Tutti noi riceviamo almeno quotidianamente e-mail (e non solo) con il chiaro intento di rubarci le credenziali di accesso alla nostra vita digitale, che sia il conto corrente online, piuttosto che l’account social e così via. Questo è il phishing, una truffa che come ogni tecnologia umana si sta evolvendo e questa serata ha come obbiettivo quello di spiegare in maniera chiara e precisa che cos’è, come funziona e come possiamo difenderci. Vedremo anche con esempi pratici, come già avvenuto per la serata sul penetration test, esattamente come si può svolgere una campagna di phishing, quali sono gli attori coinvolti, un esempio di infrastruttura e come poter tutelarci da questi attacanti. Andrea oltre ad essere un componente attivo nella comunità open-source attraverso la partecipazione al progetto BackBox ed ImoLUG, fa anche parte di D3Lab un’azienda che si occupa principalmente di contrasto al phishing con ottimi risultati.

1. Phishing
Analisi
Simulazione
Contromisure
24.02.2017 - FoLUG - Andrea Draghetti

2. $ whoami Phishing Analysis and Contrast
@ D3Lab
Team Member
@ BackBox Linux

3. Table
of
Contents
01 Introduzione al Phishing
No, non vi sto portando
al laghetto di pesca!
02 Storia e Statistiche
Rolex, Casinò,
Smartphone e Bella Vita!
03 Simulazione
Io e il presidente ci
ripaghiamo la pizza!
04 Contromisure
Vi insegno a spegnere il
PC!

4. Il phishing è un tipo di truffa
effettuata su Internet
attraverso la quale un
malintenzionato cerca di
ingannare la vittima
convincendola a fornire
informazioni personali, dati
finanziari o codici di accesso,
fingendosi un ente affidabile in
una comunicazione digitale.
Si tratta di una attività
illegale che sfrutta una tecnica
di ingegneria sociale.
{WikiPedia}
Phishing

5. Phishing
Types
La massa
Con una grande rete,
qualche pesce prenderò…
Al 91% ferisce!
Studio l’obiettivo e lo
colpisco, ferendolo!
Cambio solo l’IBAN…
La tecnica perfetta per
un Man in the Mail.
Caccia alla Balena
Il Manager è il mio
obiettivo!
Spear
Phishing
Clone
Phishing
Whaling
Phishing

6. Direttamente o
Indirettamente
l’obiettivo è
uno solo!
ARRICCHIRSI!

7. Qualche
tecnica…
PHP Firewall
Target su base IP, No
Bot, Tor, VPN, etc
Path Random
Per ogni visitatore un
URL diverso
Domini Ad-Hoc
Così inganno meglio la
vittima
Phishing via SMS
Il destinatario non
percepisce il pericolo
Lucchetto Verde
I certificati SSL sono
ormai gratuiti!
OTP No Problem
Intanto me lo fornisce
la vittima…
Multilingua
Il clone si adatta
all’origine della vittima.
Lucchetto Verde
I certificati SSL sono
ormai gratuiti!

8. PHP Firewall

9. Multilingua

10. Path Random

11. Domini Ad-Hoc
http://account-resolved-noticed.com
http://confirmation-securley.com
http://incpaypallimit.com
http://overview-account.com
http://peypal-secure-account.ml
http://resolved-access.com
http://settingpaypal.com
http://spoof-verifications.com
http://wwww.pay-pal.cash
http://verification-sign.in
http://www-paypal-com-apps.party
http://www.paypal-365.biz
http://www.paypal-365.com
http://www.paypal-365.info
http://www.paypal-365.online
https://cgi-servicescenter.com/
https://resolve-verify.com
https://validation-customer.org
https://ww.vv-paypal.com
https://www.payapl-billing.com
https://www.validation.reviews
Domain Name: pay-pal.cash
Registrant Name: Contact Privacy Inc. Customer
Registrant Organization: Contact Privacy Inc. Customer
Registrant Street: 96 Mowat Ave
Registrant City: Toronto
Registrant State/Province: ON
Registrant Postal Code: M4K 3K1
Registrant Country: CA
Registrant Phone: +1.4165385487
Registrant Phone Ext:
Registrant Fax:
Registrant Fax Ext:
Registrant Email: acdsgztowsrl@contactprivacy.email

12. Domini Ad-Hoc
(Poste Italiane - Registrati a Febbraio 2017)
poste.xyz
poste.press
poste.group
posta.online
postebonus.com
mobilposta.biz
banco-posta.com
postepayotp.com
pay-postepay.com
iltuopostepay.eu
unlock-posta.com
my-bancoposta.com
bancoposta-spa.it
postepay-2pay.com
posta-online.info
posteevolution.com
postepayitalia.net
italianeposte.info
securelogposta.com
myposte-bposta.biz
authentication.bid
myposte-bposta.info
servizio-poste.site
posteitaliabonus.com
posteitaliane.online
posteitaliane.center
evolutionpostepay.com
verificavagliapostale.com
posteitalianeverifica.com
certificazione-conto-poste-spa.it
posteitaliane-security-postepay.it
Domain: bancoposta-spa.it
Status: pendingDelete / redemptionPeriod
Created: 2017-02-10 21:25:13
Last Update: 2017-02-22 15:17:06
Expire Date: 2018-02-10
Registrant
Organization: FEDERICO LEMORE
Address: via barbieri 10
MILANO
20136
MI
IT
Created: 2017-02-10 21:25:12
Last Update: 2017-02-10 21:25:12

13. Phishing via SMS
(dati week 8, 2017)

14. Certificato SSL
(il lucchetto)

15. Verifica Credenziali
Vengono verificate le
credenziali ed estratti
dal sito autentico le
informazioni necessarie
per rendere più
attendibile la truffa.
In questo caso:
Nome Intestatario Carta
Saldo
Ultimo Accesso

16. Codice OTP
Il finto sito richiede
all’utente il codice OTP
Il Phisher dal C&C gestisce
o richiede dati all’utente
Un kit completamente interattivo

17. Non solo
banche
Non solo le banche sono
coinvolte in attacchi di
Phishing, ma altri enti come:
• Operatori
Telefonici
• Operatori
Energetici
• Cloud Service
• Caselle eMail
• Grandi Produttori
• Assicurazioni
Sanitarie o
Previdenziali
• Trasporti
• Televisivo

18. TIM
Falsa promozione in cambio della carta di credito…

19. Apple
Riattiva l’account per scaricare le Applicazioni,
ma fornisci la Carta di Credito…

20. Libero Mail
Sfrutto la tua caselle per inviare nuove eMail di Phishing,
ma scopro anche nuovi indirizzi di posta elettronica!

21. Alitalia
Buono di 80euro sul tuo prossimo volo Alitalia,
te lo accreditano sulla Carta di Credito…

22. Aruba
Ti rubano il dominio, magari le eMail…ma sicuramente
ne traggono un profitto!

23. Hera
Falso Rimborso…e sempre Carta di Credito!

24. Mediaworld
Sì è Phishing, non una tradizionale truffa online.
Lo scopo è ottenere i dati della Carta di Credito…

25. Adobe
Con i servizi Cloud di Adobe un account può
essere rivenduto o rivenduti i progetti riservati!

26. Netflix

27. Phishing Map20 Febbraio 2017
https://www.d3lab.net/phishing-map/

28. Report mondiale dei casi unici di
Phishing
0
400.000
800.000
1.200.000
1.600.000
2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016*
Fonte: Anti-Phishing Working Group - Dati 2016 provvisori

29. Report Italiano dei casi unici di
Phishing
0
4.000
8.000
12.000
16.000
2012 2013 2014 2015 2016
Segnalazioni Carte di Credito Recuperate
Fonte: D3Lab

30. Principali Enti Italiani Colpiti
(2012-2016)
Fonte: D3Lab
0
1000
2000
3000
4000
Poste Italiane
PayPal Italia
Cartasì
Apple Italia
Intesa S.Paolo Visa

31. Principali Carte Recuperate
(2014-2016)
Fonte: D3Lab
0
2750
5500
8250
11000
Poste Italiane
Cartasì
Unicredit
Intesa S.Paolo
PayPal Prepag. UBI

32. Il caso Poste Italiane
(2014-2016)
0
2.000
4.000
6.000
8.000
2014 2015 2016
Segnalazioni Carte di Credito Recuperate
Fonte: D3Lab

33. Phisher
Team
Progettista
Studia l’attacco..
Cracker
Va a caccia di siti
insicuri!
Spammer
Lo casella dello SPAM è
il suo problema!
Cash-out
Si guarda le spalle
mentre preleva!

34. https://youtu.be/uZFwdo8sZ4U
Individua il
target e studia
il kit perfetto
per ingannare
le vittime!
Progettista

35. Cerca domini
vulnerabili che
possano
ospitare il
sito clone
Cracker Frederic Jacobs http://bit.ly/2mfXN31

36. https://youtu.be/Gv85UhMDlgY
Individua le
eMail delle
vittime e
studia il
metodo di invio
Spammer

37. Ha il compito
di convertire
in moneta reale
i soldi
sottratti!
Cash Out Sascha Kohlmann http://bit.ly/2l1hNGj

38. Quanto
“guadagna”
un Phisher?

39. Nel giro di due anni,
Maksik aveva venduto a
Hakim i dati di 28mila
carte di credito con un
valore di “cash out”
intorno ai 10 milioni
di dollari.
Mafia.com

48. Le carte di credito Italiane nel DarkWeb sono
le più care: 13,50$ l’una!
Poiché le contestazioni (ChargeBack) sono lente
e vengono accettate da molteplici servizi!

49. La simulazione vuole ricreare
parzialmente l’attività di una
vittima su due diversi siti di
Phishing e con due vettori
distinti. In questa simulazione
non verrà memorizzato alcun dato
sensibile e al termine della
presentazione tutti i dati
(compresi i log) verranno
eliminati dal server.
Potrete anche voi simulare di
essere una vittima dal vostro
Computer, Tablet o Smartphone e
assieme analizzeremo i falsi
siti.
Simuleremo due attacchi di Phishing via SMS e tramite eMail.
Simulazione

50. Vodafone You ti regala 5Gb
di traffico internet.
Effettua una ricarica entro
il 28 Febbraio e potrai
navigare con ulteriori 5Gb
per 30giorni.
Visita http://vodafoneyou.it
SMS Phishing

51. eMail Phishing
http://bit.ly/FoLugPhishing

52. Per
Concludere
Il buon senso!
Date le chiavi di casa a
tutti?
Nel dubbio?
Ignorate!
HTTPS, OTP, ecc ecc
La tecnologia non aiuta
se l’utente è distratto!
Qualche accorgimento..
Impariamo ad usare la
tecnologia a nostro
favore!

53. eMail Phishing
(arriva da un server Aruba ma non era di PayPal?!)
(Plugin MailHops per Thunderbird)

54. VirusTotal
(non solo per Malware ma anche per Phishing)

55. VirusTotal
(non solo per Malware ma anche per Phishing)

56. PhishTank
(cerca e segnala Phishing)

57. SSL Con Autenticazione Del Dominio

58. Social Network

59. Thank
You
Andrea Draghetti
I materiali e i contenuti delle
slide sono protetti da licenza CC BY-NC 3.0