Phishing: monitoraggio e contrasto - i possibili approcci e le reali possibilità
-
Upload
denis1971 -
Category
Technology
-
view
199 -
download
1
description
Transcript of Phishing: monitoraggio e contrasto - i possibili approcci e le reali possibilità
Phishing:
monitoraggio e contrasto.
I possibili approcci e le reali possibilitA'
Torino 30 maggio 2013
Denis Frati
Denis Frati D3Lab–Www.d3lab.net
Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
sfatiamo i luoghi comuni - 1
Il phishing non e' la truffa degli sciocchi!!
Frode utenti Telepass 21-6-2012: 50 cc validi luhn
Frode utenti Poste Pay 14-11-2012: 17 cc validi luhn
Frode utenti PayPal 15-11-2012: 5 cc validi luhn
Frode Agip/Eni 19-11-2012: 17 cc validi luhn
Frode utenti Visa 20-11-2012: 23 cc validi luhn
ecc... ecc... ecc...
Denis Frati D3Lab–Www.d3lab.net
Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
sfatiamo i luoghi comuni - 2
Il phishing non e' solo bancario 1–(social network)
Denis Frati D3Lab–Www.d3lab.net
Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
sfatiamo i luoghi comuni - 2
Il phishing non e' solo bancario 2–(e-mail account)
Denis Frati D3Lab–Www.d3lab.net
Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
sfatiamo i luoghi comuni - 2
Il phishing non e' solo bancario 2–(On-line game)
Denis Frati D3Lab–Www.d3lab.net
Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
sfatiamo i luoghi comuni - 3
… Se ne frega dell'otp
Denis Frati D3Lab–Www.d3lab.net
Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
sfatiamo i luoghi comuni - 3
… Perche' gli bastano le carte di credito - 1
Denis Frati D3Lab–Www.d3lab.net
Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
sfatiamo i luoghi comuni - 3
… Perche' gli bastano le carte di credito - 2
Denis Frati D3Lab–Www.d3lab.net
Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
sfatiamo i luoghi comuni - 3
… o l'accesso agli account in cui reperirle
Denis Frati D3Lab–Www.d3lab.net
Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
Generalita'
Il Phishing è:
● di semplice attuazione;● poco dispendioso;● trans-frontaliero;● a basso rischio;
si avvantaggia di:
● ampio bacino vittime;● innumerevoli target;● pericolosità sottostimata;
Denis Frati D3Lab–Www.d3lab.net
Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
Di cosa necessita' il phisher ? - 1 - Il kit -
Kit di phishing:l'insieme di pagine html/htm, php ed immagini, riproducenti quelle dell'ente target.
<--- li fanno e li vendono
Denis Frati D3Lab–Www.d3lab.net
Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
Liste di indirizzi email a cui inviare le mail fraudolente.
Sistema invio mail:
● mail sender php;● server di posta violati;● macchine compromesse;● connessioni wireless
aperta;
Di cosa necessita' il phisher ? - 2 - liste di indirizzi mail & mail server -
Denis Frati D3Lab–Www.d3lab.net
Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
Di cosa necessita' il phisher ? - 3 - SPAZIO di hosting -
Spazio di hosting:
● gratuito;● a pagamento;● sito violato;● sulla propria macchina +
dns dinamico;
Denis Frati D3Lab–Www.d3lab.net
Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
1
23
4
5
66
FUNZIOnamento base
Denis Frati D3Lab–Www.d3lab.net
Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
Previsioni, preveggenza, vaticinio ???
Denis Frati D3Lab–Www.d3lab.net
Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
monitoraggio
Undergorund & cyber crime intelligence
False pagine web on-line
Attack spread
Provenienza
Profili utente
Denis Frati D3Lab–Www.d3lab.net
Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
MonitoraggioUndergorund & cyber crime intelligence
Tra il dire ed il fare …
sono necessari:
● struttura;● risorse umane;● tempo● conoscenza degli “ambienti”● storico: profili, attività, partecipazioni, conoscenze● referenze;● ecc;
… non basta iscriversi ad un forum/blog underground, frequentare saltuariamente un canale irc su un server .ru
Denis Frati D3Lab–Www.d3lab.net
Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
MonitoraggioPresenza false pagine web on-line
● il phishing è dinamico, veloce!● raramente sono presenti collegamenti a
pagine web indicizzate;● l'indicizzazione è spesso successiva alle prime
segnalazioni di frode;● il phisher conosce benissimo e usa:
➔ robot.txt;➔ htaccess;
User-agent: *Disallow: /folder1/
User-Agent: GooglebotDisallow: /folder2/
RewriteEngine On ...RewriteCond %{HTTP_USER_AGENT} ^Wget [OR] RewriteCond %{HTTP_USER_AGENT} ^Googlebot RewriteRule ^.* - [F,L]
Denis Frati D3Lab–Www.d3lab.net
Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
MonitoraggioATTACK spread
● falsificazione degli header della mail
● invio massiccio di mail anche a indirizzi inesistenti
sono necessari:● monitoraggio data-base on line;● mail box civetta;● segnalatori (spesso i clienti verso filiali);
Return-Path: <[email protected]>Notifica mancati recapiti ->WARNING
un diluvio di notifiche che può anche metterein crisi il web server
… buongiorno ho visto la mail per il concorso, quello del bonus per la ricarica
… scusi mi avete scritto per un mio conto ...ma io non sono vostro cliente ….
Scusi?? mi spieghi bene, … …mi inoltri la mail,
…può inviarmi il sorgente della mail?
addestrare il personalea ricevere le segnalazioni
Denis Frati D3Lab–Www.d3lab.net
Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
MonitoraggioMonitorare la provenienza - 1
188.216.109.13 - - [25/May/2013:17:30:46 -0700] "GET /area_personale/login.php HTTP/1.1" 200 6820 "http://mycompany.victimsite.com.vn/area_personale/login.php" "Mozilla/6.0 (compatible; MSIE 7.03; Windows ME) Opera 5.11 [en]"
Source Ip address: 188.216.109.13Data: [25/May/2013:17:30:46 -0700]Risorsa richiesta: "GET /area_personale/login.php HTTP/1.1"Risposta server: 200 6820Referer: "http://mycompany.victimsite.com.vn/area_personale/login.php"User Agent: "Mozilla/6.0 (compatible; MSIE 7.03; Windows ME) Opera 5.11 [en]"from http://httpd.apache.org/docs/2.2/logs.html
la vittima viene rimandata a specifiche pagine legittime;noti i referer legittimi evidenzio richieste con referer non trusted (no IT, no *.mycompany.com, ecc..)
Denis Frati D3Lab–Www.d3lab.net
Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
Dal Monitoraggio al contrastoAttraverso Monitoraggio provenienza
referer pericolososu pagina login
rilevo IP possibilevittima
1- test security company, curiosi, casuale, ecc2- cliente che non prosegue con login
Yfatto login ?
N
identificocliente
azioni di verifica diretta
confronto profilo cliente
ulteriori verifiche
Evento >> log.db
Frode ?
N
Y
blocco accountblocco operatività
Denis Frati D3Lab–Www.d3lab.net
Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
contrastoRichieste shutdown
Eliminare le pagine web fraudolente è imperativo, ma … … realisticamente i mezzi sono pochi!
Si inoltrano le richieste a:● gestori siti web;● gestori server;● hoster;● fornitori connettività;
Tuttavia permangono problemi dovuti a:● orari, fusi orari e festività;● difficoltà contatto;● servizi whois privacy;● incomprensioni linguistiche;● diffidenza;
Denis Frati D3Lab–Www.d3lab.net
Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
Contrasto - Richieste shutdown PLAYNG WITH –redirect
Denis Frati D3Lab–Www.d3lab.net
Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
Contrasto - Richieste shutdownPLAYNG WITH DYNAMIC DNS & fake sub domain
I servizi di DNS dinamico permettono al criminale di:● creare domini con nomi ingannevoli;● mantenere le strutture/pagine web al
sicuro su proprie macchine connesse in rete via SIM card
● celare la reale posizione delle pagine
- É necessario tracciare gli indirizzi IP correlati ai domini- intervenire • con corretti titolari degli IP• Fornitori servizio Dyn DNS
Il criminale:● aggredisce il sito A;● accede al pannello digestione
domini/DNS● imposta subdomini con wild card;● aggredisce il sito B● inocula le pagine fraudolente● dirotta su di esse i subdomini di A
www.post4.it.sitobucato.com
È necessario intervenire con tutte le parti:● gestori dei siti A & B● hoster dei siti A & B● fornitori connettività A & B;
Denis Frati D3Lab–Www.d3lab.net
Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
contrastoCredentials bombing
Le credenziali rubate vengono:● spedite via mail al criminale;● scritte su file di testo (locali o remoti);● scritte in db remoti;
Ehi Cattivo?!?! Vuoi le credenziali ???Eccole!!
A=1while [ $A -eq 1 ]do
wget/curl http://attacksite.com/login.php?user&pass&pindone
Denis Frati D3Lab–Www.d3lab.net
Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
contrastoCredentials search
Se le credenziali sono scritte su file possonoessere individuate !!
Però lo sanno anche loro ele scrivono in /tmp che
leggono via shell remote
Denis Frati D3Lab–Www.d3lab.net
Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
contrastokit search
L'individuazione del kit mi consente di● Sapere dove (presumibilmente) finiscono
le credenziali;● Profilare il possibile utilizzatore o autore
del kit;● Conoscere la propria pagina da
monitorare nei log http per i referer non trusted;
● Conoscere le proprie risorse (immagini, applet flash, css, ecc...) usate dei criminali per bloccarle;
Denis Frati D3Lab–Www.d3lab.net
Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
contrastoI WANT TO BE BAD! - 1
Hai trovato una shell remota!!!Grida di giubilio!!Puoi entrare e sderenarli!!
Denis Frati D3Lab–Www.d3lab.net
Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
contrastoI WANT TO BE BAD! - 2
Ricorda:vuoi utilizzare exploit e shell remote come il phisher per contrastarlo?
Commetti almeno un reatoArt. 615 ter. C.p.(accesso abusivo a sistem informatico)
se non dueArt. 617 quinquies. C.p. (danneggiamento sistema informatico).
E le responsabilità aziendali ?!?!
Inoltre: le info eventualmente raccolte non sono “forensicaly sound” perché acquisiste in modo illecito!
Denis Frati D3Lab–Www.d3lab.net
Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
contrastoI WANT TO BE BAD! - 3
Ricorda:puoi accedere (illecitamente) allo spazio usato dal criminale,cancellare i suoi file, le pagine web fraudolente, ma …
… se la vulnerabilità che ha permesso l'accesso al criminale permane..NON HAI RISOLTO MOLTO.
È probabile un successivo riutilizzo a fini fraudolenti del sito /server perché la porta è ancora aperta!
Denis Frati D3Lab–Www.d3lab.net
Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
Monitoraggio & Analisi a tutto campoBasi del contrasto
Un monitoraggio ampio e continuo permette:● Rilevare cambi di modalità operativa;● Individuare nuove piattaforme bersaglio
per inoculazione;● Conoscere nomi dei file di credenziali e
delle shell remote;● Individuare i kit;● Riconoscere la “firma” degli autori e
profilarli;● Individuare nell'analisi attacchi a non
clienti tracce di attacco a clienti;● Ipotizzare possibili futuri enti bersaglio.
Denis Frati D3Lab–Www.d3lab.net
Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
Previsioni, preveggenza, vaticinio ???
Il monitoraggio a largo raggio fornisce indicazioni sugli orientamenti dei phisher:
es. agosto 2012 rilavati attacchi a EDF (fornitore energia francese)Fine 2012 attacchi a Gruppo, Agip/Eni
es. agosto 2012 attacchi BNP-PARIBAS (DE)Autunno 2012 attacchi BNP-PARIBAS (IT)Maggio 2013 attacchi BNP-PARIBAS (ES)
es:fine 2012 attacchi Deteuche Bank IT1° quadr. 2013 attacchi Deteuche Bank (DE)
Phishing forecast: chi verrà attaccato nei prossimi giorni?www.denisfrati.it/s?forecast :O ← analisi log http siti dei phisher
Denis Frati D3Lab–Www.d3lab.net
Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
contrastoformazione
La (in)formazione del cliente può avere un buon ritorno di immagine, a costi contenuti.Gli avvisi sulle pagine web non li legge nessuno,ancor meno i deplian.
La formazione degli utenti interni, dei dipendenti, porta solo sicurezza.
Kevin Mitnick parlava di formazione aziendale a contrasto dall'ingegneria sociale già nel 2002 (l'arte dell'inganno).
domande
Denis Frati D3Lab–Www.d3lab.net
Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
Contatti:
Denis Frati D3Lab–Www.d3lab.net
Phishing: monitoraggio e contrasto. I possibili approcci e le reali possibilitA' - Torino 30 maggio 2013
d3lab ~ $ whois denisfrati
Registrant Info:
Registrant: denis fratiMail address: [email protected] Company: D3LabAddress: Ivrea (TO) – V. Jervis, 4Phone: +39-0125-1963370Fax: +39-0125-1963371Compeny web site: www.d3lab.netPersonal web site: www.denisfrati.it
Expires on..............: never Last modified on........: 2012-02-20