Phishing: anatomia del fenomeno

Il Phishing: anatomia del fenomeno
Reati Informatici e Investigazioni Digitali 2a sess.
Padova, Sabato 27 Novembre 2010
www.denisfrati.it denis.frati@cybercrimes.it denis.frati@gmail.com

Il Phishing: Anatomia del fenomeno. Reati Informatici e Investigazioni Digitali 2a sess. Padova
La realizzazione di un attacco di phishing necessita di una struttura complessa per
individuare vittime
e risorse ed accedere
alle stesse

Gli enti vittima sono ricercati tra quelli che non dispongono di sistemi di
autenticazione forti per l'autorizzazione all'esecuzione degli ordini
one time password;
sms;

Gli utenti vittima sono i destinatari dei messaggi di posta.
Gli indirizzi possono essere:
acquistati;
raccolti in rete;
creati;
verificati;

L'invio delle mail, veicolo dell' “infezione”, avviene attraverso:
➢ open relay, server di posta mal configurati;
➢ host/reti compromessi (zombi, open wireless);
➢ mailer script posizionati sui server compromessi;
Server compromesso
Script
Indirizzi mail
Corpo html mail
1 Struttura la mail 2 Spedisce la mail
Usando mail server presente
Lasciando traccia in mail log

Il KIT è composto dall'insieme di file (html, php, immagini, css,ecc..)
costituenti la struttura del falso sito e le pagine di gestione delle
credenziali. Può:
verificare la forma/sintassi di credenziali e dati inseriti;
inviare le credenziali via mail o scriverle su file locali o remoti;
implementare la selezione dei visitatori (ip permessi in .htaccess);
contenere parti offuscate;
contenere inganni al criminale che acquista il kit;
Solitamente viene uploadato in formato compresso (zip, tgz).
La sua presenza in sito rappresenta una risorsa per i buoni!

Il sito ospite può essere in:
➢ hosting gratuito (es. Altervista);
➢ hosting a basso costo (es. Yahoo);
➢ Violato:
➢Acquistato da cracker;
➢Ricercato con motori
➢Violato
➢Piattaforme violate:
ZenCart                  InnovaStudio                      Joomla
OsCommerce         Easy Content Manager      FreePBX/TrixBox
ZeroBoard              WordPress

La violazione delle piattaforme può avvenire:
➢ Causa errate configurazioni: Accesso a file manager;

➢ Causa errate configurazioni:
Accesso a pannelli di
amministrazione;

➢ Attraverso l'uso di exploit specifici:
➢ Php, perl, python;
➢ Ricercati in specifici database (OSVDB, National Vulnerability
DataBase , SecurityFocus, Secunia, Explit DataBase);
➢ Automatizzati da bot script (bot irc);

Phisher to do list:
individuato ente vittima;  fatto
raccolto indirizzi vittime;  fatto
trovato clone;  fatto
trovato server ospitante;  fatto
caricare kit;
decomprimerlo;
testarlo;
spedire le mail;
raccogliere le credenziali;

Modalità di lavoro prevista dal phisher

Le credenziali rubate possono essere:
inviate via mail al criminale; scritte su server remoti
scritte su file facenti parte del kit usate per login automatizzati

Il meccanismo
rodato
e funzionante

On the Light Side!
Gli utenti si accorgono della frode e denunciano presso sedi FFPP diverse
Q.Roma        CC.Domodossola     Com.to Casale       Cp.CC Monza         GdF Pisa              CC.Jesolo
Le notizie di reato sono inoltrate alle rispettive Procure/Procure distrettuali
Singoli fascicoli per singole denunce
Differenti procedimenti
Mancata percezione del disegno criminoso
Assenza di monitoraggio                  errata percezione                     vacuità dello
          accentrato                               gravità fenomeno                  sforzo investigativo

Se il nonno avesse le ruote ....                        (provocation)
Se la vittima si accorgesse tempestivamente dell'ammanco e
sporgesse subito denuncia...
Se non vi fosse carenza di personale FFPP con specifica preparazione
a ricevere la denuncia...
                                 ......potrebbe essere possibile acquisire info utili
Se vi fosse un monitoraggio ampio del fenomeno.…
Se vi fosse un accentramento dei dati raccolti....
Se fosse semplice unificare fascicoli e procedimenti si....
                                 ......avrebbe la misura della gravità del fenomeno,
evidenzierebbe l'ampio disegno criminoso,  riconoscerebbero i gruppi
operanti, individuerebbero le responsabilità per gli eventi.

Denunciare per:
➢ Rendere evidente il fenomeno;
➢ Individuare i responsabili;
➢ Rendere possibile la restituzione del sottratto;
➢ Disconoscere qualunque responsabilità;
Ritardi causati da:
➢ Tardiva individuazione dell'ammanco;
➢ Impossibilità primi accertamenti in fase denuncia;
➢ Tempi burocratici;
Si scontrano con la dinamicità del fenomeno!!
L'ente può integrare la denuncia con dati raccolti in proprio, secondo le
procedure e le metodologie idonee!

Denunciare:
➢ Presentando la mail per estrapolare il link presente e gli headers:
➢Copia della mail in formato digitale;
➢Stampa del codice sorgente della mail;
➢La stampa del messaggio non
serve a nulla;
➢ Cronologia di navigazione (sovente il link
della mail è un redirect, modificato più
volte nell'arco del giorno o della settimana)
..... ma la vita non è un film ......

Quali reati? (confronto)
Art 640 ter Cp – frode informatica:
“chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o
telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o
programmi contenuti in un sistema informatico o telematico o ad esso pertinenti,
procura a se o ad altri un ingiusto profitto con altrui danno, ....”
Reato comune, tentativo configurabile, procedibile a qurela di parte.
Richiede:
➢ Alterazione sistema informatico/telematico
➢ Intervento senza diritto su dati, informazioni, programmi contenuti su sistema
informatico/telematico

Art 640 Cp frode:
“Chiunque, con artifizi o raggiri, inducendo taluno in errore, procura a sé o ad altri un
ingiusto profitto con altrui danno, è punito ....”
Reato comune, tentativo configurabile, procedibile a querela di parte.

Art. 167 D.Lgs.n.196/2003 (Codice in materia di protezione dei dati personali)
Trattamento illecito di dati:
"1. Salvo che il fatto costituisca piu' grave reato, chiunque, al fine di trarne per se' o
per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali
in violazione di quanto disposto dagli articoli 18, 19, 23, 123, 126 e 130, ovvero in
applicazione dell'articolo 129, e' punito, se dal fatto deriva nocumento, con la
reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o
diffusione, con la reclusione da sei a ventiquattro mesi.
2. Salvo che il fatto costituisca piu' grave reato, chiunque, al fine di trarne per se' o
per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali
in violazione di quanto disposto dagli articoli 17, 20, 21, 22, commi 8 e 11, 25, 26, 27
e 45, e' punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni."

Art. 617 quater Cp Intercettazione, impedimento o interruzione illecita di
comunicazioni informatiche o telematiche
“Chiunque fraudolentamente intercetta comunicazioni relative ad un sistema
informatico o telematico o intercorrenti tra piu’ sistemi, ovvero le impedisce o le
interrompe, e’ punito con la reclusione da sei mesi a quattro anni. Salvo che il fatto
costituisca piu’ grave reato, la stessa pena si applica a chiunque rivela, mediante
qualsiasi mezzo di informazione al pubblico, in tutto o in parte, il contenuto delle
comunicazioni di cui al primo comma. I delitti di cui ai commi primo e secondo sono
punibili a querela della persona offesa. Tuttavia si procede d’ufficio .....”

Art. 617 sexies Cp Falsificazione, alterazione o soppressione del contenuto di
comunicazioni informatiche o telematiche:
“Chiunque, al fine di procurare a se’ o ad altri un vantaggio o di arrecare ad altri un
danno, forma falsamente ovvero altera o sopprime, in tutto o in parte, il contenuto,
anche occasionalmente intercettato, di taluna delle comunicazioni relative ad un
sistema informatico o telematico o intercorrenti tra piu’ sistemi, e’ punito, qualora ne
faccia uso o lasci che altri ne facciano uso,.....”

Art. 615 ter Cp – Accesso abusivo ad un sistema informatico o telematico:
“Chiunque, al fine di procurare a se’ o ad altri un vantaggio o di arrecare ad altri un
danno, forma falsamente ovvero altera o sopprime, in tutto o in parte, il contenuto,
anche occasionalmente intercettato, di taluna delle comunicazioni relative ad un
sistema informatico o telematico o intercorrenti tra più sistemi, e’ punito, qualora ne
faccia uso o lasci che altri ne facciano uso,.....”

Art. 615 quater Cp Detenzione e diffusione abusiva di codici di accesso a sistemi
informatici o telematici
“Chiunque, al fine di procurare a se’ o ad altri un profitto o di arrecare ad altri un
danno, abusivamente si procura, riproduce, diffonde, comunica o consegna codici,
parole chiave o altri mezzi idonei all’accesso ad un sistema informatico o telematico,
protetto da misure di sicurezza, o comunque fornisce indicazioni o istruzioni idonee
al predetto scopo, e’ punito...”

Art. 648 bis Cp Riciclaggio
“Fuori dei casi di concorso nel reato, chiunque sostituisce o trasferisce denaro, beni
o altre utilita’ provenienti da delitto non colposo, ovvero compie in relazione ad essi
altre operazioni in modo da ostacolare l’identificazione della loro provenienza
delittusa, e’ punito...”
Reato comune, procedibile d'ufficio.

Mi sento limitato!
L'attività investigativa soffre di alcuni limiti:
➢Tempistiche e dinamicità dei criminali;
➢Ubicazione extra territoriale degli host contenenti i file;
➢Ubicazione extra territoriale dei server di posta;
➢Cancellazione di file dagli host coinvolti (ISP e titolare sito/dominio);
➢Vincoli normativi per l'acquisizione di dati;
➢Vincoli normativi nell'uso delle shell remote;
➢Tempi di conservazione dei log: Art. 132. D.L 196/2003: Conservazione di dati di
traffico per altre finalità: “1. Fermo restando quanto previsto dall'articolo 123, comma 2, i dati relativi al
traffico telefonico sono conservati dal fornitore per ventiquattro mesi dalla data della comunicazione,
per finalità di accertamento e repressione dei reati, mentre, per le medesime finalità, i dati relativi al
traffico telematico, esclusi comunque i contenuti delle comunicazioni, sono conservati dal fornitore per
dodici mesi dalla data della comunicazione. ....”

Help me!
Art. 132. D.Lgs.n.196/2003 (Codice in materia di protezione dei dati personali)
Conservazione di dati di traffico per altre finalità
“4ter. Il Ministro dell'interno o, su sua delega, i responsabili degli uffici centrali specialistici in materia
informatica o telematica della Polizia di Stato, dell'Arma dei carabinieri e del Corpo della guardia di
finanza, nonchè gli altri soggetti indicati nel comma 1 dell'articolo 226 delle norme di attuazione, di
coordinamento e transitorie del codice di procedura penale, di cui al decreto legislativo 28 luglio 1989,
n. 271, possono ordinare, anche in relazione alle eventuali richieste avanzate da autorità investigative
straniere, ai fornitori e agli operatori di servizi informatici o telematici di conservare e proteggere,
secondo le modalità indicate e per un periodo non superiore a novanta giorni, i dati relativi al traffico
telematico, esclusi comunque i contenuti delle comunicazioni, ai fini dello svolgimento delle
investigazioni preventive previste dal citato articolo 226 delle norme di cui al decreto legislativo n. 271
del 1989, ovvero per finalità di accertamento e repressione di specifici reati. Il provvedimento,
prorogabile, per motivate esigenze, per una durata complessiva non superiore a sei mesi, può
prevedere particolari modalità di custodia dei dati e l'eventuale indisponibilità dei dati stessi da parte
dei fornitori e degli operatori di servizi informatici o telematici ovvero di terzi.”

Lavorando sul caso:
➢Analisi email:
➢Header;
➢Codice;
➢Instradamento verso il clone:
➢Redirect;
➢Alias;
➢DNS Dinamico;
➢Sito server ospitante il clone:
➢Localizzazione geografica;
➢Identificazione piattaforma possibile vulnerabilità;→
➢Individuazione dati di interesse (sorgenti, immagini, ecc..);
➢Analisi dei sorgenti;

Email: Headers
From Tue Nov 2 06:08:21 2010
Returnpath: <info@sparkasse.it>
Envelopeto: denis.frati@cybercrimes.it
Deliverydate: Tue, 02 Nov 2010 03:42:17 +0100
Received: from pippo.pluto.com.pl ([80.aa.bb.24])
by web5.seeyes.net with esmtp (Exim 4.69)
(envelopefrom <info@sparkasse.it>)
id 1PD6pA0004ZAEf
for denis.frati@cybercrimes.it; Tue, 02 Nov 2010 03:42:17 +0100
Received: from User ([82.xxx.yyy.138]) by pippo.pluto.com.pl with Microsoft SMTPSVC(6.0.3790.4675);
Mon, 1 Nov 2010 22:33:35 +0100
From: "Cassa di Risparmio di Bolzano S.p.A."<info@sparkasse.it>
Date: Mon, 1 Nov 2010 22.33.35 +0100
MIMEVersion: 1.0
ContentType: text/html;
charset="Windows1251"
ContentTransferEncoding: 7bit
XPriority: 3
XMSMailPriority: Normal
XMailer: Microsoft Outlook Express 6.00.2600.0000
XMimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
MessageID: <FRANEKDEqvHlnNSeawj00000bdd@pippo.pluto.com.pl>
XOriginalArrivalTime: 01 Nov 2010 21:33:36.0068 (UTC) FILETIME=[70CA1840:01CB7A0C]

Email: Codice corpo messaggio 1
<html>
<head>
<meta httpequiv="ContentType" content="text/html; charset=iso88591" />
<title>bper</title>
</head>
<body>
Il codice inserito e sospeso o bloccato per uno dei seguenti motivi: 
 * il codice e inattivo da almeno 3 mesi e quindi e stato sospeso per garantirLe un elevato livello di
sicurezza; 
 
 Per ripristinare l’operativita attiva subito il servizio Home Banking.
Clicca <a href="http://www.mehmetvehbibolak.k12.tr//images/sayfa/cosui.htm">qui</a>
per accedere al servizio di attivazione Home Banking.
© Cassa di Risparmio di Bolzano SpA
</body>
</html>

Email: Codice corpo messaggio 2
<Script Language='Javascript'>
<!
document.write(unescape('%3C%68%74%6D%6C%3E%0A%3C%68%65%61%64%3E%0A%20%20%20%20%20%20%3C
%6D%65%74%61%20%68%74%74%70%2D%65%71%75%69%76%3D%22%63%6F%6E%74%65%6E%74%2D
%74%79%70%65%22%20%63%6F%6E%74%65%6E%74%3D%22%74%65%78%74%2F%68%74%6D%6C%3B
%20%63%68%61%72%73%65%74%3D%75%74%66%2D%38%22%20%2F%3E%0A%20%20%3C%74%69%74%6C
%65%3E%42%61%6E%63%61%20%64%69%20%43%72%65%64%69%74%6F%20%43%6F%6F
%70%65%72%61%74%69%76%6F%20%7C%20%4C%6F%67%69%6E%3C%2F%74%69%74%6C%65%3E%0A%20%0A
%20%20%20%20%3C%6C%69%6E%6B%20%72%65%6C%3D%22%73%74%79%6C
cut cut cut cut cut cut
%20%0A%26%63%6F%70%79%3B%20%20%42%61%6E%63%68%65%20%64%69%20%43%72%65%64%69%74%6F
%20%43%6F%6F%70%65%72%61%74%69%76%6F%20%0A%3C%2F%74%64%3E%0A%20%0A%3C%2F
%66%69%65%6C%64%73%65%74%3E%0A%20%0A%20%20%0A%20%0A%3C%2F%54%41%42%4C%45%3E%20'));
//>
</Script>
Il codice così offuscato può essere messo in chiaro:
HTML/text/JavaSript Escaping/Encoding Script
(http://scriptasylum.com/tutorials/encodedecode.html)

Email: Codice corpo messaggio 2.2
Il codice così offuscato può essere messo in chiaro:
HTML/text/JavaSript Escaping/Encoding Script
(http://scriptasylum.com/tutorials/encodedecode.html)

Instradamento verso il clone: Redirect

Instradamento
verso il clone:
Alias &
Short Url

Instradamento verso il clone: DNS Dinamico
IP DINAMICO
xxx.yyy.zzz.wwa
xxx.yyy.zzz.wwb
eee.fff.ggg.hha
eee.ttt.kkk.llb
iii.uuu.mmm.qqa Pc con Server
Http – propone
Pagine clone
servizio
Dns dinamico
Nome host:
banca.ispdns.com
ISP servizio
DNS dinamico
DNS
banca.ispdns.com
=
Ip del momento
Refresh DNS
User
cerco banca.ispdns.com
Vai all'indirizzo IP $IP=(ip del momento)
visualizza
clone
sul borwser
investigatore traccia
IP <> nome host clone
dato/ora

Sito server ospitante il clone:
➢Localizzazione geografica;
➢Da terminale Ping, WhoIs, Dns, Host;
➢http://www.dnsstuff.com;
➢http://www.robtex.com;

➢Identificazione piattaforma possibile vulnerabilità;
➢Lettura sorgenti;
➢Particolari pagina (footer, titoli)
➢Url brute forcing;
➢Esplorazione directory

➢Individuazione dati di interesse:
➢File di redirect;
➢Shell remote;
➢Kit di sorgenti;
➢File di credenziali;
➢File di log;
➢Statistiche;
➢Immagini;
Il fine ultimo è la raccolta di informazioni, del maggior numero di informazioni!
➢Redirect > altri obbiettivi;
➢Shell remote > individuazione informazioni, intervento sul phishing
➢Kit >  dove cercare le credenziali, a chi sono inviate
➢Credenziali  >  interventi sugli account;
➢Log >  individuazione di chi opera
➢Statistiche > individuazione di shell remote

Sito server ospitante il clone: Individuazione dati di interesse – Redirect
Se il redirect seguito non è solo
individuiamo nuovi cloni
Spesso sono modificati dai criminali
per più giorni.
Il loro monitoraggio costante porta a
nuovi cloni

Sito server ospitante il clone: Individuazione dati di interesse – Shell remote

Sito server ospitante il clone: Individuazione dati di interesse – Shell remote
Spesso la sola visualizzazione della pagina porta ad individuare tempi (data/ora) in cui l'attacco
è partito, la presenza di altri clone, di sorgenti ed i loro possibili nomi.
Il loro utilizzo esteso è tuttavia di dubbia “sostenibilità” e liceità

Sito server ospitante il clone: Individuazione dati di interesse – Kit Sorgenti
Frequentemente il nome del file contenente il kit
Rispecchia quello di una delle directory in cui il clone è
Installato.
E' quindi possibile tentare una sorta di brute forcing
finalizzato alla sua individuazione.

Individuazione dati di interesse – Credenziali
➢Consente il blocco degli account;
➢L'identificazione delle probabili vittime
per querele di parte;
➢Talvolta riporta l'indirizzo IP della vittima e ....
Le prove di funzionamento svolte dal criminali …
quindi > suo IP ;
L'individuazione è semplificata dall'individuazione
e dall'analisi di Kit sorgenti e logs.
L'individuazione, acquisizione e gestione può
essere automatizzata.

Sito server ospitante il clone: Individuazione dati di interesse – Logs
In taluni casi si è verificata la possibilità di accedere
via browser agli access logs (merito di Edgar,
curatore di Edagar's Internet Tools
http://www.edetools.blogspot.com/ ) del sito clone.
Cio permette di individuare:
➢ip operanti in:
➢Creazione e test clone;
➢Download credenziali;
➢Presenza specifici file della
struttura:
➢Contenitori di credenziali;
➢Controllo e verifica;
➢Credenziali ricevute da remoto;
➢Redirect di arrivo.

Sito server ospitante il clone: Individuazione dati di interesse – Statistiche

Sito server ospitante il clone: Individuazione dati di interesse – Immagini

Strumenti utili:
Le dork con i motori di ricerca: consentono di individuare:
➢Shell remote;
➢Statistiche;
➢Logs;
➢Piattaforme web;
Gli operandi:
➢insite;
➢inurl;
➢intitle;
➢filetype;
Rappresentano una valida risorsa per l'investigatore, così come per il criminale
I termini di ricerca:
➢Index of;
➢upload;
➢file manager;
➢brute force;

➢powered by;
➢upload;
➢Termini specifici
piattaforma esaminata;

Strumenti utili:
Strumenti di enumerazione file e directory (o che svolgano anche tale funzione):
➢Wikto (su MS Win, non più mantenuto);
➢Nikto;
➢Dirbuster;
➢httpdirenum;
Operano con liste di nomi file/directory note, che l'investigatore può customizzare
in base ad esperienza e conoscenza della piattaforma in esame. Sono “rumorosi”

Strumenti utili:
Strumenti di riconoscimento piattaforma web e dei temi/plugin utilizzati che
potrebbero aver dato il fianco
all'uso di exploit noti:
➢WhatWeb;
➢Cmsexplorer;
Molti sono strumenti tipici
delle attività di pentesting
ed hacking. (Fare
riferimento al progetto
OWASP)

Strumenti utili:
Strumenti di acquisizione:
➢HashBot (il Principe );
➢Wget;
➢Curl;

Strumenti utili:
Strumenti di analisi log:
➢Glogg
(log explorer);
➢Grep;
➢Awk;

Kit dimeticati/abbandonati .... una risorsa:
L'analisi consente di individuare
➢la destinazione delle credenziali:
➢Le mail box dei criminali;
➢Host remoti (intervento presso ISP e titolari);
➢Password di accesso a pagine specifiche;
➢Metodiche di SKPing al controllo adottate dai criminali;
➢Metodiche di controllo credenziali implementate;
➢Indicazioni sulle entry da ricercare nei log
➢Host ospitanti i kit;
➢IP operanti;
➢Elementi comuni che consentano di riconoscere l'operato dei diversi gruppi
criminali e i realizzatori dei kit;

Muovendosi ai margini ....(Walking along the border of light side):
Esiste una netta differenza tra ciò che
materialmente/tecnicamente si può fare e ciò
che lecitamente si può fare.
Qual'è la scriminante?
➢Raccogliere le informazioni affinché siano
valide nell'aula di tribunale?
➢Raccogliere informazioni non valide in tribunale, ma utili allo svolgimento
delle indagini?
➢Proteggere gli utenti del servizio?
➢Incrinare la struttura criminale quando ISP, Manteiner e Titolari non
collaborano?
➢Non creare danno e disservizio a titolari ed utenti di servizi/siti/server
violati?
Provocation

Muovendosi ai margini ....(Walking along the border of light side):
L'accesso al sito/server controllato dal criminale consente di:
➢Accedere al suo codice sorgente:
➢Determinare i tempi di creazione/modifica delle pagine;
➢Modificare le pagine di gestione credenziali per riceverne copia;
➢Individuare i destinatari;
➢Individuare file contenenti credenziali;
➢Inserire allert;
➢Acquisire le pagine installate o i kit compressi presenti;
➢Ricercare i logs di accesso alle pagine web;
➢Modificare il codice dei pannelli di gestione file per loggarne l'utilizzo;
➢Modificare il codice delle shell remote usate dai criminali per loggarne
l'utilizzo determinando le operazioni da loro svolte;
Provocation

Proseguire gli accertamenti:
Una volta determinati gli IP address da cui i criminali hanno operato o le mail
box sulle quali si sono fatti inviare le credenziali cosa si può fare?
1)Accertare la titolarità della connessione ad internet a cui era assegnato l'ip
noto nel momento (data/ora) noto, senza scordarsi:
➢Wireless non protetti;
➢Ulteriori sistemi compromessi;
➢Schede SIM intestate a terzi;
2)Accertamenti relativi alla registrazione ed agli accessi alla mail box (torna al
punto precedente);
3)Sequestro del contenuto del mail box e sua analisi;
4)Accertamenti volti ad identificare i beneficiari di:
➢bonifici su conti correnti;
➢bonifici su carte ricaricabili;
➢ricarica credo schede SIM;
➢acquisti online;

Difesa passiva da parte dell'ente:
L'ente può mettere in atto
➢difese passive e procedurali, quali:
➢robuste forme di autorizzazione agli ordini;
➢Risorse web riservate a soggetti trusted (es.immagini, loghi, animazioni,
easy skp);
➢Attività di monitoraggio volte a determinare l' attack spread:
➢Alias mail;
➢Referer extra nazionali;
➢Query risorse web (immagini, loghi, animazioni) extranazionali;
A cui si aggiungono i già implementati meccanismi di analisi dei pagamenti
rispetto al profilo cliente e gli allert in base alla provenienza geografica
dell'ordine di pagamento (non implementato da tutti)

Incident response & Digital forensic:
Il titolare del server compromesso utilizzato dai criminali
➢Non può limitarsi a cancellare il kit;
➢Non può applicare la patch, chiudere il bug senza reinstallare e bonificare
➢Non può ripristinare un backup senza averlo verificato;
Pena il rischio di non liberare il sito/server dalla compromissione.
L'analisi investigativa del sistema consentirà di:
➢Determinare la metodica di compromissione;
➢Determinare la vulnerabilità utilizzata, determinando la patch da applicare
➢Determinare l'istante della compromissione, individuando un istante pre
compromissione di cui ripristinare il backup;
➢Raccogliere dati utili all'individuazione dei responsabili;

Domande ??
Contatti:
www.denisfrati.it denis.frati@gmail.com

Phishing: anatomia del fenomeno

Recommended

Recommended

More Related Content

Viewers also liked

Viewers also liked (17)

Similar to Phishing: anatomia del fenomeno

Similar to Phishing: anatomia del fenomeno (20)

More from denis frati

More from denis frati (10)

Phishing: anatomia del fenomeno