­ verificare la forma/sintassi di credenziali e dati inseriti; ­ inviare le credenziali via mail o scriverle su file locali o remoti; ­ implementare la selezione dei visitatori (ip permessi in .htaccess); ­ contenere parti offuscate; ­ contenere inganni al criminale che acquista il kit; Solitamente viene uploadato in formato compresso (zip, tgz).            La sua presenza in sito rappresenta una risorsa per i buoni! www.denisfrati.it ­ denis.frati@cybercrimes.it ­ denis.frati@gmail.com Il Phishing: Anatomia del fenomeno. Reati Informatici e Investigazioni Digitali 2a sess. Padova
  7. 7.     Il sito ospite può essere in: ➢ hosting gratuito (es. Altervista); ➢ hosting a basso costo (es. Yahoo); ➢ Violato: ➢Acquistato da cracker; ➢Ricercato con motori ➢Violato ➢Piattaforme violate: www.denisfrati.it ­ denis.frati@cybercrimes.it ­ denis.frati@gmail.com Il Phishing: Anatomia del fenomeno. Reati Informatici e Investigazioni Digitali 2a sess. Padova ­ ZenCart                 ­ InnovaStudio                     ­ Joomla ­ OsCommerce        ­ Easy Content Manager     ­ FreePBX/TrixBox ­ ZeroBoard             ­ WordPress
  8. 8.     La violazione delle piattaforme può avvenire: ➢ Causa errate configurazioni:  Accesso a file manager; www.denisfrati.it ­ denis.frati@cybercrimes.it ­ denis.frati@gmail.com Il Phishing: Anatomia del fenomeno. Reati Informatici e Investigazioni Digitali 2a sess. Padova
  9. 9.     La violazione delle piattaforme può avvenire: ➢ Causa errate configurazioni:   Accesso a pannelli di  amministrazione; www.denisfrati.it ­ denis.frati@cybercrimes.it ­ denis.frati@gmail.com Il Phishing: Anatomia del fenomeno. Reati Informatici e Investigazioni Digitali 2a sess. Padova
  10. 10.     La violazione delle piattaforme può avvenire: ➢ Attraverso l'uso di exploit specifici: ➢ Php, perl, python; ➢ Ricercati in specifici data­base (OSVDB, National Vulnerability  DataBase , SecurityFocus, Secunia, Explit DataBase); ➢ Automatizzati da bot script (bot irc); www.denisfrati.it ­ denis.frati@cybercrimes.it ­ denis.frati@gmail.com Il Phishing: Anatomia del fenomeno. Reati Informatici e Investigazioni Digitali 2a sess. Padova
  11. 11.     Phisher to do list: ­ individuato ente vittima;  fatto ­ raccolto indirizzi vittime;  fatto ­ trovato clone;  fatto ­ trovato server ospitante;  fatto ­ caricare kit; ­ decomprimerlo; ­ testarlo; ­ spedire le mail; ­ raccogliere le credenziali; www.denisfrati.it ­ denis.frati@cybercrimes.it ­ denis.frati@gmail.com Il Phishing: Anatomia del fenomeno. Reati Informatici e Investigazioni Digitali 2a sess. Padova
  12. 12.     Modalità di lavoro prevista dal phisher www.denisfrati.it ­ denis.frati@cybercrimes.it ­ denis.frati@gmail.com Il Phishing: Anatomia del fenomeno. Reati Informatici e Investigazioni Digitali 2a sess. Padova
  13. 13.     Le credenziali rubate possono essere: ­ inviate via mail al criminale;              ­ scritte su server remoti ­ scritte su file facenti parte del kit       ­ usate per login automatizzati www.denisfrati.it ­ denis.frati@cybercrimes.it ­ denis.frati@gmail.com Il Phishing: Anatomia del fenomeno. Reati Informatici e Investigazioni Digitali 2a sess. Padova
  14. 14.     www.denisfrati.it ­ denis.frati@cybercrimes.it ­ denis.frati@gmail.com Il Phishing: Anatomia del fenomeno. Reati Informatici e Investigazioni Digitali 2a sess. Padova  Il meccanismo  rodato  e funzionante
  15. 15.     On the Light Side! Gli utenti si accorgono della frode e denunciano presso sedi FFPP diverse Q.Roma        CC.Domodossola     Com.to Casale       Cp.CC Monza         GdF Pisa              CC.Jesolo    Le notizie di reato sono inoltrate alle rispettive Procure/Procure distrettuali Singoli fascicoli per singole denunce Differenti procedimenti Mancata percezione del disegno criminoso Assenza di monitoraggio                  errata percezione                     vacuità dello            accentrato                               gravità fenomeno                  sforzo investigativo www.denisfrati.it ­ denis.frati@cybercrimes.it ­ denis.frati@gmail.com Il Phishing: Anatomia del fenomeno. Reati Informatici e Investigazioni Digitali 2a sess. Padova
  16. 16.     Se il nonno avesse le ruote ....                        (provocation) Se la vittima si accorgesse tempestivamente dell'ammanco e  sporgesse subito denuncia... Se non vi fosse carenza di personale FFPP con specifica preparazione  a ricevere la denuncia...                                  ......potrebbe essere possibile acquisire info utili   Se vi fosse un monitoraggio ampio del fenomeno.… Se vi fosse un accentramento dei dati raccolti.... Se fosse semplice unificare fascicoli e procedimenti si....                                  ......avrebbe la misura della gravità del fenomeno,  evidenzierebbe l'ampio disegno criminoso,  riconoscerebbero i gruppi  operanti, individuerebbero le responsabilità per gli eventi. www.denisfrati.it ­ denis.frati@cybercrimes.it ­ denis.frati@gmail.com Il Phishing: Anatomia del fenomeno. Reati Informatici e Investigazioni Digitali 2a sess. Padova
  17. 17.     Denunciare per: ➢ Rendere evidente il fenomeno; ➢ Individuare i responsabili; ➢ Rendere possibile la restituzione del sottratto; ➢ Disconoscere qualunque responsabilità; www.denisfrati.it ­ denis.frati@cybercrimes.it ­ denis.frati@gmail.com Il Phishing: Anatomia del fenomeno. Reati Informatici e Investigazioni Digitali 2a sess. Padova Ritardi causati da: ➢ Tardiva individuazione dell'ammanco; ➢ Impossibilità primi accertamenti in fase denuncia; ➢ Tempi burocratici; Si scontrano con la dinamicità del fenomeno!! L'ente può integrare la denuncia con dati raccolti in proprio, secondo le  procedure e le metodologie idonee!
  18. 18.     Denunciare: ➢ Presentando la mail per estrapolare il link presente e gli headers: ➢Copia della mail in formato digitale; ➢Stampa del codice sorgente della mail; ➢La stampa del messaggio non  serve a nulla; ➢ Cronologia di navigazione (sovente il link  della mail è un redirect, modificato più  volte nell'arco del giorno o della settimana) ..... ma la vita non è un film ...... www.denisfrati.it ­ denis.frati@cybercrimes.it ­ denis.frati@gmail.com Il Phishing: Anatomia del fenomeno. Reati Informatici e Investigazioni Digitali 2a sess. Padova
  19. 19.     Quali reati?            (confronto) Art 640 ter Cp – frode informatica: “chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o  telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o  programmi contenuti in un sistema informatico o telematico o ad esso pertinenti,  procura a se o ad altri un ingiusto profitto con altrui danno, ....” Reato comune, tentativo configurabile, procedibile a qurela di parte. Richiede: ➢ Alterazione sistema informatico/telematico  ➢ Intervento senza diritto su dati, informazioni, programmi contenuti su sistema  informatico/telematico www.denisfrati.it ­ denis.frati@cybercrimes.it ­ denis.frati@gmail.com Il Phishing: Anatomia del fenomeno. Reati Informatici e Investigazioni Digitali 2a sess. Padova
  20. 20.     www.denisfrati.it ­ denis.frati@cybercrimes.it ­ denis.frati@gmail.com Il Phishing: Anatomia del fenomeno. Reati Informatici e Investigazioni Digitali 2a sess. Padova Quali reati?            (confronto) Art 640 Cp ­ frode: “Chiunque, con artifizi o raggiri, inducendo taluno in errore, procura a sé o ad altri un  ingiusto profitto con altrui danno, è punito ....” Reato comune, tentativo configurabile, procedibile a querela di parte.
  21. 21.     www.denisfrati.it ­ denis.frati@cybercrimes.it ­ denis.frati@gmail.com Il Phishing: Anatomia del fenomeno. Reati Informatici e Investigazioni Digitali 2a sess. Padova Quali reati?            (confronto) Art. 167 D.Lgs.n.196/2003 (Codice in materia di protezione dei dati personali) ­  Trattamento illecito di dati: "1. Salvo che il fatto costituisca piu' grave reato, chiunque, al fine di trarne per se' o  per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali  in violazione di quanto disposto dagli articoli 18, 19, 23, 123, 126 e 130, ovvero in  applicazione dell'articolo 129, e' punito, se dal fatto deriva nocumento, con la  reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o  diffusione, con la reclusione da sei a ventiquattro mesi. 2. Salvo che il fatto costituisca piu' grave reato, chiunque, al fine di trarne per se' o  per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali  in violazione di quanto disposto dagli articoli 17, 20, 21, 22, commi 8 e 11, 25, 26, 27  e 45, e' punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni."
  22. 22.     www.denisfrati.it ­ denis.frati@cybercrimes.it ­ denis.frati@gmail.com Il Phishing: Anatomia del fenomeno. Reati Informatici e Investigazioni Digitali 2a sess. Padova Quali reati?            (confronto) Art. 617 quater Cp ­ Intercettazione, impedimento o interruzione illecita di  comunicazioni informatiche o telematiche “Chiunque fraudolentamente intercetta comunicazioni relative ad un sistema  informatico o telematico o intercorrenti tra piu’ sistemi, ovvero le impedisce o le  interrompe, e’ punito con la reclusione da sei mesi a quattro anni. Salvo che il fatto  costituisca piu’ grave reato, la stessa pena si applica a chiunque rivela, mediante  qualsiasi mezzo di informazione al pubblico, in tutto o in parte, il contenuto delle  comunicazioni di cui al primo comma. I delitti di cui ai commi primo e secondo sono  punibili a querela della persona offesa. Tuttavia si procede d’ufficio .....” Reato comune, tentativo configurabile, procedibile a querela di parte.
  23. 23.     www.denisfrati.it ­ denis.frati@cybercrimes.it ­ denis.frati@gmail.com Il Phishing: Anatomia del fenomeno. Reati Informatici e Investigazioni Digitali 2a sess. Padova Quali reati?            (confronto) Art. 617 sexies Cp ­ Falsificazione, alterazione o soppressione del contenuto di  comunicazioni informatiche o telematiche: “Chiunque, al fine di procurare a se’ o ad altri un vantaggio o di arrecare ad altri un  danno, forma falsamente ovvero altera o sopprime, in tutto o in parte, il contenuto,  anche occasionalmente intercettato, di taluna delle comunicazioni relative ad un  sistema informatico o telematico o intercorrenti tra piu’ sistemi, e’ punito, qualora ne  faccia uso o lasci che altri ne facciano uso,.....” Reato comune, tentativo configurabile, procedibile a querela di parte.
  24. 24.     www.denisfrati.it ­ denis.frati@cybercrimes.it ­ denis.frati@gmail.com Il Phishing: Anatomia del fenomeno. Reati Informatici e Investigazioni Digitali 2a sess. Padova Quali reati?            (confronto) Art. 615 ter Cp – Accesso abusivo ad un sistema informatico o telematico: “Chiunque, al fine di procurare a se’ o ad altri un vantaggio o di arrecare ad altri un  danno, forma falsamente ovvero altera o sopprime, in tutto o in parte, il contenuto,  anche occasionalmente intercettato, di taluna delle comunicazioni relative ad un  sistema informatico o telematico o intercorrenti tra più sistemi, e’ punito, qualora ne  faccia uso o lasci che altri ne facciano uso,.....” Reato comune, tentativo configurabile, procedibile a querela di parte.
  25. 25.     www.denisfrati.it ­ denis.frati@cybercrimes.it ­ denis.frati@gmail.com Il Phishing: Anatomia del fenomeno. Reati Informatici e Investigazioni Digitali 2a sess. Padova Quali reati?            (confronto) Art. 615 quater Cp ­ Detenzione e diffusione abusiva di codici di accesso a sistemi  informatici o telematici “Chiunque, al fine di procurare a se’ o ad altri un profitto o di arrecare ad altri un  danno, abusivamente si procura, riproduce, diffonde, comunica o consegna codici,  parole chiave o altri mezzi idonei all’accesso ad un sistema informatico o telematico,  protetto da misure di sicurezza, o comunque fornisce indicazioni o istruzioni idonee  al predetto scopo, e’ punito...” Reato comune, tentativo configurabile, procedibile a querela di parte.
  26. 26.     www.denisfrati.it ­ denis.frati@cybercrimes.it ­ denis.frati@gmail.com Il Phishing: Anatomia del fenomeno. Reati Informatici e Investigazioni Digitali 2a sess. Padova Quali reati?            (confronto) Art. 648 bis Cp ­ Riciclaggio “Fuori dei casi di concorso nel reato, chiunque sostituisce o trasferisce denaro, beni  o altre utilita’ provenienti da delitto non colposo, ovvero compie in relazione ad essi  altre operazioni in modo da ostacolare l’identificazione della loro provenienza  delittusa, e’ punito...” Reato comune, procedibile d'ufficio.
  27. 27.     www.denisfrati.it ­ denis.frati@cybercrimes.it ­ denis.frati@gmail.com Il Phishing: Anatomia del fenomeno. Reati Informatici e Investigazioni Digitali 2a sess. Padova Mi sento limitato! L'attività investigativa soffre di alcuni limiti: ➢Tempistiche e dinamicità dei criminali; ➢Ubicazione extra territoriale degli host contenenti i file; ➢Ubicazione extra territoriale dei server di posta; ➢Cancellazione di file dagli host coinvolti (ISP e titolare sito/dominio); ➢Vincoli normativi per l'acquisizione di dati; ➢Vincoli normativi nell'uso delle shell remote; ➢Tempi di conservazione dei log: Art. 132. D.L 196/2003: Conservazione di dati di  traffico per altre finalità: “1. Fermo restando quanto previsto dall'articolo 123, comma 2, i dati relativi al  traffico telefonico sono conservati dal fornitore per ventiquattro mesi dalla data della comunicazione,  per finalità di accertamento e repressione dei reati, mentre, per le medesime finalità, i dati relativi al  traffico telematico, esclusi comunque i contenuti delle comunicazioni, sono conservati dal fornitore per  dodici mesi dalla data della comunicazione. ....”
  28. 28.     www.denisfrati.it ­ denis.frati@cybercrimes.it ­ denis.frati@gmail.com Il Phishing: Anatomia del fenomeno. Reati Informatici e Investigazioni Digitali 2a sess. Padova Help me! Art. 132. D.Lgs.n.196/2003 (Codice in materia di protezione dei dati personali) ­  Conservazione di dati di traffico per altre finalità “4­ter. Il Ministro dell'interno o, su sua delega, i responsabili degli uffici centrali specialistici in materia  informatica o telematica della Polizia di Stato, dell'Arma dei carabinieri e del Corpo della guardia di  finanza, nonchè gli altri soggetti indicati nel comma 1 dell'articolo 226 delle norme di attuazione, di  coordinamento e transitorie del codice di procedura penale, di cui al decreto legislativo 28 luglio 1989,  n. 271, possono ordinare, anche in relazione alle eventuali richieste avanzate da autorità investigative  straniere, ai fornitori e agli operatori di servizi informatici o telematici di conservare e proteggere,  secondo le modalità indicate e per un periodo non superiore a novanta giorni, i dati relativi al traffico  telematico, esclusi comunque i contenuti delle comunicazioni, ai fini dello svolgimento delle  investigazioni preventive previste dal citato articolo 226 delle norme di cui al decreto legislativo n. 271  del 1989, ovvero per finalità di accertamento e repressione di specifici reati. Il provvedimento,  prorogabile, per motivate esigenze, per una durata complessiva non superiore a sei mesi, può  prevedere particolari modalità di custodia dei dati e l'eventuale indisponibilità dei dati stessi da parte  dei fornitori e degli operatori di servizi informatici o telematici ovvero di terzi.”
  29. 29.     www.denisfrati.it ­ denis.frati@cybercrimes.it ­ denis.frati@gmail.com Il Phishing: Anatomia del fenomeno. Reati Informatici e Investigazioni Digitali 2a sess. Padova Lavorando sul caso: ➢Analisi e­mail: ➢Header; ➢Codice; ➢Instradamento verso il clone: ➢Redirect; ➢Alias; ➢DNS Dinamico; ➢Sito server ospitante il clone: ➢Localizzazione geografica; ➢Identificazione piattaforma   possibile vulnerabilità;→ ➢Individuazione dati di interesse (sorgenti, immagini, ecc..); ➢Analisi dei sorgenti;
  30. 30.     www.denisfrati.it ­ denis.frati@cybercrimes.it ­ denis.frati@gmail.com Il Phishing: Anatomia del fenomeno. Reati Informatici e Investigazioni Digitali 2a sess. Padova E­mail: Headers From ­ Tue Nov  2 06:08:21 2010 Return­path: <info@sparkasse.it> Envelope­to: denis.frati@cybercrimes.it Delivery­date: Tue, 02 Nov 2010 03:42:17 +0100 Received: from pippo.pluto.com.pl ([80.aa.bb.24]) by web5.seeyes.net with esmtp (Exim 4.69) (envelope­from <info@sparkasse.it>) id 1PD6pA­0004ZA­Ef for denis.frati@cybercrimes.it; Tue, 02 Nov 2010 03:42:17 +0100 Received: from User ([82.xxx.yyy.138]) by pippo.pluto.com.pl with Microsoft SMTPSVC(6.0.3790.4675);  Mon, 1 Nov 2010 22:33:35 +0100 From: "Cassa di Risparmio di Bolzano S.p.A."<info@sparkasse.it> Date: Mon, 1 Nov 2010 22.33.35 +0100 MIME­Version: 1.0 Content­Type: text/html; charset="Windows­1251" Content­Transfer­Encoding: 7bit X­Priority: 3 X­MSMail­Priority: Normal X­Mailer: Microsoft Outlook Express 6.00.2600.0000 X­MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000 Message­ID: <FRANEKDEqvHlnNSeawj00000bdd@pippo.pluto.com.pl> X­OriginalArrivalTime: 01 Nov 2010 21:33:36.0068 (UTC) FILETIME=[70CA1840:01CB7A0C]
  31. 31.     www.denisfrati.it ­ denis.frati@cybercrimes.it ­ denis.frati@gmail.com Il Phishing: Anatomia del fenomeno. Reati Informatici e Investigazioni Digitali 2a sess. Padova E­mail: Codice corpo messaggio 1 <html> <head> <meta http­equiv="Content­Type" content="text/html; charset=iso­8859­1" /> <title>bper</title> </head> <body> <p>Il codice inserito e sospeso o bloccato per uno dei seguenti motivi:<br>   * il codice e inattivo da almeno 3 mesi e quindi e stato sospeso per garantirLe un elevato livello di  sicurezza;<br />   <br />   Per ripristinare l&rsquo;operativita attiva subito il servizio Home Banking.</p> <p>Clicca<strong> <a href="http://www.mehmetvehbibolak.k12.tr//images/sayfa/cosui.htm">qui</a>  </strong>per accedere al servizio <span id="main"><span id="search">di <span id="main"><span  id="search">attivazione Home Banking</span></span></span></span>.</p> <p>&copy; Cassa di Risparmio di Bolzano SpA</p> </body> </html>
  32. 32.     www.denisfrati.it ­ denis.frati@cybercrimes.it ­ denis.frati@gmail.com Il Phishing: Anatomia del fenomeno. Reati Informatici e Investigazioni Digitali 2a sess. Padova E­mail: Codice corpo messaggio 2 <Script Language='Javascript'> <!­­ document.write(unescape('%3C%68%74%6D%6C%3E%0A%3C%68%65%61%64%3E%0A%20%20%20%20%20%20%3C %6D%65%74%61%20%68%74%74%70%2D%65%71%75%69%76%3D%22%63%6F%6E%74%65%6E%74%2D %74%79%70%65%22%20%63%6F%6E%74%65%6E%74%3D%22%74%65%78%74%2F%68%74%6D%6C%3B %20%63%68%61%72%73%65%74%3D%75%74%66%2D%38%22%20%2F%3E%0A%20%20%3C%74%69%74%6C %65%3E%42%61%6E%63%61%20%64%69%20%43%72%65%64%69%74%6F%20%43%6F%6F %70%65%72%61%74%69%76%6F%20%7C%20%4C%6F%67%69%6E%3C%2F%74%69%74%6C%65%3E%0A%20%0A %20%20%20%20%3C%6C%69%6E%6B%20%72%65%6C%3D%22%73%74%79%6C ­­­­­­­­­­­ cut ­­­­­­­­­­­­­­­­­­­­  cut ­­­­­­­­­­­­­­­­­­ cut ­­­­­­­­­­­­­­­­­­­­­­ cut ­­­­­­­­­­­­­­­­­­­­  cut ­­­­­­­­­­­­­­­­­­ cut ­­­­­­­­­­­­­­ %20%0A%26%63%6F%70%79%3B%20%20%42%61%6E%63%68%65%20%64%69%20%43%72%65%64%69%74%6F %20%43%6F%6F%70%65%72%61%74%69%76%6F%20%0A%3C%2F%74%64%3E%0A%20%0A%3C%2F %66%69%65%6C%64%73%65%74%3E%0A%20%0A%20%20%0A%20%0A%3C%2F%54%41%42%4C%45%3E%20')); //­­> </Script> Il codice così offuscato può essere messo in chiaro: HTML/text/JavaSript Escaping/Encoding Script  (http://scriptasylum.com/tutorials/encode­decode.html)
  33. 33.     www.denisfrati.it ­ denis.frati@cybercrimes.it ­ denis.frati@gmail.com Il Phishing: Anatomia del fenomeno. Reati Informatici e Investigazioni Digitali 2a sess. Padova E­mail: Codice corpo messaggio 2.2 Il codice così offuscato può essere messo in chiaro: HTML/text/JavaSript Escaping/Encoding Script  (http://scriptasylum.com/tutorials/encode­decode.html)
  34. 34.     www.denisfrati.it ­ denis.frati@cybercrimes.it ­ denis.frati@gmail.com Il Phishing: Anatomia del fenomeno. Reati Informatici e Investigazioni Digitali 2a sess. Padova Instradamento verso il clone: Redirect
  35. 35.     www.denisfrati.it ­ denis.frati@cybercrimes.it ­ denis.frati@gmail.com Il Phishing: Anatomia del fenomeno. Reati Informatici e Investigazioni Digitali 2a sess. Padova Instradamento  verso il clone:  Alias & Short Url
  36. 36.     www.denisfrati.it ­ denis.frati@cybercrimes.it ­ denis.frati@gmail.com Il Phishing: Anatomia del fenomeno. Reati Informatici e Investigazioni Digitali 2a sess. Padova Instradamento verso il clone: DNS Dinamico IP DINAMICO xxx.yyy.zzz.wwa xxx.yyy.zzz.wwb eee.fff.ggg.hha eee.ttt.kkk.llb iii.uuu.mmm.qqa Pc con Server  Http – propone Pagine clone servizio Dns dinamico Nome host: banca.ispdns.com  ISP servizio DNS dinamico DNS banca.ispdns.com = Ip del momento Refresh  DNS User cerco banca.ispdns.com Vai all'indirizzo IP $IP=(ip del momento) visualizza clone sul borwser investigatore traccia IP <­­­> nome host clone dato/ora
  37. 37.     www.denisfrati.it ­ denis.frati@cybercrimes.it ­ denis.frati@gmail.com Il Phishing: Anatomia del fenomeno. Reati Informatici e Investigazioni Digitali 2a sess. Padova Sito server ospitante il clone:  ➢Localizzazione geografica; ➢Da terminale Ping, WhoIs, Dns, Host; ➢http://www.dnsstuff.com;   ➢http://www.robtex.com; 
  38. 38.     www.denisfrati.it ­ denis.frati@cybercrimes.it ­ denis.frati@gmail.com Il Phishing: Anatomia del fenomeno. Reati Informatici e Investigazioni Digitali 2a sess. Padova Sito server ospitante il clone:  ➢Identificazione piattaforma        possibile vulnerabilità; ➢Lettura sorgenti; ➢Particolari pagina (footer, titoli) ➢Url brute forcing; ➢Esplorazione directory
  39. 39.     www.denisfrati.it ­ denis.frati@cybercrimes.it ­ denis.frati@gmail.com Il Phishing: Anatomia del fenomeno. Reati Informatici e Investigazioni Digitali 2a sess. Padova Sito server ospitante il clone:  ➢Individuazione dati di interesse: ➢File di redirect; ➢Shell remote; ➢Kit di sorgenti; ➢File di credenziali; ➢File di log; ➢Statistiche; ➢Immagini; Il fine ultimo è la raccolta di informazioni, del maggior numero di informazioni! ➢Redirect ­­­­> altri obbiettivi; ➢Shell remote ­­­> individuazione informazioni, intervento sul phishing ➢Kit ­­­>  dove cercare le credenziali, a chi sono inviate ➢Credenziali  ­­­­>  interventi sugli account; ➢Log ­­­>  individuazione di chi opera   ➢Statistiche ­­­> individuazione di shell remote
  40. 40.     www.denisfrati.it ­ denis.frati@cybercrimes.it ­ denis.frati@gmail.com Il Phishing: Anatomia del fenomeno. Reati Informatici e Investigazioni Digitali 2a sess. Padova Sito server ospitante il clone: Individuazione dati di interesse – Redirect Se il redirect seguito non è solo  individuiamo nuovi cloni Spesso sono modificati dai criminali per più giorni. Il loro monitoraggio costante porta a  nuovi cloni
  41. 41.     www.denisfrati.it ­ denis.frati@cybercrimes.it ­ denis.frati@gmail.com Il Phishing: Anatomia del fenomeno. Reati Informatici e Investigazioni Digitali 2a sess. Padova Sito server ospitante il clone: Individuazione dati di interesse – Shell remote
  42. 42.     www.denisfrati.it ­ denis.frati@cybercrimes.it ­ denis.frati@gmail.com Il Phishing: Anatomia del fenomeno. Reati Informatici e Investigazioni Digitali 2a sess. Padova Sito server ospitante il clone: Individuazione dati di interesse – Shell remote Spesso la sola visualizzazione della pagina porta ad individuare tempi (data/ora) in cui l'attacco  è partito, la presenza di altri clone, di sorgenti ed i loro possibili nomi. Il loro utilizzo esteso è tuttavia di dubbia “sostenibilità” e liceità
  43. 43.     www.denisfrati.it ­ denis.frati@cybercrimes.it ­ denis.frati@gmail.com Il Phishing: Anatomia del fenomeno. Reati Informatici e Investigazioni Digitali 2a sess. Padova Sito server ospitante il clone: Individuazione dati di interesse – Kit Sorgenti Frequentemente il nome del file contenente il kit Rispecchia quello di una delle directory in cui il clone è Installato. E' quindi possibile tentare una sorta di brute forcing finalizzato alla sua individuazione.
  44. 44.     www.denisfrati.it ­ denis.frati@cybercrimes.it ­ denis.frati@gmail.com Il Phishing: Anatomia del fenomeno. Reati Informatici e Investigazioni Digitali 2a sess. Padova Sito server ospitante il clone:  Individuazione dati di interesse – Credenziali ➢Consente il blocco degli account; ➢L'identificazione delle probabili vittime per querele di parte; ➢Talvolta riporta l'indirizzo IP della vittima e ....  Le prove di funzionamento svolte dal criminali … quindi ­­­> suo IP ; L'individuazione è semplificata dall'individuazione e dall'analisi di Kit sorgenti e logs. L'individuazione, acquisizione e gestione può essere automatizzata. 
  45. 45.     www.denisfrati.it ­ denis.frati@cybercrimes.it ­ denis.frati@gmail.com Il Phishing: Anatomia del fenomeno. Reati Informatici e Investigazioni Digitali 2a sess. Padova Sito server ospitante il clone: Individuazione dati di interesse – Logs In taluni casi si è verificata la possibilità di accedere via browser agli access logs (merito di Edgar,  curatore di Edagar's Internet Tools ­  http://www.edetools.blogspot.com/ ) del sito clone. Cio permette di individuare:  ➢ip operanti in: ➢Creazione e test clone; ➢Download credenziali; ➢Presenza specifici file della  struttura: ➢Contenitori di credenziali; ➢Controllo e verifica; ➢Credenziali ricevute da remoto; ➢Redirect di arrivo.
  46. 46.     www.denisfrati.it ­ denis.frati@cybercrimes.it ­ denis.frati@gmail.com Il Phishing: Anatomia del fenomeno. Reati Informatici e Investigazioni Digitali 2a sess. Padova Sito server ospitante il clone: Individuazione dati di interesse – Statistiche
  47. 47.     www.denisfrati.it ­ denis.frati@cybercrimes.it ­ denis.frati@gmail.com Il Phishing: Anatomia del fenomeno. Reati Informatici e Investigazioni Digitali 2a sess. Padova Sito server ospitante il clone: Individuazione dati di interesse – Immagini
  48. 48.     www.denisfrati.it ­ denis.frati@cybercrimes.it ­ denis.frati@gmail.com Il Phishing: Anatomia del fenomeno. Reati Informatici e Investigazioni Digitali 2a sess. Padova Strumenti utili:  Le dork con i motori di ricerca: consentono di individuare: ➢Shell remote; ➢Statistiche; ➢Logs; ➢Piattaforme web; Gli operandi: ➢insite; ➢inurl; ➢intitle; ➢filetype; Rappresentano una valida risorsa per l'investigatore, così come per il criminale I termini di ricerca: ➢Index of; ➢upload; ➢file manager; ➢brute force;   ➢powered by; ➢upload; ➢Termini specifici  piattaforma esaminata;
  49. 49.     www.denisfrati.it ­ denis.frati@cybercrimes.it ­ denis.frati@gmail.com Il Phishing: Anatomia del fenomeno. Reati Informatici e Investigazioni Digitali 2a sess. Padova Strumenti utili:  Strumenti di enumerazione file e directory (o che svolgano anche tale funzione): ➢Wikto (su MS Win, non più mantenuto); ➢Nikto; ➢Dirbuster; ➢http­dir­enum; Operano con liste di nomi file/directory note, che l'investigatore può customizzare  in base ad esperienza e conoscenza della piattaforma in esame. Sono “rumorosi”
  50. 50.     www.denisfrati.it ­ denis.frati@cybercrimes.it ­ denis.frati@gmail.com Il Phishing: Anatomia del fenomeno. Reati Informatici e Investigazioni Digitali 2a sess. Padova Strumenti utili:  Strumenti di riconoscimento piattaforma web e dei temi/plugin utilizzati che  potrebbero aver dato il fianco  all'uso di exploit noti: ➢WhatWeb; ➢Cms­explorer; Molti sono strumenti tipici  delle attività di pentesting  ed hacking. (Fare  riferimento al progetto  OWASP) 
  51. 51.     www.denisfrati.it ­ denis.frati@cybercrimes.it ­ denis.frati@gmail.com Il Phishing: Anatomia del fenomeno. Reati Informatici e Investigazioni Digitali 2a sess. Padova Strumenti utili:  Strumenti di  acquisizione: ➢HashBot (il Principe       ); ➢Wget; ➢Curl;
  52. 52.     www.denisfrati.it ­ denis.frati@cybercrimes.it ­ denis.frati@gmail.com Il Phishing: Anatomia del fenomeno. Reati Informatici e Investigazioni Digitali 2a sess. Padova Strumenti utili:  Strumenti di  analisi log: ➢Glogg  (log explorer); ➢Grep; ➢Awk;
  53. 53.     www.denisfrati.it ­ denis.frati@cybercrimes.it ­ denis.frati@gmail.com Il Phishing: Anatomia del fenomeno. Reati Informatici e Investigazioni Digitali 2a sess. Padova Kit dimeticati/abbandonati .... una risorsa:  L'analisi consente di individuare  ➢la destinazione delle credenziali: ➢Le mail box dei criminali;  ➢Host remoti (intervento presso ISP e titolari); ➢Password di accesso a pagine specifiche; ➢Metodiche di SKPing al controllo adottate dai criminali; ➢Metodiche di controllo credenziali implementate; ➢Indicazioni sulle entry da ricercare nei log ➢Host ospitanti i kit; ➢IP operanti; ➢Elementi comuni che consentano di riconoscere l'operato dei diversi gruppi  criminali e i realizzatori dei kit;
  54. 54.     www.denisfrati.it ­ denis.frati@cybercrimes.it ­ denis.frati@gmail.com Il Phishing: Anatomia del fenomeno. Reati Informatici e Investigazioni Digitali 2a sess. Padova Muovendosi ai margini ....(Walking along the border of light side):   Esiste una netta differenza tra ciò che  materialmente/tecnicamente si può fare e ciò  che lecitamente si può fare. Qual'è la scriminante? ➢Raccogliere le informazioni affinché siano  valide nell'aula di tribunale? ➢Raccogliere informazioni non valide in tribunale, ma utili allo svolgimento  delle indagini? ➢Proteggere gli utenti del servizio? ➢Incrinare la struttura criminale quando ISP, Manteiner e Titolari non  collaborano? ➢Non creare danno e disservizio a titolari ed utenti di servizi/siti/server  violati? Provocation
  55. 55.     www.denisfrati.it ­ denis.frati@cybercrimes.it ­ denis.frati@gmail.com Il Phishing: Anatomia del fenomeno. Reati Informatici e Investigazioni Digitali 2a sess. Padova Muovendosi ai margini ....(Walking along the border of light side):   L'accesso al sito/server controllato dal criminale consente di: ➢Accedere al suo codice sorgente: ➢Determinare i tempi di creazione/modifica delle pagine; ➢Modificare le pagine di gestione credenziali per riceverne copia; ➢Individuare i destinatari; ➢Individuare file contenenti credenziali; ➢Inserire allert; ➢Acquisire le pagine installate o i kit compressi presenti; ➢Ricercare i logs di accesso alle pagine web; ➢Modificare il codice dei pannelli di gestione file per loggarne l'utilizzo; ➢Modificare il codice delle shell remote usate dai criminali per loggarne  l'utilizzo determinando le operazioni da loro svolte; Provocation
  56. 56.     www.denisfrati.it ­ denis.frati@cybercrimes.it ­ denis.frati@gmail.com Il Phishing: Anatomia del fenomeno. Reati Informatici e Investigazioni Digitali 2a sess. Padova Proseguire gli accertamenti:   Una volta determinati gli IP address da cui i criminali hanno operato o le mail  box sulle quali si sono fatti inviare le credenziali cosa si può fare? 1)Accertare la titolarità della connessione ad internet a cui era assegnato l'ip  noto nel momento (data/ora) noto, senza scordarsi: ➢Wireless non protetti;  ➢Ulteriori sistemi compromessi;  ➢Schede SIM intestate a terzi; 2)Accertamenti relativi alla registrazione ed agli accessi alla mail box (torna al  punto precedente); 3)Sequestro del contenuto del mail box e sua analisi; 4)Accertamenti volti ad identificare i beneficiari di:  ➢bonifici su conti correnti;  ➢bonifici su carte ricaricabili;  ➢ricarica credo schede SIM;  ➢acquisti on­line; 
  57. 57.     www.denisfrati.it ­ denis.frati@cybercrimes.it ­ denis.frati@gmail.com Il Phishing: Anatomia del fenomeno. Reati Informatici e Investigazioni Digitali 2a sess. Padova Difesa passiva da parte dell'ente:   L'ente può mettere in atto  ➢difese passive e procedurali, quali: ➢robuste forme di autorizzazione agli ordini; ➢Risorse web riservate a soggetti trusted (es.immagini, loghi, animazioni,  easy skp);  ➢Attività di monitoraggio volte a determinare l' attack spread: ➢Alias mail; ➢Referer extra nazionali; ➢Query risorse web (immagini, loghi, animazioni) extra­nazionali; A cui si aggiungono i già implementati meccanismi di analisi dei pagamenti  rispetto al profilo cliente e gli allert in base alla provenienza geografica  dell'ordine di pagamento (non implementato da tutti) 
  58. 58.     www.denisfrati.it ­ denis.frati@cybercrimes.it ­ denis.frati@gmail.com Il Phishing: Anatomia del fenomeno. Reati Informatici e Investigazioni Digitali 2a sess. Padova Incident response & Digital forensic:   Il titolare del server compromesso utilizzato dai criminali ➢Non può limitarsi a cancellare il kit; ➢Non può applicare la patch, chiudere il bug senza reinstallare e bonificare ➢Non può ripristinare un back­up senza averlo verificato; Pena il rischio di non liberare il sito/server dalla compromissione. L'analisi investigativa del sistema consentirà di: ➢Determinare la metodica di compromissione; ➢Determinare la vulnerabilità utilizzata, determinando la patch da applicare ➢Determinare l'istante della compromissione, individuando un istante pre  compromissione di cui ripristinare il back­up; ➢Raccogliere dati utili all'individuazione dei responsabili;
  59. 59.     Domande ?? Contatti: www.denisfrati.it  ­ denis.frati@gmail.com  www.denisfrati.it ­ denis.frati@cybercrimes.it ­ denis.frati@gmail.com Il Phishing: Anatomia del fenomeno. Reati Informatici e Investigazioni Digitali 2a sess. Padova

×