際際滷

際際滷Share a Scribd company logo

Phishing: One Shot Many Victims

Andrea Draghetti
Andrea Draghetti

Ad HackInBo Spring Edition 2017 parliamo di Phishing Bancario, i principali enti Italiani colpiti di una importante operazione condotta dalle Polizie Italiane che ha permesso di interrompere una campagna di Phishing durata 6 mesi che ha permesso di truffare 1,8milioni di euro. E dei problemi alle vie urinarie... :D

1 of 51
Downloaded 27 times
06.05.2017 - Andrea Draghetti PHISHING: ONE SHOT, MANY VICTIMS!
$ whoami Phishing Analysis and Contrast @ D3Lab Team Member @ BackBox Linux
Phishing Il Phishing 竪 un tipo di truffa effettuata su Internet attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati 鍖nanziari o codici di accesso, 鍖ngendosi un ente af鍖dabile in una comunicazione digitale. {Wikipedia}
Che cos竪 il Phishing? Un problema delle vie urinarie Un tentativo di frode ? % ? % Fonte: http://www.today.it/poll/ad_ecostore_03 - Sondaggio presente dal 27 Ottobre 2016
Che cos竪 il Phishing? Un problema delle vie urinarie Un tentativo di frode 46 % 54 % Fonte: http://www.today.it/poll/ad_ecostore_03 - Sondaggio presente dal 27 Ottobre 2016
Statistiche Internazionali 0 400.000 800.000 1.200.000 1.600.000 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 Fonte: Anti-Phishing Working Group Siti internet univoci rilevati in attivit di Phishing
Statistiche Italiane 0 2.750 5.500 8.250 11.000 2012 2013 2014 2015 2016
Principali Enti Italiani Colpiti 0 1000 2000 3000 4000 Poste Italiane PayPal Italia Cartas狸 Apple Italia Intesa S.Paolo Visa (2012-2016)
Cashout su INPS Card Indagine Forze di Polizia 1,5 milioni euro + 280 mila euro Marzo 2017
Phishing as a Service
Phishing as a Service
Phishing as a Service
Diffusione: eMail
Diffusione: SMS
Diffusione: Ads http://blog.kraken.com/post/148976188862/kraken-phishing-warning
Tecniche: Random Path Sottodomini e Sottodirectory random per evitare le BlackList http://www.chebancait.random.azaklarodunkofte.com/wps/portal/Istituzionale/ http://www.ingdirect.it.random.demosearchgtallsports.com/.ingdirectrandom/ http://www.postepay.it.random.it.iliel.xyz/agg/random/
Tecniche: Shorturl e Redirect http://adf.ly/1mRu8u?random? http://www.megaline.co/Alhv9?random? http://random.totnuw.for-our.info?random? http://postesecurelogin.posta.it.bancaposta.foo- autenticazione.random.lopamuser.for-our.info/hescientiststravelled/ ontworesearchvessels/almostkilometresfrom/ichangtothenearbyhree/ login鍖le/
Tecniche: Shorturl e Redirect https://www.google.no/url? sa=t&rct=j&q=&esrc=/slideshow/phishing-one-shot-many-victims/75754138/s&source=web&cd=2&cad=rja&uact=8&ved=0ahUKEwi mx4fKnbPTAhWCiywKHYjHCWgQFggwMAE&url=http:// www.ags.itesm.mx/inscripciones/ &usg=AFQjCNGOANaZ8ewUjshair7YIZTzeCq7yA
Tecniche: Shorturl e Redirect
Tecniche: Filtri GeoIP
Tecniche: Certi鍖cati SSL
Tecniche: Upload Documenti
Tecniche: Typosquatting e Dominii Dedicati http://account-resolved-noticed.com http://confirmation-securley.com http://incpaypallimit.com http://overview-account.com http://peypal-secure-account.ml http://resolved-access.com http://settingpaypal.com http://spoof-verifications.com http://wwww.pay-pal.cash http://verification-sign.in http://www-paypal-com-apps.party http://www.paypal-365.biz http://www.paypal-365.com http://www.paypal-365.info http://www.paypal-365.online https://cgi-servicescenter.com/ https://resolve-verify.com https://validation-customer.org https://ww.vv-paypal.com https://www.payapl-billing.com https://www.validation.reviews Domain Name: pay-pal.cash Registrant Name: Contact Privacy Inc. Customer Registrant Organization: Contact Privacy Inc. Customer Registrant Street: 96 Mowat Ave Registrant City: Toronto Registrant State/Province: ON Registrant Postal Code: M4K 3K1 Registrant Country: CA Registrant Phone: +1.4165385487 Registrant Phone Ext: Registrant Fax: Registrant Fax Ext: Registrant Email: acdsgztowsrl@contactprivacy.email
Tecniche: Typosquatting e Dominii Dedicati bposte.it payposta.it posteita.biz postepaya.info posterdir.info bancoposte.info bancuoposta.biz bancuoposta.com mypostalert.com postepay.eu.com bancopostait.com bancuoposta.info postedmailer.com posteevolution.eu posteevolution.net pposteevolution.com postepay-login-spa.it sicurezzaposteweb.net poste-verification.com sicurezzaposteweb.info contoposteevolution.com bancoposta-spa-certifica.it Domain: bancoposta-spa-certifica.it Status: ok Created: 2017-04-19 16:25:39 Last Update: 2017-04-19 16:51:59 Expire Date: 2018-04-19 Registrant Organization: FILIPPO POLINO Address: via filangieri 13 ROMA 00118 RM IT Created: 2017-04-19 16:25:38 Last Update: 2017-04-19 16:25:38 (Poste Italiane - Registrati a Aprile 2017)
Tecniche: DNS Fast Flux https://en.wikipedia.org/wiki/Fast_鍖ux
Tecniche: Real Time Cloning Vengono verificate le credenziali ed estratte le informazioni necessarie dal sito autentico per rendere pi湛 attendibile la truffa. In questo caso: Nome Intestatario Carta Saldo Ultimo Accesso
Tecniche: Command and Control
Tecniche: Command and Control
Tecniche: Command and Control
Dove viene ospitato il Phishing CMS Vulnerabili (Wordpress, Joomla, Drupal, ecc) Hosting (Spazio web acquistato) Virtual or Dedicated Server (acquistati o vulnerabili)
Non solo banche 0 500 1000 1500 2000 Provider TLC Servizi Web Operatori Energetici Gioco d'Azzardo (2012-2016)
Operatori Telefonici
Provider
Compagnie Aeree
Servizi
Operatori Energetici
Operatori Energetici
Shopping
Intrattenimento
Darknet
Darknet
Social Network
Social Network
Social Network
Social Network
Social Network
Social Network
Simulazione hackinbo.it - hacklnbo.it Easter Egg: random@hackinbo.it
Simulazione Dati Acquisiti per Utente: Nominativo eMail User Agent Browser User Agent Client Posta Elettronica IP Localizzazione (approssimativa) Realizzazione Campagne Ad-Hoc
Simulazione 249 eMail e Nominativi 78 Device Android 26 Device iPhone 5 Device iPad 119 Browser Chrome 56 Browser FireFox 50 Browser Safari
Q&A I materiali e i contenuti delle slide sono protetti da licenza CC BY-NC 3.0

More Related Content

Phishing: One Shot Many Victims

  • 1. 06.05.2017 - Andrea Draghetti PHISHING: ONE SHOT, MANY VICTIMS!
  • 2. $ whoami Phishing Analysis and Contrast @ D3Lab Team Member @ BackBox Linux
  • 3. Phishing Il Phishing 竪 un tipo di truffa effettuata su Internet attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati 鍖nanziari o codici di accesso, 鍖ngendosi un ente af鍖dabile in una comunicazione digitale. {Wikipedia}
  • 4. Che cos竪 il Phishing? Un problema delle vie urinarie Un tentativo di frode ? % ? % Fonte: http://www.today.it/poll/ad_ecostore_03 - Sondaggio presente dal 27 Ottobre 2016
  • 5. Che cos竪 il Phishing? Un problema delle vie urinarie Un tentativo di frode 46 % 54 % Fonte: http://www.today.it/poll/ad_ecostore_03 - Sondaggio presente dal 27 Ottobre 2016
  • 6. Statistiche Internazionali 0 400.000 800.000 1.200.000 1.600.000 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 Fonte: Anti-Phishing Working Group Siti internet univoci rilevati in attivit di Phishing
  • 8. Principali Enti Italiani Colpiti 0 1000 2000 3000 4000 Poste Italiane PayPal Italia Cartas狸 Apple Italia Intesa S.Paolo Visa (2012-2016)
  • 9. Cashout su INPS Card Indagine Forze di Polizia 1,5 milioni euro + 280 mila euro Marzo 2017
  • 10. Phishing as a Service
  • 11. Phishing as a Service
  • 12. Phishing as a Service
  • 16. Tecniche: Random Path Sottodomini e Sottodirectory random per evitare le BlackList http://www.chebancait.random.azaklarodunkofte.com/wps/portal/Istituzionale/ http://www.ingdirect.it.random.demosearchgtallsports.com/.ingdirectrandom/ http://www.postepay.it.random.it.iliel.xyz/agg/random/
  • 17. Tecniche: Shorturl e Redirect http://adf.ly/1mRu8u?random? http://www.megaline.co/Alhv9?random? http://random.totnuw.for-our.info?random? http://postesecurelogin.posta.it.bancaposta.foo- autenticazione.random.lopamuser.for-our.info/hescientiststravelled/ ontworesearchvessels/almostkilometresfrom/ichangtothenearbyhree/ login鍖le/
  • 18. Tecniche: Shorturl e Redirect https://www.google.no/url? sa=t&rct=j&q=&esrc=/slideshow/phishing-one-shot-many-victims/75754138/s&source=web&cd=2&cad=rja&uact=8&ved=0ahUKEwi mx4fKnbPTAhWCiywKHYjHCWgQFggwMAE&url=http:// www.ags.itesm.mx/inscripciones/ &usg=AFQjCNGOANaZ8ewUjshair7YIZTzeCq7yA
  • 23. Tecniche: Typosquatting e Dominii Dedicati http://account-resolved-noticed.com http://confirmation-securley.com http://incpaypallimit.com http://overview-account.com http://peypal-secure-account.ml http://resolved-access.com http://settingpaypal.com http://spoof-verifications.com http://wwww.pay-pal.cash http://verification-sign.in http://www-paypal-com-apps.party http://www.paypal-365.biz http://www.paypal-365.com http://www.paypal-365.info http://www.paypal-365.online https://cgi-servicescenter.com/ https://resolve-verify.com https://validation-customer.org https://ww.vv-paypal.com https://www.payapl-billing.com https://www.validation.reviews Domain Name: pay-pal.cash Registrant Name: Contact Privacy Inc. Customer Registrant Organization: Contact Privacy Inc. Customer Registrant Street: 96 Mowat Ave Registrant City: Toronto Registrant State/Province: ON Registrant Postal Code: M4K 3K1 Registrant Country: CA Registrant Phone: +1.4165385487 Registrant Phone Ext: Registrant Fax: Registrant Fax Ext: Registrant Email: acdsgztowsrl@contactprivacy.email
  • 24. Tecniche: Typosquatting e Dominii Dedicati bposte.it payposta.it posteita.biz postepaya.info posterdir.info bancoposte.info bancuoposta.biz bancuoposta.com mypostalert.com postepay.eu.com bancopostait.com bancuoposta.info postedmailer.com posteevolution.eu posteevolution.net pposteevolution.com postepay-login-spa.it sicurezzaposteweb.net poste-verification.com sicurezzaposteweb.info contoposteevolution.com bancoposta-spa-certifica.it Domain: bancoposta-spa-certifica.it Status: ok Created: 2017-04-19 16:25:39 Last Update: 2017-04-19 16:51:59 Expire Date: 2018-04-19 Registrant Organization: FILIPPO POLINO Address: via filangieri 13 ROMA 00118 RM IT Created: 2017-04-19 16:25:38 Last Update: 2017-04-19 16:25:38 (Poste Italiane - Registrati a Aprile 2017)
  • 25. Tecniche: DNS Fast Flux https://en.wikipedia.org/wiki/Fast_鍖ux
  • 26. Tecniche: Real Time Cloning Vengono verificate le credenziali ed estratte le informazioni necessarie dal sito autentico per rendere pi湛 attendibile la truffa. In questo caso: Nome Intestatario Carta Saldo Ultimo Accesso
  • 30. Dove viene ospitato il Phishing CMS Vulnerabili (Wordpress, Joomla, Drupal, ecc) Hosting (Spazio web acquistato) Virtual or Dedicated Server (acquistati o vulnerabili)
  • 31. Non solo banche 0 500 1000 1500 2000 Provider TLC Servizi Web Operatori Energetici Gioco d'Azzardo (2012-2016)
  • 49. Simulazione Dati Acquisiti per Utente: Nominativo eMail User Agent Browser User Agent Client Posta Elettronica IP Localizzazione (approssimativa) Realizzazione Campagne Ad-Hoc
  • 50. Simulazione 249 eMail e Nominativi 78 Device Android 26 Device iPhone 5 Device iPad 119 Browser Chrome 56 Browser FireFox 50 Browser Safari
  • 51. Q&A I materiali e i contenuti delle slide sono protetti da licenza CC BY-NC 3.0