31
D3Lab – Phishing Monitoring & Fighting CRIMINI INFORMATICI 2012 Indagini Digitali in ambito giudiziario e forense Ordine degli avvocati di pesaro - 9 novembre 2012 Identita' Digitali Violate phishing

Identità digitali violate: Phishing

Embed Size (px)

DESCRIPTION

Il phishing non è un crimine digitale banale, in cui cadono solo gli sciocchi, come spesso viene stereotipato, ma rappresenta una minaccia sempre attuale perchè, come sempre, i cybercriminali ...guardano avanti

Citation preview

D3Lab – Phishing Monitoring & Fighting

CRIMINI INFORMATICI 2012Indagini Digitali in ambito giudiziario e forense

Ordine degli avvocati di pesaro - 9 novembre 2012

Identita' Digitali Violate

phishing

D3Lab Phishing Monitoring & Fighting info(AT)d3lab.net tel. 0125-1963370– – –

CRIMINI INFORMATICI 2012 - ondagini Digitali in ambito giudiziario e forense - 9 novembre 2012- Ordine degli avvocati di pesaro -

Luoghi comuni

pericolosi

Nessuno casca più nel phishing è una truffa per polli“ ”

La mia banca mi ha dato l OTP'

Colpisce solo le banche

E un fenomeno in calo'

Lo fanno ragazzini brufolosi i più sfigati tra gli hacker,

D3Lab Phishing Monitoring & Fighting info(AT)d3lab.net tel. 0125-1963370– – –

CRIMINI INFORMATICI 2012 - ondagini Digitali in ambito giudiziario e forense - 9 novembre 2012- Ordine degli avvocati di pesaro -

Luoghi comuni

pericolosi

Nessuno casca più nel phishing è una truffa per polli“ ” '

D3Lab Phishing Monitoring & Fighting info(AT)d3lab.net tel. 0125-1963370– – –

CRIMINI INFORMATICI 2012 - ondagini Digitali in ambito giudiziario e forense - 9 novembre 2012- Ordine degli avvocati di pesaro -

Luoghi comuni

pericolosi

Nessuno casca più nel phishing è una truffa per polli“ ” '

D3Lab Phishing Monitoring & Fighting info(AT)d3lab.net tel. 0125-1963370– – –

CRIMINI INFORMATICI 2012 - ondagini Digitali in ambito giudiziario e forense - 9 novembre 2012- Ordine degli avvocati di pesaro -

Luoghi comuni

pericolosi

La mia banca mi ha dato l OTP'

D3Lab Phishing Monitoring & Fighting info(AT)d3lab.net tel. 0125-1963370– – –

CRIMINI INFORMATICI 2012 - ondagini Digitali in ambito giudiziario e forense - 9 novembre 2012- Ordine degli avvocati di pesaro -

Luoghi comuni

pericolosi

Colpisce solo le banche

D3Lab Phishing Monitoring & Fighting info(AT)d3lab.net tel. 0125-1963370– – –

CRIMINI INFORMATICI 2012 - ondagini Digitali in ambito giudiziario e forense - 9 novembre 2012- Ordine degli avvocati di pesaro -

Luoghi comuni

pericolosi

Colpisce solo le banche

D3Lab Phishing Monitoring & Fighting info(AT)d3lab.net tel. 0125-1963370– – –

CRIMINI INFORMATICI 2012 - ondagini Digitali in ambito giudiziario e forense - 9 novembre 2012- Ordine degli avvocati di pesaro -

Luoghi comuni

pericolosi

Colpisce solo le banche

D3Lab Phishing Monitoring & Fighting info(AT)d3lab.net tel. 0125-1963370– – –

CRIMINI INFORMATICI 2012 - ondagini Digitali in ambito giudiziario e forense - 9 novembre 2012- Ordine degli avvocati di pesaro -

Luoghi comuni

pericolosi

Colpisce solo le banche

D3Lab Phishing Monitoring & Fighting info(AT)d3lab.net tel. 0125-1963370– – –

CRIMINI INFORMATICI 2012 - ondagini Digitali in ambito giudiziario e forense - 9 novembre 2012- Ordine degli avvocati di pesaro -

Colpisce solo le banche

Luoghi comuni

pericolosi

D3Lab Phishing Monitoring & Fighting info(AT)d3lab.net tel. 0125-1963370– – –

CRIMINI INFORMATICI 2012 - ondagini Digitali in ambito giudiziario e forense - 9 novembre 2012- Ordine degli avvocati di pesaro -

Luoghi comuni

pericolosi

Colpisce solo le banche

D3Lab Phishing Monitoring & Fighting info(AT)d3lab.net tel. 0125-1963370– – –

CRIMINI INFORMATICI 2012 - ondagini Digitali in ambito giudiziario e forense - 9 novembre 2012- Ordine degli avvocati di pesaro -

Luoghi comuni

pericolosi

Colpisce solo le banche

D3Lab Phishing Monitoring & Fighting info(AT)d3lab.net tel. 0125-1963370– – –

CRIMINI INFORMATICI 2012 - ondagini Digitali in ambito giudiziario e forense - 9 novembre 2012- Ordine degli avvocati di pesaro -

Luoghi comuni

pericolosi

Colpisce solo le banche

D3Lab Phishing Monitoring & Fighting info(AT)d3lab.net tel. 0125-1963370– – –

CRIMINI INFORMATICI 2012 - ondagini Digitali in ambito giudiziario e forense - 9 novembre 2012- Ordine degli avvocati di pesaro -

Luoghi comuni

pericolosi

Colpisce solo le banche

D3Lab Phishing Monitoring & Fighting info(AT)d3lab.net tel. 0125-1963370– – –

CRIMINI INFORMATICI 2012 - ondagini Digitali in ambito giudiziario e forense - 9 novembre 2012- Ordine degli avvocati di pesaro -

Luoghi comuni

pericolosi

E un fenomeno in calo in stallo' ,

D3Lab Phishing Monitoring & Fighting info(AT)d3lab.net tel. 0125-1963370– – –

CRIMINI INFORMATICI 2012 - ondagini Digitali in ambito giudiziario e forense - 9 novembre 2012- Ordine degli avvocati di pesaro -

Luoghi comuni

pericolosi

E un fenomeno in calo in stallo' ,

D3Lab Phishing Monitoring & Fighting info(AT)d3lab.net tel. 0125-1963370– – –

CRIMINI INFORMATICI 2012 - ondagini Digitali in ambito giudiziario e forense - 9 novembre 2012- Ordine degli avvocati di pesaro -

Il phisher mira :con motivazioni plausibili verosimili/ ,

Imponendo senso di urgenza ,gravita premura ',

Ad indurre il destinatario della mail a cliccare sul link proposto oAd aprire e compilare l allegato'

D3Lab Phishing Monitoring & Fighting info(AT)d3lab.net tel. 0125-1963370– – –

CRIMINI INFORMATICI 2012 - ondagini Digitali in ambito giudiziario e forense - 9 novembre 2012- Ordine degli avvocati di pesaro -

D3Lab Phishing Monitoring & Fighting info(AT)d3lab.net tel. 0125-1963370– – –

CRIMINI INFORMATICI 2012 - ondagini Digitali in ambito giudiziario e forense - 9 novembre 2012- Ordine degli avvocati di pesaro -

E dopo la mail ….

Vediamo il phishing in pratica

D3Lab Phishing Monitoring & Fighting info(AT)d3lab.net tel. 0125-1963370– – –

CRIMINI INFORMATICI 2012 - ondagini Digitali in ambito giudiziario e forense - 9 novembre 2012- Ordine degli avvocati di pesaro -

Tipologia di attacco :Link diretto

Link con redirect

Allegato htm html mht/ /

Iframe

Mix allegato iframe allegato pagine clone remote: + , +

D3Lab Phishing Monitoring & Fighting info(AT)d3lab.net tel. 0125-1963370– – –

CRIMINI INFORMATICI 2012 - ondagini Digitali in ambito giudiziario e forense - 9 novembre 2012- Ordine degli avvocati di pesaro -

Difficolta investigativa' :

La vittima si accorge tardi della frode

Il phishing e dinamico rapido ora c e tra due ore non piu' , , ' ' ' contrasto banche attivita isp gestore dominio velocita attacco - , ' / , ' -

Attori autori host spesso extra italia– , –

Denunce presentante su differenti uffici

D3Lab Phishing Monitoring & Fighting info(AT)d3lab.net tel. 0125-1963370– – –

CRIMINI INFORMATICI 2012 - ondagini Digitali in ambito giudiziario e forense - 9 novembre 2012- Ordine degli avvocati di pesaro -

Difficolta investigativa' :

Gli utenti si accorgono della frode e denunciano presso sedi FFPP diverse

Q.Roma        CC.Domodossola     Com.to Casale       Cp.CC Monza         GdF Pisa              CC.Jesolo   

Le notizie di reato sono inoltrate alle rispettive Procure/Procure distrettualiSingoli fascicoli per singole denunce

Differenti procedimentiMancata percezione del disegno criminoso

D3Lab Phishing Monitoring & Fighting info(AT)d3lab.net tel. 0125-1963370– – –

CRIMINI INFORMATICI 2012 - ondagini Digitali in ambito giudiziario e forense - 9 novembre 2012- Ordine degli avvocati di pesaro -

Difficolta investigativa' :

Individuazione degli attori coinvolti

Escamotage tecnici dei cattivi

Difficolta dei buoni'

Redirect

Dns dinamico

Fake subdomain

http://paypal.it.zentecsystems.com/http://paypal.it.55780.amezionuk.org/http://paypal--confirmation.it.allprojectors.co.nzhttp://poste.it.luigi.ezyezy.comhttp://confirmation.paypal.com.tediousmedia.comhttp://poste.it.qwertyatwork.beingbangkokmagazine.comhttp://confirm-paypal.it.saruba.magixhouse.comhttp://unicredit.it.f47bvj.digiturksincan.comhttp://login.44031.maxkz.comhttp://credem.it.gianni.rossi.chiangraishopping.comhttp://my.ebay.it-securesite.nethttp://paypal.com.cgi-bin.webscr-cmd--login-submit-dispatch-5885d80a13c0db1f8e263663d3f.issacharministry.org.auhttp://us.battle.net.ok.qqweb.asiahttp://us.battle.net.en.xx-rs.comhttp://cartasi.asp.paymentforme.weebejammin.ca

D3Lab Phishing Monitoring & Fighting info(AT)d3lab.net tel. 0125-1963370– – –

CRIMINI INFORMATICI 2012 - ondagini Digitali in ambito giudiziario e forense - 9 novembre 2012- Ordine degli avvocati di pesaro -

Difficolta investigativa' : Escamotage tecnici dei cybercriminali

IP DINAMICOxxx.yyy.zzz.wwaxxx.yyy.zzz.wwbeee.fff.ggg.hhaeee.ttt.kkk.llb

iii.uuu.mmm.qqa Pc con Server Http – proponePagine clone

servizioDns dinamicoNome host:

banca.ispdns.com

ISP servizio

DNS dinamico

DNS

banca.ispdns.com=

Ip del momento

Refresh DNS

Usercerco banca.ispdns.com

Vai all'indirizzo IP $IP=(ip del momento)

visualizzaclone

sul borwser

investigatore tracciaIP <---> nome host clone

dato/ora

D3Lab Phishing Monitoring & Fighting info(AT)d3lab.net tel. 0125-1963370– – –

CRIMINI INFORMATICI 2012 - ondagini Digitali in ambito giudiziario e forense - 9 novembre 2012- Ordine degli avvocati di pesaro -

Difficolta investigativa' :

Il gestore del sito violato e l hoster cancellano le evidence'

Accettazione evidence acquisite via posta …. ….

E per il cash out ….

Rogatorie rare paradisi fiscali e isole di privacy,

Data retention anche con isp italiani uso degli account poveri – -

D3Lab Phishing Monitoring & Fighting info(AT)d3lab.net tel. 0125-1963370– – –

CRIMINI INFORMATICI 2012 - ondagini Digitali in ambito giudiziario e forense - 9 novembre 2012- Ordine degli avvocati di pesaro -

Cash out :

D3Lab Phishing Monitoring & Fighting info(AT)d3lab.net tel. 0125-1963370– – –

CRIMINI INFORMATICI 2012 - ondagini Digitali in ambito giudiziario e forense - 9 novembre 2012- Ordine degli avvocati di pesaro -

Cash out :

D3Lab Phishing Monitoring & Fighting info(AT)d3lab.net tel. 0125-1963370– – –

CRIMINI INFORMATICI 2012 - ondagini Digitali in ambito giudiziario e forense - 9 novembre 2012- Ordine degli avvocati di pesaro -

Carte di credito e carte di credito virtuali per pochi euro Collegate a IBAn,

offshore bank account ( Panama isole cayman , ,british virgin island ,austria isola di man,

Cash out :

D3Lab Phishing Monitoring & Fighting info(AT)d3lab.net tel. 0125-1963370– – –

CRIMINI INFORMATICI 2012 - ondagini Digitali in ambito giudiziario e forense - 9 novembre 2012- Ordine degli avvocati di pesaro -

Utilizzo dei codici diretto su carte vergini

Commercio delle credenziali e dei dati di carte di credito

Cash out :

D3Lab Phishing Monitoring & Fighting info(AT)d3lab.net tel. 0125-1963370– – –

CRIMINI INFORMATICI 2012 - ondagini Digitali in ambito giudiziario e forense - 9 novembre 2012- Ordine degli avvocati di pesaro -

Il phishing continua ad imperare

Scarsissimo rischio

Lavoro poco impegnativo

Altamente remunerativo

Contrasto minimo

Sotto valutazione

Ed infine :

D3Lab Phishing Monitoring & Fighting info(AT)d3lab.net tel. 0125-1963370– – –

CRIMINI INFORMATICI 2012 - ondagini Digitali in ambito giudiziario e forense - 9 novembre 2012- Ordine degli avvocati di pesaro -

Question time