Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Phishing - Analisi, Simulazione e Contromisure

1,024 views

Published on

Tutti noi riceviamo almeno quotidianamente e-mail (e non solo) con il chiaro intento di rubarci le credenziali di accesso alla nostra vita digitale, che sia il conto corrente online, piuttosto che l’account social e così via.
Questo è il phishing, una truffa che come ogni tecnologia umana si sta evolvendo e questa serata ha come obbiettivo quello di spiegare in maniera chiara e precisa che cos’è, come funziona e come possiamo difenderci.
Vedremo anche con esempi pratici, come già avvenuto per la serata sul penetration test, esattamente come si può svolgere una campagna di phishing, quali sono gli attori coinvolti, un esempio di infrastruttura e come poter tutelarci da questi attacanti.
Andrea oltre ad essere un componente attivo nella comunità open-source attraverso la partecipazione al progetto BackBox ed ImoLUG, fa anche parte di D3Lab un’azienda che si occupa principalmente di contrasto al phishing con ottimi risultati.

Published in: Internet

Phishing - Analisi, Simulazione e Contromisure

  1. 1. Phishing Analisi Simulazione Contromisure 24.02.2017 - FoLUG - Andrea Draghetti
  2. 2. $ whoami Phishing Analysis and Contrast @ D3Lab Team Member @ BackBox Linux
  3. 3. Table of Contents 01 Introduzione al Phishing No, non vi sto portando al laghetto di pesca! 02 Storia e Statistiche Rolex, Casinò, Smartphone e Bella Vita! 03 Simulazione Io e il presidente ci ripaghiamo la pizza! 04 Contromisure Vi insegno a spegnere il PC!
  4. 4. Il phishing è un tipo di truffa effettuata su Internet attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso, fingendosi un ente affidabile in una comunicazione digitale.
 
 Si tratta di una attività illegale che sfrutta una tecnica di ingegneria sociale. {WikiPedia} Phishing
  5. 5. Phishing Types La massa Con una grande rete, qualche pesce prenderò… Al 91% ferisce! Studio l’obiettivo e lo colpisco, ferendolo! Cambio solo l’IBAN… La tecnica perfetta per un Man in the Mail. Caccia alla Balena Il Manager è il mio obiettivo! Spear Phishing Clone 
 Phishing Whaling Phishing
  6. 6. Direttamente o Indirettamente l’obiettivo è uno solo! ARRICCHIRSI!
  7. 7. Qualche tecnica… PHP Firewall Target su base IP, No Bot, Tor, VPN, etc Path Random Per ogni visitatore un URL diverso Domini Ad-Hoc Così inganno meglio la vittima Phishing via SMS Il destinatario non percepisce il pericolo Lucchetto Verde I certificati SSL sono ormai gratuiti! OTP No Problem Intanto me lo fornisce la vittima… Multilingua Il clone si adatta all’origine della vittima. Lucchetto Verde I certificati SSL sono ormai gratuiti!
  8. 8. PHP Firewall
  9. 9. Multilingua
  10. 10. Path Random
  11. 11. Domini Ad-Hoc http://account-resolved-noticed.com http://confirmation-securley.com http://incpaypallimit.com http://overview-account.com http://peypal-secure-account.ml http://resolved-access.com http://settingpaypal.com http://spoof-verifications.com http://wwww.pay-pal.cash http://verification-sign.in http://www-paypal-com-apps.party http://www.paypal-365.biz http://www.paypal-365.com http://www.paypal-365.info http://www.paypal-365.online https://cgi-servicescenter.com/ https://resolve-verify.com https://validation-customer.org https://ww.vv-paypal.com https://www.payapl-billing.com https://www.validation.reviews Domain Name: pay-pal.cash Registrant Name: Contact Privacy Inc. Customer Registrant Organization: Contact Privacy Inc. Customer Registrant Street: 96 Mowat Ave Registrant City: Toronto Registrant State/Province: ON Registrant Postal Code: M4K 3K1 Registrant Country: CA Registrant Phone: +1.4165385487 Registrant Phone Ext: Registrant Fax: Registrant Fax Ext: Registrant Email: acdsgztowsrl@contactprivacy.email
  12. 12. Domini Ad-Hoc
 (Poste Italiane - Registrati a Febbraio 2017) poste.xyz poste.press poste.group posta.online postebonus.com mobilposta.biz banco-posta.com postepayotp.com pay-postepay.com iltuopostepay.eu unlock-posta.com my-bancoposta.com bancoposta-spa.it postepay-2pay.com posta-online.info posteevolution.com postepayitalia.net italianeposte.info securelogposta.com myposte-bposta.biz authentication.bid myposte-bposta.info servizio-poste.site posteitaliabonus.com posteitaliane.online posteitaliane.center evolutionpostepay.com verificavagliapostale.com posteitalianeverifica.com certificazione-conto-poste-spa.it posteitaliane-security-postepay.it Domain: bancoposta-spa.it Status: pendingDelete / redemptionPeriod Created: 2017-02-10 21:25:13 Last Update: 2017-02-22 15:17:06 Expire Date: 2018-02-10 Registrant Organization: FEDERICO LEMORE Address: via barbieri 10 MILANO 20136 MI IT Created: 2017-02-10 21:25:12 Last Update: 2017-02-10 21:25:12
  13. 13. Phishing via SMS (dati week 8, 2017)
  14. 14. Certificato SSL (il lucchetto)
  15. 15. Verifica Credenziali Vengono verificate le credenziali ed estratti dal sito autentico le informazioni necessarie per rendere più attendibile la truffa. In questo caso: Nome Intestatario Carta Saldo Ultimo Accesso
  16. 16. Codice OTP Il finto sito richiede all’utente il codice OTP Il Phisher dal C&C gestisce o richiede dati all’utente
 
 Un kit completamente interattivo
  17. 17. Non solo banche Non solo le banche sono coinvolte in attacchi di Phishing, ma altri enti come: • Operatori Telefonici • Operatori Energetici • Cloud Service • Caselle eMail • Grandi Produttori • Assicurazioni Sanitarie o Previdenziali • Trasporti • Televisivo
  18. 18. TIM Falsa promozione in cambio della carta di credito…
  19. 19. Apple Riattiva l’account per scaricare le Applicazioni, ma fornisci la Carta di Credito…
  20. 20. Libero Mail Sfrutto la tua caselle per inviare nuove eMail di Phishing, ma scopro anche nuovi indirizzi di posta elettronica!
  21. 21. Alitalia Buono di 80euro sul tuo prossimo volo Alitalia, te lo accreditano sulla Carta di Credito…
  22. 22. Aruba Ti rubano il dominio, magari le eMail…ma sicuramente ne traggono un profitto!
  23. 23. Hera Falso Rimborso…e sempre Carta di Credito!
  24. 24. Mediaworld Sì è Phishing, non una tradizionale truffa online. 
 Lo scopo è ottenere i dati della Carta di Credito…
  25. 25. Adobe Con i servizi Cloud di Adobe un account può essere rivenduto o rivenduti i progetti riservati!
  26. 26. Netflix
  27. 27. Phishing Map20 Febbraio 2017 https://www.d3lab.net/phishing-map/
  28. 28. Report mondiale dei casi unici di Phishing 0 400.000 800.000 1.200.000 1.600.000 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016* Fonte: Anti-Phishing Working Group - Dati 2016 provvisori
  29. 29. Report Italiano dei casi unici di Phishing 0 4.000 8.000 12.000 16.000 2012 2013 2014 2015 2016 Segnalazioni Carte di Credito Recuperate Fonte: D3Lab
  30. 30. Principali Enti Italiani Colpiti (2012-2016) Fonte: D3Lab 0 1000 2000 3000 4000 Poste Italiane PayPal Italia Cartasì Apple Italia Intesa S.Paolo Visa
  31. 31. Principali Carte Recuperate (2014-2016) Fonte: D3Lab 0 2750 5500 8250 11000 Poste Italiane Cartasì Unicredit Intesa S.Paolo PayPal Prepag. UBI
  32. 32. Il caso Poste Italiane (2014-2016) 0 2.000 4.000 6.000 8.000 2014 2015 2016 Segnalazioni Carte di Credito Recuperate Fonte: D3Lab
  33. 33. Phisher Team Progettista Studia l’attacco.. Cracker Va a caccia di siti insicuri! Spammer Lo casella dello SPAM è il suo problema! Cash-out Si guarda le spalle mentre preleva!
  34. 34. https://youtu.be/uZFwdo8sZ4U Individua il target e studia il kit perfetto per ingannare le vittime! Progettista
  35. 35. Cerca domini vulnerabili che possano ospitare il sito clone Cracker Frederic Jacobs http://bit.ly/2mfXN31
  36. 36. https://youtu.be/Gv85UhMDlgY Individua le eMail delle vittime e studia il metodo di invio Spammer
  37. 37. Ha il compito di convertire in moneta reale i soldi sottratti! Cash Out Sascha Kohlmann http://bit.ly/2l1hNGj
  38. 38. Quanto “guadagna” un Phisher?
  39. 39. Nel giro di due anni, Maksik aveva venduto a Hakim i dati di 28mila carte di credito con un valore di “cash out” intorno ai 10 milioni di dollari. Mafia.com
  40. 40. Le carte di credito Italiane nel DarkWeb sono le più care: 13,50$ l’una! 
 Poiché le contestazioni (ChargeBack) sono lente e vengono accettate da molteplici servizi!
  41. 41. La simulazione vuole ricreare parzialmente l’attività di una vittima su due diversi siti di Phishing e con due vettori distinti. In questa simulazione non verrà memorizzato alcun dato sensibile e al termine della presentazione tutti i dati (compresi i log) verranno eliminati dal server.
 Potrete anche voi simulare di essere una vittima dal vostro Computer, Tablet o Smartphone e assieme analizzeremo i falsi siti. Simuleremo due attacchi di Phishing via SMS e tramite eMail. Simulazione
  42. 42. Vodafone You ti regala 5Gb di traffico internet. Effettua una ricarica entro il 28 Febbraio e potrai navigare con ulteriori 5Gb per 30giorni. Visita http://vodafoneyou.it SMS Phishing
  43. 43. eMail Phishing http://bit.ly/FoLugPhishing
  44. 44. Per Concludere Il buon senso! Date le chiavi di casa a tutti? Nel dubbio? Ignorate! HTTPS, OTP, ecc ecc La tecnologia non aiuta se l’utente è distratto! Qualche accorgimento.. Impariamo ad usare la tecnologia a nostro favore!
  45. 45. eMail Phishing (arriva da un server Aruba ma non era di PayPal?!) (Plugin MailHops per Thunderbird)
  46. 46. VirusTotal (non solo per Malware ma anche per Phishing)
  47. 47. VirusTotal (non solo per Malware ma anche per Phishing)
  48. 48. PhishTank (cerca e segnala Phishing)
  49. 49. SSL Con Autenticazione Del Dominio
  50. 50. Social Network
  51. 51. Thank You Andrea Draghetti I materiali e i contenuti delle slide sono protetti da licenza CC BY-NC 3.0

×