furto gat

ROMA 5 MARZO 2009

A. D'Onofrio - GAT Nucleo Speciale Frodi Telematiche della Guardia di Finanza

Furto d'identità.

I sistemi utilizzati per sottrarre dati sensibili sono numerosi.Tutti si basano sull'ingegnosità del truffatore sia sfruttando una medio-alta preparazione tecnologica ( accessi a computer, a database, ecc.) sia utilizzando tecniche meno “informatiche” come l'ingegneria sociale puntando su quello che si ritiene l'anello più debole della catena per la sicurezza dei dati: l'uomo.

Ecco alcune tecniche di furto d'identità...


Furto d'identità. Le Tecniche.

Phishing

Il truffatore invia numerose email, spacciandosi normalmente per un istituto di credito



Phishing

L'utente legge la “fake mail” e clicca sul link che gli viene proposto, inserendo le proprie credenziali di accesso alla propria Home Bank



Phishing

Le credenziali inserite vengono acquisite dal truffatore.



PhishingIl gioco è fatto. Dopo pochi istanti ha inizio il prelievo fraudolento del conto corrente


Phishing

Vishing


Evoluzione del phishing. I contatti preliminari possono avvenire a mezzo email, chat o sms. Non si chiede di “cliccare” su un link ma di chiamare un numero telefonico ( quasi sempre del tipo a tariffazione aggiunta: es. 899xxxx). Un disco o un finto operatore del call center dell'istituto di credito chiederà di fornire i dati di accesso al conto corrente bancario.


Phishing

Vishing

Whaling


Letteralmente significa “pesca della balena”. É un tipo di phishing mirato a figure di livello alto appartenenti a determinate strutture aziendali e/o statali. Per mezzo della posta elettronica indicante fantomatici procedure legali o fiscali, chiedono di scaricare i documenti ad essa allegati. In realtà questi sono keylogger o spyware malevoli in grado di “bucare” rete e DB aziendali .


Phishing

Vishing

Whaling

Spamming


Inizialmente nato come nuova forma pubblicitaria, viene anche sfruttato per indurre a cliccare su link o scaricare file (es. foto, documenti ecc.) che, all'insaputa dell'utente, installano automaticamente nel pc collegato software malevoli.


Keylogger

Phishing

Vishing

Whaling

Spamming


Possono essere di tipo software e hardware. Non registrano solo le battute da tastiera, ma eseguono anche istantanee dello schermo, catturano informazioni riguardo l'uso di Internet ecc. molti keylogger inviano per posta i loro rapporti.


Keylogger

Phishing

Vishing

Whaling

Spamming



Keylogger

Spoofing

Phishing

Vishing

Whaling

Spamming


Tecnica che si basa sull'utilizzo della posta elettronica (email mime spoofing), degli apparecchi telefonici (sms e phone spoofing), della Rete Internet/Intranet (Web e Ip spoofing). Consiste nel far credere a chi riceve il messaggio/la telefonata/la pagina web/il pacchetto dati di averlo ricevuto da un'altro utente


Keylogger

Spoofing

Phishing

Vishing

Whaling

Spamming Sniffing


Attività di monitoraggio ed intercettazione dei pacchetti di dati che transitano in una Rete telematica (Internet/Intranet).Viene utilizzata per il monitoraggio della rete da parte dei sistemisti (attività lecita), ma anche per acquisire account, password e qualsiasi altro dato sensibile (attività illecita).


Keylogger

Spoofing

Phishing

Vishing

Whaling

Spamming Hacking

Boxing

Trashing


Trashing cercare tra i rifiuti qualsiasi documento da cui poter ottenere dati riservati (es. scontrini delle carte di credito, estratti conto ecc.).Boxing sottrarre la posta per acquisire quante più informazioni possibili sulla vittima

Video


Keylogger

Spoofing

Phishing

Vishing

Whaling

Spamming Hacking

Boxing

Trashing

IDENTITY ThEfTIDENTITY ThEfT



Furto d'identità. Ingegneria sociale.

L'ingegneria sociale, generalmente conosciuta come social engineering, è lo studio del comportamento individuale di una persona al fine di carpire informazioni.Fonte Wikipedia


Furto d'identità. Ingegneria sociale.

Nel caso in cui il malintenzionato non riesca ad “entrare” in un sistema o in una rete con i classici sistemi di hacking, vengono utilizzate tecniche che prendono spunto dagli studi dell'ingegneria sociale andando a colpire l'elemento più debole del sistema digitale: l'uomo.

Video


Furto d'identità. Social Network.


Furto d'identità. Social Network.

Il social networking è sicuramente un ottimo strumento di comunicazione globale.

Ma siamo sicuri che le informazioni, le foto, i racconti, presenti nei profili degli utenti, sono utilizzati solo per ricercare il vecchio compagno di scuola?


Furto d'identità. I consigli per evitare le frodi.

Installare firewall, antivirus, antispyware e tenerli aggiornati;

Verificare la presenza di componenti diversi da quelli che normalmente sono collegati al pc;

Non dare informazioni riservate a persone di cui non se ne conosce con certezza l'identità



Quando si rottama un pc, assicurarsi di distruggere l'hard disk;In caso di furto, presentare immediatamente denuncia anche se sono stati sottratti solo documenti;Non scrivere le credenziali di accesso su file memorizzati su pc, telefonini, fogli di carta;



Non rendere pubblici dati riservati attraverso social network o simili. In caso di ripensamenti e/o successive cancellazioni delle informazioni inserite, i dati precedentemente registrati continueranno ad essere presenti nella Rete Internet per molto tempo;



Non aprire email inviate da mittenti sconosciuti e non aprire file in attachment;In assenza di un prodotto antivirus e antispyware, disabilitare l'esecuzione di applicazioni java, codici javascript e active-x durante la navigazione anche se questa diverrà frustrante;



Non utilizzare sempre le stesse pw per account diversi;

Registrare pw composte da caratteri alfanumerici minuscoli e maiuscoli (lettere + numeri), che non siano il nostro nome o di un familiare e/o la data di nascita;



Distruggere gli scontrini dei pagamenti con carte di credito e gli estratti conto bancari, possibilmente con una trinciacarte;Evitare di installare ed utilizzare programmi di P2P. Hanno bisogno dell'apertura di porte in upload/download forzando il monitoraggio del firewall;



Diffidare dei siti di e-commerce che utilizzano una connessione “non sicura”. Deve essere presente nella barra di navigazione il protollo “https://...... e nella barra inferiore, normalmente in basso a destra, la presenza del lucchetto;



Se si è “proprietari” del computer che si sta utilizzando nella navigazione web, creare una nuova utenza con policy ristrette. In questo modo si potrà evitare di scaricare ed installare inconsapevolmente software che potrebbe andare a danneggiare il sistema operativo e/o apportare modifiche al firewall o antivirus;


Furto d'identità. I reati.

Art. 494 C.P. - sostituzione di persona

“Chiunque al fine di procurare a sè o ad altri un vantaggio o di recare ad altri un danno, induce taluno in errore, sostituendo illegittimamente la propria all'altrui persona, o attribuendo a sè o ad altri un falso nome, o un falso stato, ovvero una qualità a cui la legge attribuisce effetti giuridici, è punito, se il fatto non costituisce un altro delitto contro la fede pubblica, con la reclusione fino a un anno”;



Art. 615 ter C.P. - Accesso abusivo ad un sistema informatico o telematico;

Art. 615 quater C.P. - detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici;

Art. 615 quinquies C.P. - diffusione di programmi diretti a danneggiare o interrompere un sistema informatico;



Art. 617 quater C.P. - intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche;

Art. 617 quinquies C.P. - installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche;



Art. 617 sexties C.P. - falsificazione, alterazione o soppressione del contenuto di comunicazioni informatiche o telematiche;

Art. 635 bis C.P. - danneggiamento di sistemi informatici o telematici;

Art. 635 ter C.P. - Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità;



Art. 635 quater C.P. - Danneggiamento di sistemi informatici o telematici;

Art. 635 quinquies C.P. - Danneggiamento di sistemi informatici o telematici di pubblica utilità;

Art. 640 ter C.P. - frode informatica;

D.lgs 196/2003 – Codice in materia di protezione dei dati personali.

Guardia di FinanzaNucleo Speciale Frodi Telematiche

Via Marcello Boglione, 84 – 00155 RomaSegreteria 06.22938903/26

Fax 06.22938915

[email protected]

CyberCrime DepartmentMar. Aiut. dr. Antonio D'Onofrio

Mar. C. dr. Giuseppe Giannuzzi - App. Guglielmo ArditoTel. 06.22938906/11

[email protected]

mailto:[email protected]

mailto:[email protected]

furto gat

Documents

Transcript of furto gat