Tutti noi riceviamo almeno quotidianamente e-mail (e non solo) con il chiaro intento di rubarci le credenziali di accesso alla nostra vita digitale, che sia il conto corrente online, piuttosto che l’account social e così via.
Questo è il phishing, una truffa che come ogni tecnologia umana si sta evolvendo e questa serata ha come obbiettivo quello di spiegare in maniera chiara e precisa che cos’è, come funziona e come possiamo difenderci.
Vedremo anche con esempi pratici, come già avvenuto per la serata sul penetration test, esattamente come si può svolgere una campagna di phishing, quali sono gli attori coinvolti, un esempio di infrastruttura e come poter tutelarci da questi attacanti.
Andrea oltre ad essere un componente attivo nella comunità open-source attraverso la partecipazione al progetto BackBox ed ImoLUG, fa anche parte di D3Lab un’azienda che si occupa principalmente di contrasto al phishing con ottimi risultati.
2. $ whoami Phishing Analysis and Contrast
@ D3Lab
Team Member
@ BackBox Linux
3. Table
of
Contents
01 Introduzione al Phishing
No, non vi sto portando
al laghetto di pesca!
02 Storia e Statistiche
Rolex, Casinò,
Smartphone e Bella Vita!
03 Simulazione
Io e il presidente ci
ripaghiamo la pizza!
04 Contromisure
Vi insegno a spegnere il
PC!
4. Il phishing è un tipo di truffa
effettuata su Internet
attraverso la quale un
malintenzionato cerca di
ingannare la vittima
convincendola a fornire
informazioni personali, dati
finanziari o codici di accesso,
fingendosi un ente affidabile in
una comunicazione digitale.
Si tratta di una attività
illegale che sfrutta una tecnica
di ingegneria sociale.
{WikiPedia}
Phishing
5. Phishing
Types
La massa
Con una grande rete,
qualche pesce prenderò…
Al 91% ferisce!
Studio l’obiettivo e lo
colpisco, ferendolo!
Cambio solo l’IBAN…
La tecnica perfetta per
un Man in the Mail.
Caccia alla Balena
Il Manager è il mio
obiettivo!
Spear
Phishing
Clone
Phishing
Whaling
Phishing
7. Qualche
tecnica…
PHP Firewall
Target su base IP, No
Bot, Tor, VPN, etc
Path Random
Per ogni visitatore un
URL diverso
Domini Ad-Hoc
Così inganno meglio la
vittima
Phishing via SMS
Il destinatario non
percepisce il pericolo
Lucchetto Verde
I certificati SSL sono
ormai gratuiti!
OTP No Problem
Intanto me lo fornisce
la vittima…
Multilingua
Il clone si adatta
all’origine della vittima.
Lucchetto Verde
I certificati SSL sono
ormai gratuiti!
15. Verifica Credenziali
Vengono verificate le
credenziali ed estratti
dal sito autentico le
informazioni necessarie
per rendere più
attendibile la truffa.
In questo caso:
Nome Intestatario Carta
Saldo
Ultimo Accesso
16. Codice OTP
Il finto sito richiede
all’utente il codice OTP
Il Phisher dal C&C gestisce
o richiede dati all’utente
Un kit completamente interattivo
17. Non solo
banche
Non solo le banche sono
coinvolte in attacchi di
Phishing, ma altri enti come:
• Operatori
Telefonici
• Operatori
Energetici
• Cloud Service
• Caselle eMail
• Grandi Produttori
• Assicurazioni
Sanitarie o
Previdenziali
• Trasporti
• Televisivo
28. Report mondiale dei casi unici di
Phishing
0
400.000
800.000
1.200.000
1.600.000
2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016*
Fonte: Anti-Phishing Working Group - Dati 2016 provvisori
29. Report Italiano dei casi unici di
Phishing
0
4.000
8.000
12.000
16.000
2012 2013 2014 2015 2016
Segnalazioni Carte di Credito Recuperate
Fonte: D3Lab
30. Principali Enti Italiani Colpiti
(2012-2016)
Fonte: D3Lab
0
1000
2000
3000
4000
Poste Italiane
PayPal Italia
Cartasì
Apple Italia
Intesa S.Paolo Visa
39. Nel giro di due anni,
Maksik aveva venduto a
Hakim i dati di 28mila
carte di credito con un
valore di “cash out”
intorno ai 10 milioni
di dollari.
Mafia.com
40.
41.
42.
43.
44.
45.
46.
47.
48. Le carte di credito Italiane nel DarkWeb sono
le più care: 13,50$ l’una!
Poiché le contestazioni (ChargeBack) sono lente
e vengono accettate da molteplici servizi!
49. La simulazione vuole ricreare
parzialmente l’attività di una
vittima su due diversi siti di
Phishing e con due vettori
distinti. In questa simulazione
non verrà memorizzato alcun dato
sensibile e al termine della
presentazione tutti i dati
(compresi i log) verranno
eliminati dal server.
Potrete anche voi simulare di
essere una vittima dal vostro
Computer, Tablet o Smartphone e
assieme analizzeremo i falsi
siti.
Simuleremo due attacchi di Phishing via SMS e tramite eMail.
Simulazione
50. Vodafone You ti regala 5Gb
di traffico internet.
Effettua una ricarica entro
il 28 Febbraio e potrai
navigare con ulteriori 5Gb
per 30giorni.
Visita http://vodafoneyou.it
SMS Phishing
52. Per
Concludere
Il buon senso!
Date le chiavi di casa a
tutti?
Nel dubbio?
Ignorate!
HTTPS, OTP, ecc ecc
La tecnologia non aiuta
se l’utente è distratto!
Qualche accorgimento..
Impariamo ad usare la
tecnologia a nostro
favore!