Embed Size (px)
Citation preview
20-04-2011
1
PHISHINGEFURTODIIDENTITÀ
phishing
e-mologia:unionedidueparole:
• passwordefishing=pescadipassword
• phreaking=usodi frequenzepermanipolareunsistematelefonico(USAanniCinquanta)
• pharming = reindirizzamento dell'utente su unindirizzoIPdiverso(osuunapaginaweb“clone”)rispeKoaquellovolutoedigitato
2
20-04-2011
2
definizionedelfenomeno
• nellaforma:ilphishingèunatecnicadisocialengineering (ovvero una metodologia dicomportamento sociale indirizzata a carpireinformazionipersonalioppureabitudinie s-lidivita)
• nel contenuto: quali sono modalità/obieQvideiphishinga5acks?
3
lemodalitàdeiphishinga5acks
• inviodie‐mailperindurrel'utenteaconneKersiadunapaginaweb
• phishingVoip(inviodie‐mailcontenenteunnumeroditelefono)
• inviodioffertedilavoro(usodelc.c.b.dellaviQma)• trojan,maleware,keylogger
• usodiunURLnoto• reindirizzamento verso un URL ignoto, ges-to dalphisher
4
20-04-2011
3
fase1‐lae‐mailesca5
fase2–l’inserimentodellecredenziali6
20-04-2011
4
7
fase1‐lae‐mailesca(altramodalità)
• modalità=trojan
• faKoredinovità=nonsirichiederedivisitareil sito web del gruppo, ma si invitano lepotenzialiviQmeadeffeKuareildownloaddel“paccheKodisicurezzaPosteInternetSecurity2008”
8
20-04-2011
5
mail‐esca9
fase2–alterazionedelfunzionamentodelsistemainforma-co
• cliccando sul link proposto si effeKua ildownloaddelfileposteavs.exe
• ilfile,seeseguito,provocal'alterazionedelfileHOSTSpresentenelcomputercolpito.
10
20-04-2011
6
problemilega-allarepressionedeiphishinga5acks
• localizzazionedeiserverdaicuipartonolee‐mailochecontengonoisi-webclone
• limitatapermanenzaon‐linedelphishingsite
• mancanzadinormeadhoc– v.ordinamentoUS
• Virginia>hainseritoilphishingnelComputerCrimesAct
• NewYork• California>AnC‐phishingAct
11
obieQvideiphishinga5acks
1. portare l'utente a fornire da- o informazioni personali cheriguardano:
1. credenzialidiauten-cazioneperaccedereadareeinforma-cheesclusiveoaservizifinanziari/bancari
2. numeridicartedicreditoopagamento
3. userIDepassword(ingenerale)
2.raccogliereopescareida-riserva-delsoggeKoutenteofruitoredelservizio
3. u-lizzare i da- così consegui- per accedere ai servizi on‐line,assumendo“virtualmente”l'iden-tàdellegiQmo-tolare
∨
struKuratrifasica
20-04-2011
7
fase1(mailesca)
Art.494c.p.SosCtuzionedipersona.Chiunque, al fine di procurare a sé o ad altri unvantaggioodirecareadaltriundanno,inducetalunoin errore, sosCtuendo illegiNmamente la propriaall'altruipersona,oa5ribuendoaséoadaltriunfalsonome, o un falso stato, ovvero una qualità a cui lalegge a5ribuisce effeN giuridici, è punito, se il fa5ononcosCtuisceunaltrodeli5ocontrolafedepubblicaconlareclusionefinoaunanno.
13
fase1(mailesca)/fase2(raccoltadeida-)
Art.624c.p.Furto.
Chiunque s'impossessa della cosa mobile altrui,so5raendolaachiladeCene,alfineditrarneprofi5operséoperaltri,èpunitoconlareclusionedaseimesiatreannieconlamultadaeuro154aeuro516.
• applicabile?
• problemadelfurtodiiden-tàdigitale
14
20-04-2011
8
fase1(mailesca)/fase3(usodeida-)
Art.640c.p.Truffa.
Chiunque, con arCfizi o raggiri, inducendo taluno inerrore,procuraaséoadaltriuningiustoprofi5oconaltruidanno,èpunitocon lareclusionedaseimesiatreannieconlamultadaeuro51aeuro1.032.
15
fase1(mailesca)/fase3(usodeida-)
• condoKa>ar-ficioraggiri(>inviodie‐mailaventelookandfeeldelsitois-tuzionale)
• eventointermedio>«inducetalunoinerrore»– chiricevel'e‐mail(>fase1)èindoKoinerrore– con la condoKadi inserimento on‐line dei da- raccol-(>fase3),l'agente“traeininganno”ilsistemainforma-co
• collaborazionear-ficiosaconlaviQma– aKodidisposizionepatrimoniale
– sussiste?>v.fase3• eventodidannoeprofiKo
16
20-04-2011
9
fase1(mailesca)/fase3(usodeida-)
Art.640‐terc.p.FrodeinformaCca.
Chiunque,alterandoinqualsiasimodoilfunzionamentodiunsistemainformaCcootelemaCcoointervenendosenzadiri5ocon qualsiasi modalità su daC, informazioni o programmicontenuC in un sistema informaCco o telemaCco o ad essoperCnenC, procura a sé o ad altri un ingiusto profi5o conaltruidanno,èpunitoconlareclusionedaseimesiatreannieconlamultadaeuro51aeuro1.032.
nel caso del phishing le procedure informa-che vengono aQvate inmodo tecnicamente regolare, ma l’aQvazione non è conforme allavolontàdelsoggeKocheneè-tolare(>interventosenzadiriKo?)
17
fase1(mailesca)/fase3(usodeida-)
inviodell'e‐mail(fase1):
meroinvio>noncos-tuisce“alterazionedelfunzionamentodiunsistemainforma-cootelema-co”
invio di un'e‐mail contenente un so]ware autoinstallante >potrebbe cos-tuire un'“alterazione del funzionamento di unsistemainforma-cootelema-co”>v.art.615quinquiescp
usodelleinformazioniraccolte(fase3): art.640tercp
“alterazionedelfunzionamentodelsistemainforma-co”?
“interventosenzadiriKo”?
18
20-04-2011
10
fase2(raccoltadeida-)
Art. 615‐quater. Detenzione e diffusione abusiva di codici diaccessoasistemiinformaCciotelemaCci.
Chiunque,alfinediprocurareaséoadaltriunprofi5oodiarrecare ad altri un danno, abusivamente si procura,riproduce, diffonde, comunica o consegna codici, parolechiave o altri mezzi idonei all'accesso ad un sistemainformaCco o telemaCco, prote5o da misure di sicurezza, ocomunque fornisce indicazionio istruzioni idoneealprede5oscopo, è punito con la reclusione sino ad un anno e con lamultasinoaeuro5.164.
19
fase3(usodeida-)
Art. 615‐ter. Accesso abusivo ad un sistema informaCco otelemaCco.Chiunque abusivamente si introduce in un sistema informaCco otelemaCco prote5o damisure di sicurezza ovvero vi si manCenecontrolavolontàespressaotacitadichihaildiri5odiescluderlo,èpunitoconlareclusionefinoatreanni.
• condoKa-pica>fase3>sussiste?
• querela>chièilsoggeKopassivo?– es.:ilphisheraccedealsistemainforma-codell'is-tutodicredito
– èplausibileritenerecheilsistemainforma-codell'is-tutopossaospitare,alsuointerno,unapluralitàdiareeriservate
20
20-04-2011
11
fase3(usodeida-)
Art.12,D.L.n.143/1991,poiL.n.197/1991>oraArt.55,comma9,D.Lgs.n.231/2007.
Chiunque,alfinedi trarneprofi5oper séoperaltri, indebitamenteuClizza, non essendone Ctolare, carte di credito o di pagamento,ovvero qualsiasi altro documento analogo che abiliC al prelievo didenarocontanteoall'acquistodibenioallaprestazionediservizi,èpunitoconlareclusionedaunoacinqueannieconlamultada310a1.550euro.Allastessapenasoggiacechi,alfineditrarneprofi5opersé o per altri, falsifica o altera carte di credito o di pagamento oqualsiasi altro documento analogo che abiliC al prelievo di denarocontante o all'acquisto di beni o alla prestazione di servizi, ovveropossiede, cede o acquisisce tali carte o documenC di provenienzaillecitaocomunquefalsificaCoalteraC,nonchéordinidipagamentoprodoNconessi.
21
riepilogo
• art.624c.p.(?)• art.494c.p.• art.640c.p.(?)
• art.640terc.p.• art.615terc.p.• oraart.55,comma9D.Lgs.n.231/2007
• art.615quaterc.p.• art.167D.Lgs.n.196/2003
22
20-04-2011
12
orientamen-giurisprudenziali
• TribunalediCatania2003– furto(arK.624e625,n.4)– Cass.,sez.V,sent.24.11.2003,n.4576>frodeinforma-ca
• GIPMilano,28.7.2006– frodeinforma-ca(art.640ter)+detenzionedicodicidiaccesso(art. 615 quater) + diffusione di programmi aQ o direQ aldanneggiamentoinforma-co(art.615quinquies)
– riciclaggio(art.648bis)
• TribunaleMilano,15.10.2007(>smishing)– sos-tuzionedipersona(art.494)
– truffa(art.640)– usoindebitodicartedicredito(art.12D.L.n.143/1991)
23
orientamen-giurisprudenziali
• TribunaleMilano,19.10.2008– sos-tuzionedipersona(art.494)– detenzionedicodicidiaccesso(art.615quater)– truffa(art.640)>rileKuradell’interpretazionetradizionale
• GIPPalermo2009– riciclaggio(art.648bis)
• Cass.,sent.n.9891/2011– frodeinforma-ca(art.640ter)>«l'abusivouClizzodicodiciinformaCcidi terzi (“interventosenzadiri5o”)–comunqueo5enuCedeiquali sièentraC inpossesso all'insaputa o contro la volontà del legiNmopossessore (“con qualsiasimodalità”)–èidoneoadintegrarelafaNspeciedicuiall'art.640terc.p.ovequeicodicisianouClizzaCperinterveniresenzadiri5osudaC,informazionioprogrammicontenuCinunsistemainformaCcootelemaCco,alfinediprocurareaséodaltriuningiustoprofi5o».
24
20-04-2011
13
loKaalfurtodiiden-tàdigitale
• episodiallarman-– agosto2009>glihacker soKraggono ida-di130milionidi cartedi credito,trafugandoli ad una società di transazioni eleKroniche (Heartlando PaymantSystem)>da-carpi-dalla7‐Eleven– novembre 2007 > furto di da- di 4,2milioni di -tolari di carte di credito indannodiHannafordBrothers– nel2004,negliUSA,oltre9milionidipersonesonorimasteviQmadel“furtodiiden-tà”
• rispostediis-tuzioniprivate(>Bankitalia)• rispostenorma-ve
– DecisioneQuadro2001/413/GAIdel28maggio2001rela-vaallaloKacontrolefrodielefalsificazionidimezzidipagamentodiversidaicontan-– DireQva 2008/48/CE del 23 aprile 2008 rela-va ai contraQ di credito aiconsumatori– D.Lgs.n.141/2010– SchemadiD.Lgs.dimodificadelD.Lgs.n.141/2010(ACn.321)–4.1.2011
25
loKaalfurtodiiden-tàdigitale
• rispostediis-tuzioniprivate>Bankitalia,5.2.2010– interviene ai sensi dell’art. 6, comma 5, leK. b) D. Lgs.n.231/2007
– indicisintoma-cidipossibilifrodiinforma-che• apertura di ccb che, dopo un periodo iniziale di inaQvità, risultanoalimenta-conbonificifrequen-
• prelievi a mezzo contante ovvero trasferimento dei fondi subito dopol’accredito
• usodiccbsoloperrappor-dellastessaspecie(>bonifici)
• aQvazionedipiùcarteprepagateinpocotempo
• ricarichedicarteprepagateseguitedaimmediatoprelievo
• trasferimento da o verso l’estero (operazioni frequen- o di importosignifica-vo)
• bonificiesegui-dapiùsoggeQafavorediununicobeneficiario
26
20-04-2011
14
loKaalfurtodiiden-tàdigitale
• risposte norma-ve (comunitarie) > la RaccomandazioneParlamentoEuropeodel26.3.2009suggeriscedi:
– affrontare la ques-one del “furto d'iden-tà” e frode a livellodell'Unioneeuropeaincollaborazionecon
• fornitoridiInternet• organizzazionidegliuten-
• autorità di polizia che si occupano della cibercriminalità (> per le qualidovrebbeessereprevistaunaspecificaformazione)
– incoraggiarelacooperazionefrapubblicoeprivato• rafforzamento della cooperazione > «coregolamentazione edell'autoregolamentazione come alternaCve efficaci o strumenCcomplementariallalegislazionetradizionale»
– creazionedipiaKaformediallarme(alivelloeuropeo)
– campagnedisensibilizzazioneediprevenzione
27
loKaalfurtodiiden-tàdigitale• rispostenorma-ve(nazionali)
• DDL (A.S. n. 507) del 13 maggio 2008 – «Disposizioni inmateria di prevenzione delle frodi nel se5ore del credito alconsumo, dei pagamenC dilazionaC o differiC e del se5oreassicuraCvo»
• approvatodalSenatoil16.9.2009
• esame in commissione alla Camera (A.C. n. 2699) iniziato il9.3.2010
• DDL (A.S. n. 1869) del 11.11.2009 – «Modifiche al codicepenaleealcodicediprocedurapenaleperfavorireilcontrastoalfurtod’idenCtà»
• introduzionedell’art.494biscp
• schemadiD.Lgs.2011
28
20-04-2011
15
loKaalfurtodiiden-tàdigitale• DDL(A.S.n.1869)del11.11.2009>art.494biscp(Frodeconfalsaiden-tà)Chiunque indebitamente acquisisca, in qualsiasi forma, daC idenCficaCvi personali,codici di accesso o credenziali riservate o in qualsiasi modo formi, ricostruisca odiffonda informazioni individuali relaCve a persone fisiche o giuridiche al fine diorganizzare aNvità fraudolentemediante assunzione abusiva dell’idenCtà altrui o diunaidenCtàfiNziafunzionaleallaformazionediunrapportocontra5ualediqualsiasigenere,anchea5raversol’inviomassivodicorrispondenzainformaCcaingannevole,èpunito,salvocheilfa5ocosCtuiscapiùgravereato,conlareclusionedaunoacinqueannieconlamultafinoa10.000euro.
Chiunque,o5enuCabusivamenteidaCidenCficaCvipersonalidicuialprimocommaocomunque avvalendosi di falsa o contraffa5a documentazione di idenCtà, concluda,sosCtuendosi ad altri, rapporC contra5uali ovvero di mutuo, locazione o locazionefinanziaria,ovverocontraNbancari,assicuraCviosocietari,finanziaridi invesCmentoo di finanziamento per l’acquisto, l’abbonamento o il pagamento di beni o servizi, èpunito,salvocheilfa5ocosCtuiscapiùgravereato,conlareclusionedadueaseiannieconlamultadaeuro15.000a25.000.
29
loKaalfurtodiiden-tàdigitale• schemadiD.Lgs.2011
• raCodell’interventonovellis-co– «necessità di introdurre una normaCva in grado didepotenziare, a monte, il verCginoso aumento delle frodicrediCziecorrelateallafaNspeciedifurtodiidenCtà.Taleaspe5oassume parCcolare rilievo in un contesto, quale quello a5uale,contrassegnato dall’esigenza di contenere l’aumento dei tassi diinteressepraCcaCdalse5orebancarioecrediCzio…»
– maggior livello di prevenzione contro il furto di iden-tà =riduzionedeitassidiinteressepra-ca-
• fonte>delegacontenutanellaleggecomunitaria2009(art.13,comma1,leK.d‐ter)L.n.96/2010)• altriprogeQsimili>DDLCameran.2699
30
20-04-2011
16
loKaalfurtodiiden-tàdigitaleArt.30bis(Definizioni)Ai fini del presente decreto legislaCvo per furto di idenCtà siintende:1) l’impersonificazionetotale:appropriazioneindebitadell’idenCtàdi un altro sogge5o mediante l’uClizzo dei suoi daC personali.L’impersonificazione può riguardare un sogge5o realmenteesistente,unsogge5oinesistenteounsogge5odefunto;2) l’impersonificazione parziale: occultamento parziale dellapropria idenCtà a5raverso l’uClizzo di daC anagrafici falsi e direcapiCveri;3) la dichiarazione di cara5eri falsi: uClizzo di daC anagrafici erecapiC veri e cara5eri falsi, quesC ulCmi relaCvi, a CtoloindicaCvo, all’aNvità lavoraCva, allo sCpendio, al bilanciosocietario.
31
loKaalfurtodiiden-tàdigitale
• sistema di prevenzione incentrato sulla connessione trabancheda->ges-todalMinisterodell’Economia• archivioinforma-copubblico/privato
– componente“pubblica”dell’archivio>permeKediverificare:• la validità dei documen- di iden-tà (> Mininisterodell’Interno)• ida-anagraficiodiresidenza
• la posizione fiscale, contribu-va, reddituale (> Agenzia delleEntrate,INPS,INAIL,INPDAP)
– componente“privata”dell’archivio>informazioniprovenien-daoperatori economici (banche, intermediari finanziari, fornitori diservizi di comunicazione eleKronica, fornitori di servizi ad accessocondizionato,gestoridisistemidiinformazionicredi-zie)
32
20-04-2011
17
loKaalfurtodiiden-tàdigitale
• segnalazionedicasisospeQ
• alla Consap può essere chiesto il riscontro dei da-contenu-nelladocumentazione fornitadallepersonefisichecherichiedonounadilazioneoundifferimentodipagamento,unfinanziamentooaltraanalogafacilitazionefinanziaria
• problemadelrispeKodellanorma-vasuida-personali– -tolaredeltraKamento=Ministerodell’Economia
– responsabile del traKamento = Consap spa (ente gestoredell'archivioinforma-zzato)
33
