Un caso di phishing andato a buon fine? Un caso reale di un ammanco su un conto BancoPosta: risposte, osservazioni e riflessioni sui livelli di sicurezza offerti all'utenza.
La gestione delle identità per il controllo delle frodi bancarie
Dagli alert alle denunce: il caso di Poste Italiane
1. Dagli alert alle denunce Quando il phishing va a buon fine Armando LeottaCybercrime 2.0 Roma, 23 giugno 2010
2. Cosa, Come e chi Una truffa informatica Componente sociale Componente tecnologica Vettori di attacco: mail social network siti web IM etc… (main) Target: utenti di servizi bancari, postali e finanziari social network cloud…(?) Report MELANI: trend da e-banking a identity Quando il phishing va a buon fine - Armando Leotta - TOP-10 relativa alle organizzazioni maggiormente sottoposte ad attacchi di phishing nel corso del primo trimestre del 2010 (fonte KarsperkyLab) 2
3. Dove e Quando Appetibilità Grandi aziende Atenei Postazioni non aggiornate Unattended Scarsa consapevolezza dei rischi In occasione di particolari eventi Tsunami Raccolte di fondi umanitari Croce rossa italiana Eventi mediatici su larga scala (ad es. influenza suina, la morte di Michael Jackson, mondiali di calcio,…) … Quando il phishing va a buon fine - Armando Leotta - 3
4. Perchè Interessi economici Cybercrime evolve Spamming Carding Phishing Botnet Mobile botnet Spionaggio industriale e targetedattack Modello di business evolve Cyber laundering Quando il phishing va a buon fine - Armando Leotta - B U S I N E S S 4
5. “Solite” Raccomandazioni Non aprire mail da mittenti ignoti Non aprire allegati non attesi Non usare i link proposti via mail Mantenere aggiornato il proprio sistema Dotarsi di strumenti antimalware *aggiornati* Usare connessioni sicure laddove possibile Evitare di effettuare autenticazioni in ambienti insicuri o condivisi (cybercafè, hotspot pubblici o open, etc…) Quando il phishing va a buon fine - Armando Leotta - 5
6. Un caso reale: poste italiane Un saldo inferiore all’atteso Operazioni non riconosciute come proprie Panico (ricariche telefoniche e postepay) Segnalazione alla propria banca Segnalazione alle forze dell’ordine Quando il phishing va a buon fine - Armando Leotta - 6
7. BancoPosta “Gentile Cliente, con riferimento alla sua richiesta d’informazioni riguardante le operazioni online disposte dal conto corrente a Lei intestato, Le facciamo presente che dalle verifiche effettuate dette transazioni risultano eseguite con il corretto inserimento dei codici di accesso segreti per il riconoscimento del titolare.” Quando il phishing va a buon fine - Armando Leotta - Leggi: “non ci sono errori tecnici o contabili a noi imputabili: le transazioni sono avvenute nel rispetto delle modalità previste“ 7
8. BancoPosta II “Possiamo perciò supporre che i fatti da Lei segnalati siano riconducibili ad un caso di frode informatica. Come Le sarà certamente noto, le modalità mediante le quali può essere realizzato il furto d’identità online può essere vario.” Quando il phishing va a buon fine - Armando Leotta - Leggi: “Sei in buona fede e credo perfettamente alla tua versione dei fatti. E ti aiuto anche a capire come può essere successo tanto…“ 8
9. BancoPosta III “Può ad esempio accadere che sia lo stesso cliente a digitare inconsapevolmente i propri codici d’accesso in un sito che solo apparentemente risulta essere quello del proprio istituto di credito al quale si è collegato direttamente da un link ricevuto via posta elettronica.” Quando il phishing va a buon fine - Armando Leotta - Leggi: “Lo sai che non devi MAI accedere alla banca tramite link ricevuti in posta? Lo sai quante mail di phishing del nostro istituto girano giornalmente?“ 9
10. BancoPosta IV “Può anche verificarsi che sul personal computer non adeguatamente protetto vengano installati all’insaputa dell’utente “programmi spia”, in grado cioè di raccogliere informazioni dal computer e di trasmetterle via rete.” Quando il phishing va a buon fine - Armando Leotta - Leggi: “Il personal computer è un problema tuo, non della tua banca: dovevi “proteggerti adeguatamente”“ 10
11. BancoPosta V “Una volta carpiti i dati personali sono utilizzati fraudolentemente a danno degli ignari utenti. Deve, perciò, essere cura di chi utilizza strumenti informatici adottare tutte le cautele necessarie per garantire la riservatezza dei propri dati.” Quando il phishing va a buon fine - Armando Leotta - Chiusura con applauso: la colpa è senza dubbio la tua. 11
12. Osservazioni Poste Italiane ha fatto una campagna d’informazione costante per combattere e sensibilizzare gli utenti circa il fenomeno del phishing Per contro non è riuscita ad eliminare le mail di phishing nemmeno dai suoi stessi serventi Nel caso trattato, gli ammanchi sono riconducibili a transazioni in cui è stato inserito anche il PIN dispositivo Quando il phishing va a buon fine - Armando Leotta - 12
17. Responsabilità Utente Consapevolezza Norme comportamentali Banca Accorgimenti sufficienti? VPN, Autenticazione basata su certificati, Token OTP, Verifica aggiornamento sistema Antimalware lato client, etc… (prevenzione) Notifiche via SMS, MAIL, IM, blocco cautelativo uso anomalo (reazione/contenimento/prevenzione) … Notebook in comodato d’uso Abbonamento attivo per Antivirus e Antispyware Software preinstallato … Quando il phishing va a buon fine - Armando Leotta - 14
18. Riflessioni Possibile che bastino informative, disclaimer e bacheche per demandare completamente all’utente la verifica della auspicata “adeguata protezione” ? Che significa “adeguata protezione” ? L’utente è sufficientemente tutelato? Le misure di sicurezza poste in essere dall’azienda (in questo caso Poste Italiane) sono ragionevolmente adatte e sufficienti? Forse qualche attenzione in più sull’offerta ai clienti è lecito ipotizzarla (vedi altri servizi bancari analoghi). Riflettere e condividere come sempre mi sembra la strada maestra. Quando il phishing va a buon fine - Armando Leotta - 15
19. Tab-napping Nuovo phishing exploit Basato su javascript Componenti tecnologiche Componenti sociali Più tabelle o finestre e cambio del focus Proofofconcept Quando il phishing va a buon fine - Armando Leotta - 16
20. Q & A G r a z i e d e l l ’ a t t e n z i o n e Quando il phishing va a buon fine - Armando Leotta - Armando Leotta blog.armandoleotta.com 17