Talk sulle frodi online, dallo spam al phishing passando per lo scam, sextortion e la diffusione di malware. Scopriamo le principali frodi online simulando anche una campagna di phishing tramite GoPhish e analizziamo come difenderci.
2. WHOAMI
+ Phishing Analysis and Contrast @ D3Lab
+ Python Developer
Matteo Flora
+ Team Member @ BackBox Linux
Andrea Draghetti
I T I A L D I N I V A L E R I A N I - 1 0 F E B B R A I O 2 0 2 1 - A N D R E A D R A G H E T T I
4. SPAM
I T I A L D I N I V A L E R I A N I - 1 0 F E B B R A I O 2 0 2 1 - A N D R E A D R A G H E T T I
Lo spam (o spamming) indica l'invio anche verso indirizzi generici, non
verificati o sconosciuti, di messaggi ripetuti ad alta frequenza o a
carattere di monotematicità tale da renderli indesiderati (generalmente
commerciali o offensivi).
{Wikipedia}
5. SPAM
I T I A L D I N I V A L E R I A N I - 1 0 F E B B R A I O 2 0 2 1 - A N D R E A D R A G H E T T I
6. SCAM
I T I A L D I N I V A L E R I A N I - 1 0 F E B B R A I O 2 0 2 1 - A N D R E A D R A G H E T T I
7. SCAM
I T I A L D I N I V A L E R I A N I - 1 0 F E B B R A I O 2 0 2 1 - A N D R E A D R A G H E T T I
8. ECOMMERCE
I T I A L D I N I V A L E R I A N I - 1 0 F E B B R A I O 2 0 2 1 - A N D R E A D R A G H E T T I
9. SEXTORTION
I T I A L D I N I V A L E R I A N I - 1 0 F E B B R A I O 2 0 2 1 - A N D R E A D R A G H E T T I
10. Il Phishing è un tipo di truffa effettuata su Internet attraverso la quale
un malintenzionato cerca di ingannare la vittima convincendola a
fornire informazioni personali, dati finanziari o codici di accesso,
fingendosi un ente affidabile in una comunicazione digitale.
{Wikipedia}
PHISHING
I T I A L D I N I V A L E R I A N I - 1 0 F E B B R A I O 2 0 2 1 - A N D R E A D R A G H E T T I
11. TIPOLOGIA PHISHING
I T I A L D I N I V A L E R I A N I - 1 0 F E B B R A I O 2 0 2 1 - A N D R E A D R A G H E T T I
La massa
Con una grande rete,
qualche pesce prenderò…
Al 91% ferisce!
Studio l’obiettivo e lo
colpisco, ferendolo!
Cambio solo l’IBAN…
La tecnica perfetta per un
Man in the Mail.
Caccia alla Balena
Il CEO è l’obiettivo!
Spear Phishing
Clone Phishing
Whaling
Phishing
BEC
Impersona il CEO!
Business Email Compromise
12. STATISTICHE
400000
800000
1200000
1600000
2008 2009 2010 2011 2012 2013 2014 2015 2016 2017 2018 2019
Number of unique phishing e-mail reports
Number of unique phishing web sites
Fonte: Anti-Phishing Working Group
I T I A L D I N I V A L E R I A N I - 1 0 F E B B R A I O 2 0 2 1 - A N D R E A D R A G H E T T I
14. STATISTICHE
Countries targeted by malicious mailings
Fonte: Securelist
I T I A L D I N I V A L E R I A N I - 1 0 F E B B R A I O 2 0 2 1 - A N D R E A D R A G H E T T I
15. STATISTICHE
I T I A L D I N I V A L E R I A N I - 1 0 F E B B R A I O 2 0 2 1 - A N D R E A D R A G H E T T I
Rating of categories of organizations attacked by phishers
Fonte: Securelist
22. TARGET
I T I A L D I N I V A L E R I A N I - 1 0 F E B B R A I O 2 0 2 1 - A N D R E A D R A G H E T T I
FINANZIARIO
LOGIN
MALWARE
23. TARGET FINANZIARIO
I T I A L D I N I V A L E R I A N I - 1 0 F E B B R A I O 2 0 2 1 - A N D R E A D R A G H E T T I
24. TARGET FINANZIARIO
I T I A L D I N I V A L E R I A N I - 1 0 F E B B R A I O 2 0 2 1 - A N D R E A D R A G H E T T I
25. TARGET LOGIN
I T I A L D I N I V A L E R I A N I - 1 0 F E B B R A I O 2 0 2 1 - A N D R E A D R A G H E T T I
26. TARGET LOGIN
I T I A L D I N I V A L E R I A N I - 1 0 F E B B R A I O 2 0 2 1 - A N D R E A D R A G H E T T I
27. TARGET MALWARE
I T I A L D I N I V A L E R I A N I - 1 0 F E B B R A I O 2 0 2 1 - A N D R E A D R A G H E T T I
28. PHISHER TEAM
I T I A L D I N I V A L E R I A N I - 1 0 F E B B R A I O 2 0 2 1 - A N D R E A D R A G H E T T I
Phisher
Team
Progettista
Studia l’attacco..
Spammer
Lo casella dello SPAM è il suo
problema!
Cash-out
Si guarda le spalle mentre
preleva!
29. PHISHER TEAM PROGETTISTA
I T I A L D I N I V A L E R I A N I - 1 0 F E B B R A I O 2 0 2 1 - A N D R E A D R A G H E T T I
Individua il target e studia il kit perfetto per ingannare le vittime!
Frederic Jacobs http://bit.ly/2mfXN31
30. PHISHER TEAM SPAMMER
I T I A L D I N I V A L E R I A N I - 1 0 F E B B R A I O 2 0 2 1 - A N D R E A D R A G H E T T I
Individua le eMail delle vittime e studia il metodo di invio
https://youtu.be/Gv85UhMDlgY
31. PHISHER TEAM CASH OUT
I T I A L D I N I V A L E R I A N I - 1 0 F E B B R A I O 2 0 2 1 - A N D R E A D R A G H E T T I
Ha il compito di convertire in moneta reale i soldi sottratti!
32. 💵 💶 💵 💶
I T I A L D I N I V A L E R I A N I - 1 0 F E B B R A I O 2 0 2 1 - A N D R E A D R A G H E T T I
Quanto “guadagna” un Phisher?
33. 💵 💶 💵 💶
I T I A L D I N I V A L E R I A N I - 1 0 F E B B R A I O 2 0 2 1 - A N D R E A D R A G H E T T I
Nel giro di due anni,
Maksik aveva venduto a
Hakim i dati di 28mila
carte di credito con un
valore di “cash out”
intorno ai 10 milioni di
dollari.
34. 💵 💶 💵 💶
I T I A L D I N I V A L E R I A N I - 1 0 F E B B R A I O 2 0 2 1 - A N D R E A D R A G H E T T I
35. 💵 💶 💵 💶
I T I A L D I N I V A L E R I A N I - 1 0 F E B B R A I O 2 0 2 1 - A N D R E A D R A G H E T T I
27 Gennaio 2021
https://youtu.be/_BLOmClsSpc
36. 🚨 🚔 👮
I T I A L D I N I V A L E R I A N I - 1 0 F E B B R A I O 2 0 2 1 - A N D R E A D R A G H E T T I
Maksym "Maksik" Yastremski è stato condannato
a trent'anni da un tribunale turco.
37. 🚨 🚔 👮
I T I A L D I N I V A L E R I A N I - 1 0 F E B B R A I O 2 0 2 1 - A N D R E A D R A G H E T T I
38. CODICE PENALE ART. 640 C.P.
I T I A L D I N I V A L E R I A N I - 1 0 F E B B R A I O 2 0 2 1 - A N D R E A D R A G H E T T I
Si configura il reato di truffa (art. 640 c.p.) quando taluno, con artifizi o
raggiri, inducendo qualcuno in errore, procura a sé o ad altri un ingiusto
profitto con altrui danno. La truffa è punita con la reclusione da sei mesi a
tre anni e con la multa da euro 51 a euro 1.031.
La pena è della reclusione da due a sei anni e della multa da euro 600 a
euro 3.000 se il fatto è commesso con furto o indebito utilizzo dell’identità
digitale in danno di uno o più soggetti.
39. CODICE PENALE ART. 615-TER
I T I A L D I N I V A L E R I A N I - 1 0 F E B B R A I O 2 0 2 1 - A N D R E A D R A G H E T T I
Chiunque abusivamente si introduce in un sistema informatico o
telematico protetto da misure di sicurezza ovvero vi si mantiene contro la
volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la
reclusione fino a tre anni.
40. CODICE PENALE ART. 81
I T I A L D I N I V A L E R I A N I - 1 0 F E B B R A I O 2 0 2 1 - A N D R E A D R A G H E T T I
È punito con la pena che dovrebbe infliggersi per la violazione più grave
aumentata sino al triplo chi con una sola azione od omissione viola diverse
disposizioni di legge ovvero commette più violazioni della medesima
disposizione di legge.
41. LA MIGLIOR DIFESA È LA FORMAZIONE
I T I A L D I N I V A L E R I A N I - 1 0 F E B B R A I O 2 0 2 1 - A N D R E A D R A G H E T T I
Si possono investire milioni di dollari per i
propri software, per l’hardware delle proprie
macchine e per dispositivi di sicurezza
all’avanguardia, ma se c’è anche solo un unico
dipendente della nostra azienda che può
essere manipolato con un attacco di ingegneria
sociale, tutti i soldi investiti saranno stati inutili.
{Kevin Mitnick}
43. GOPHISH
I T I A L D I N I V A L E R I A N I - 1 0 F E B B R A I O 2 0 2 1 - A N D R E A D R A G H E T T I
Gophish è un phishing framework Open Source che permette di
simulare campagne di Phishing
Consente l’invio delle email fraudolente, la creazione della finta
pagina web che dovrà carpire le informazioni sensibili e di monitorare
la campagna
Ottimo per simulare una campagna di Phishing e individuare le
persone più vulnerabili e da formare
Gophish è uno strumento multi piattaforma, sviluppato in Go,
utilizzabile su Linux, MacOS e Windows
44. GOPHISH - STEP
I T I A L D I N I V A L E R I A N I - 1 0 F E B B R A I O 2 0 2 1 - A N D R E A D R A G H E T T I
STEP 1: configurazione di un account mittente (SMTP server)
STEP 2: creazione della phishing mail
STEP 3: creazione della phishing page
STEP 4: avvio della campagna
STEP 5: monitoraggio real-time e report finale
45. GOPHISH SIMULAZIONE
Simuliamo una campagna di phishing ai danni dell’utente Mario
il quale giornalmente sfrutta il Social Network Instagram.
Con l’intento di dimostragli che può essere una facile vittima
di una campagna di phishing.
⚠ Azione Dimostrativa ⚠
I T I A L D I N I V A L E R I A N I - 1 0 F E B B R A I O 2 0 2 1 - A N D R E A D R A G H E T T I
46. BEST PRACTICES
Non aprire link/allegati contenuti in email provenienti da sconosciuti
Non fornire informazioni sensibili a chi vi contatta di persona, via mail o social
Porre attenzione a:
• Domini non correlati con le aziende che inviano messaggi
• Errori ortografici
• Sequenza di simboli random nell’indirizzo internet
• Simboli provenienti da altre lingue simili all’alfabeto latino
I T I A L D I N I V A L E R I A N I - 1 0 F E B B R A I O 2 0 2 1 - A N D R E A D R A G H E T T I
47. VERIFICA LINK O ALLEGATI
https://www.virustotal.com/
I T I A L D I N I V A L E R I A N I - 1 0 F E B B R A I O 2 0 2 1 - A N D R E A D R A G H E T T I
49. PHISHING FINANZIARIO ALLO STATO DELL’ARTE
I T I A L D I N I V A L E R I A N I - 1 0 F E B B R A I O 2 0 2 1 - A N D R E A D R A G H E T T I
50. PHISHING FINANZIARIO ALLO STATO DELL’ARTE
I T I A L D I N I V A L E R I A N I - 1 0 F E B B R A I O 2 0 2 1 - A N D R E A D R A G H E T T I
51. PHISHING FINANZIARIO ALLO STATO DELL’ARTE
I T I A L D I N I V A L E R I A N I - 1 0 F E B B R A I O 2 0 2 1 - A N D R E A D R A G H E T T I
52. CONCLUSIONE
Photo by NeONBRAND on Unsplash
I T I A L D I N I V A L E R I A N I - 1 0 F E B B R A I O 2 0 2 1 - A N D R E A D R A G H E T T I
53. CONCLUSIONE
This presentation is licensed under a Creative Commons Attribution 4.0 International License.
I T I A L D I N I V A L E R I A N I - 1 0 F E B B R A I O 2 0 2 1 - A N D R E A D R A G H E T T I