universita degli studi di udine cesare maragoni 1 udine, 4 maggio 2007 spyware e virus informatici...
Post on 02-May-2015
219 Views
Preview:
TRANSCRIPT
UNIVERSITA’ DEGLI STUDI DI UDINEUNIVERSITA’ DEGLI STUDI DI UDINE
Cesare Maragoni
1
Udine, 4 maggio 2007
SPYWARE E VIRUS SPYWARE E VIRUS INFORMATICIINFORMATICI
MODALITA’ INVESTIGATIVE E TECNICHE DI MODALITA’ INVESTIGATIVE E TECNICHE DI CONTRASTOCONTRASTO
MALICIUS CODEMALICIUS CODE
VIRUS TROJAN
DIALER
KEYLOGGER
ROOTKIT
BOTNET
WORM
SPYWARE
MALICIUS CODEMALICIUS CODE
innocuiinnocui:: se non alterano le operazioni del computer ed il risultato della loro propagazione comporta solo una diminuzione dello spazio libero sul disco o con il produrre effetti multimediali.
dannosidannosi:: possono causare dei problemi alle normali operazioni del computer come la cancellazione di alcune parti dei file. Di solito hanno anche l’effetto di aggravare le prestazioni della macchina assorbendone gran parte della capacità operativa
molto dannosi:molto dannosi: l'unico scopo consiste nel provocare danni difficilmente recuperabili come la distruzione dei programmi o la cancellazione d'informazioni vitali per il sistema (formattazione di porzioni del disco).
Virus
Programma che si propaga inserendosi in un ospite o in un sistema operativo, confondendosi tra gli altri programmi.
Per attivarlo e’ necessario eseguire il relativo programma ospite
Worm
Programma che opera in modo indipendente. Per mantenersi consuma le risorse
del proprio host dal suo interno è in grado di propagarsi autonomamente
ad altre macchine in maniera completa e funzionante
SpywareSpyware
keyloggerkeylogger
Programmi che spiano la navigazione in Rete dell’utente
Lavorano in background.Memorizzano tutte le informazioni per trasmetterle ad un terzo soggetto (HD SW)
rootkitrootkit
botnetbotnet
porzione di software che può essere installato e nascosto su un computer all’insaputa dell’utente
una rete di computer infettati da virus o trojan che consentono di controllare il sistema da remoto
MAI ESEGUIRE PROGRAMMI SCONOSCIUTI
FAR MODIFICARE AD ALTRI IL S.O.
CONSENTIRE AD ALTRI L’ACCESSO FISICO AL PC
PW NO PAROLE DI SENSO COMPIUTO
NO DATI PERSONALI O FAMILIARI
DA MODIFICARE CON FREQUENZA
FIREWALL - ANTIVIRUS – PROGRAMMI AGGIORNATI
LA TECNOLOGIA NON E’
LA SOLUZIONE AINOSTRI PROBLEMI
QUALCHE CONSIGLIO SULLA SICUREZZA…
La normativa italianaLa normativa italiana la legge 547/93 ha introdotto i cosiddetti
“reati informatici” è stata la risposta del legislatore
dell’epoca alle sollecitazioni del mondo delle tecnologie per un adeguamento alla realtà in repentina evoluzione
Nuove figure di reato ovvero nuove modalità di commissione di reati tradizionali
Difficili da accertareScarsa collaborazione delle vittimeAleatorietà della provaDifficoltà nella acquisizione e
mantenimento integro delle proveFacilità di danneggiamento accidentale o
volontarioDivieto di analogia della norma penale
Caratteristiche dei reati informaticiCaratteristiche dei reati informatici
Danneggiamento informatico
Accesso abusivo a sistema informatico
Turbativa delle comunicazioni informatiche
Frode informatica
Falso informatico
I nuovi reati informaticiI nuovi reati informatici
art. 392 c.p. (Esercizio arbitrario delle proprie ragioni con violenza sulle cose)
art. 420 c.p. (Attentato a impianti di pubblica utilità)
art. 635 bis c.p. (Danneggiamento di sistemi informatici e telematici)
art. 615 quinquies c.p.
(Diffusione di programmi diretti a danneggiare o interrompere un sistema informatico)
Danneggiamento informaticoDanneggiamento informatico
art. 615 ter c.p. (Accesso abusivo ad un sistema informatico o telematico)
art. 615 quater c.p. (Detenzione e diffusione abusiva di codici di accesso a sistemi informatici
o telematici)
art. 617 quater c.p. (Intercettazione, impedimento o interruzione illecita di comunicazioni
informatiche o telematiche)
art. 617 sexies c.p. (Falsificazione, alterazione o soppressione del contenuto di comunicazioni
informatiche o telematiche)
Accesso abusivoAccesso abusivo
art. 616 c.p. (Violazione, sottrazione e soppressione di corrispondenza)art. 617 quater c.p. (Intercettazione, impedimento o interruzione illecita di
comunicazioni informatiche o telematiche)617 quinquies c.p. (installazione di apparecchiature atte ad intercettare, impedire od
interrompere comunicazioni informatiche o telematiche)617 sexies c.p. (falsificazione, alterazione o soppressione del contenuto di
comunicazioni informatiche o telematiche)621 c.p. (rivelazione del contenuto di documenti segreti)
Turbativa delle comunicazioni Turbativa delle comunicazioni informaticheinformatiche
art. 640 c.p. ter
(frode informatica) Figura specifica del reato di truffa
Non richiede artifizi o raggiri
Profitto proprio con danno altrui
Mediante manipolazione del sistema
Mediante manipolazione dei dati (contenuti nel sistema)
Frode informaticaFrode informatica
Art. 491 bis c.p. (documenti informatici)
QUALUNQUE SUPPORTO INFORMATICO CONTENENTE DATI O INFORMAZIONI AVENTI EFFICACIA PROBATORIA O PROGRAMMI SPECIFICAMENTE DESTINATI AD ELABORARLI
Falso informaticoFalso informatico
ZELIG
Canali d’infezioneCanali d’infezione
Sito WEB
Messaggio via E-mail
Il Momento è catartico
FunzionamentoFunzionamento
ZELIG WORMZELIG WORMZELIG WORMZELIG WORM
Installato Zelig.scr la connessione internet viene dirottata sul numero a pagamento 899***
Il bonifico transitava sulla Bank of America di New York e successivamente accreditato in Venezuela con beneficiaria una società offshore in Aruba.
Arriva via e-mail un messaggio che invita a scaricare lo screen saver dello ZELIG sul sito www.francescone.com
Numeri dell’indagine
Primo virus al mondo con finalità di frode.Primo virus al mondo con finalità di frode. 3 giorni di “inseguimenti virtuali”. 3 giorni di “inseguimenti virtuali”. 12.497 connessioni telefoniche e 57.794 12.497 connessioni telefoniche e 57.794 min. di traffico fraudolentomin. di traffico fraudolento 104.029,00 € di illeciti profitti recuperati.104.029,00 € di illeciti profitti recuperati. Migliaia di Pc infettati in poche ore.Migliaia di Pc infettati in poche ore. Collaborazione internazionale (SS-USA)Collaborazione internazionale (SS-USA)
PHISHING
E’ una tecnica utilizzata per ottenere l’accesso ad informazioni personali con la finalità del furto di identità mediante l’utilizzo di messaggi di posta elettronica opportunamente creati per apparire autentici. Mediante questi messaggi l’utente è ingannato e portato a rivelare dati sensibili come numero di conto, nome utente e password, numero di carta di credito.
Un esempio di ingegneria Un esempio di ingegneria sociale: il Phishing…sociale: il Phishing…
1) Email che invita ad accedere al sito della banca per ottenere il nuovo pin di sicurezza;
2) Email che invita ad accedere al sito della banca per ottenere un premio in denaro;
3) Email contenente un avviso di addebito in conto, di un importo non indifferente, per l'acquisto, ad esempio, di un pc; maggiori dettagli il destinatario li può trovare nel sito indicato nella email; per accedere al sito viene poi richiesta la userid e la password, in modo da poterla catturare;
4) Email che invita ad accedere al sito della banca proprio perché phisher avrebbero attentato alla sicurezza del conto corrente del cliente;
5) Email con avviso analogo al precedente, ma il destinatario, accedendo al sito, riceve sul computer un programma "trojan" che si metterà in "ascolto" e provvederà a raccogliere i dati digitati dal cliente sul suo pc e, successivamente, ad inviarli all'hacker o ad una banda criminale; in tal modo, vengono reperiti dati importanti, fra i quali user e password, numeri di carte di credito, ecc..
Le "esche" lanciate sul Web sono di vario tipo:
L’attività si estrinseca su tre “versanti”:L’attività si estrinseca su tre “versanti”:
Lato “B”Lato “B”
Lato “A”Lato “A”
ReclutamentoReclutamento
Raccolta credenzialiRaccolta credenziali
Financial managerFinancial manager
Vittima del phishingVittima del phishing
Lato “C”Lato “C” RiciclaggioRiciclaggio Financial managerFinancial manager
Come funziona…Side “A” – Raccolta credenzialiCome funziona…Side “A” – Raccolta credenziali
In questa prima fase, il “ladro di informazioni” invia a tutti gli account di posta elettronica di un provider X, una mail
che invita il correntista di una banca Y ad inserire le propriecredenziali per il servizio di Home Banking.
N.B.: tali e-mail sono inviate a tutti, non solo ai correntisti dell’Istituto bancario preso di mira.
In questa prima fase, il “ladro di informazioni” invia a tutti gli account di posta elettronica di un provider X, una mail
che invita il correntista di una banca Y ad inserire le propriecredenziali per il servizio di Home Banking.
N.B.: tali e-mail sono inviate a tutti, non solo ai correntisti dell’Istituto bancario preso di mira.
La prima mail di phishing in Italia16 marzo 2005
I dati degli utenti ingannati, transitando da siti stranieri,
finiscono in un DataBase a disposizione dei frodatori.
(di solito un file txt all’estero)
I dati degli utenti ingannati, transitando da siti stranieri,
finiscono in un DataBase a disposizione dei frodatori.
(di solito un file txt all’estero)
Come funziona…Side “A” – Raccolta credenzialiCome funziona…Side “A” – Raccolta credenziali
Attacco congiunto a 3 banche Ore 14.00 del 19 ottobre 2005:
Attacco di Phishing a 3 Banche.
Ore 13.00 del 20 ottobre 2005 Dichiariamo terminato, dopo aver
chiuso 1259 domini, l'attacco di phishing alle 3 Banche.
30
Risultato… 3500 utenti circa hanno inserito le
credenziali nei pop up in sole 23 ore.
150 credenziali risultano “buone”, come confermato dai feedback delle
stesse banche
Recuperati i file .txt in Russia e cambiate le password
Client sideClient side
HackerHacker
Server sideServer side
Computer infettoComputer infetto
Trojan e bonificoTrojan e bonificoTrojan e bonificoTrojan e bonifico
Bonifico in frodeBonifico in frode
Come funziona…Side “B” – RECLUTAMENTOCome funziona…Side “B” – RECLUTAMENTO
In questa seconda fase, il “ladro di informazioni” invia, sempre a tutti gli account di posta di un provider, una mail
che propone un lavoro come “intermediario finanziario” o “financial manager” per conto di una società estera,
promettendo retribuzioni pari al 5-10% della somma trattata.
L’email è corredata di tutta una serie di credenziali di tale societàed, addirittura, invita l’utente a visitare il sito web dell’azienda.
Sito web costruito ad hoc dal look professionale che inganna l’utente.
Quest’ultimo, accettato il “lavoro” invia le coordinarie bancarie del proprio conto corrente per iniziare l’attività.
In questa seconda fase, il “ladro di informazioni” invia, sempre a tutti gli account di posta di un provider, una mail
che propone un lavoro come “intermediario finanziario” o “financial manager” per conto di una società estera,
promettendo retribuzioni pari al 5-10% della somma trattata.
L’email è corredata di tutta una serie di credenziali di tale societàed, addirittura, invita l’utente a visitare il sito web dell’azienda.
Sito web costruito ad hoc dal look professionale che inganna l’utente.
Quest’ultimo, accettato il “lavoro” invia le coordinarie bancarie del proprio conto corrente per iniziare l’attività.
Reclutamentomediante Spam..
Hello,
My friend give me your e-mail address. I think you are from Italy, so you can help me.
I am a programmer from Russia, I have some clients from Italy that ready to pay me sending
money by Post office transfer, they dont have WesternUnion/Moneygram office nere their place,but I can receive only Western Union/MoneyGram transfers here in Russia. So - I need to find somebody who can receive this Post office transfer (you need just your ID for it) and re-send money to me by sending Western Union/MoneyGram transfer.
If you help me - you get 10% from transferred money (10% from 5000 EUR = 500 EUR to you from one transfer). If you are ready to help, please e-mail me to LOOKJOB@AOL.COM.
Thank you for your attention.Contact e-mail: LOOKJOB@AOL.COM – http://www.silvestry.biz
Alcuni numeri……
29%
18%
26%
5% 2%
20%
USA
Italia
GB
Germania
Spagna
Francia
36
Vittima phishingVittima phishing
Financial managerFinancial manager
FrodatoreFrodatore
I frodatori, con le credenziali di accesso delle vittime, effettuano bonifici nazionali ai financial manager.
Questi ultimi verranno contattati via SMS o E-mail per ricevere
le disposizioni per prelievo ed il rinvio del danaro nei Paesi dell’Est.
I frodatori, con le credenziali di accesso delle vittime, effettuano bonifici nazionali ai financial manager.
Questi ultimi verranno contattati via SMS o E-mail per ricevere
le disposizioni per prelievo ed il rinvio del danaro nei Paesi dell’Est.
Come funziona…Side “C” – RiciclaggioCome funziona…Side “C” – Riciclaggio
Financial managerFinancial manager
FrodatoreFrodatore
Il financial manager, si reca presso la propriaBanca (anche solo 20 minuti dopo il bonifico in frode), preleva il contante, trattenendosi la commissione pattuita (5-10%) ed invia,per mezzo di società di Money Transfer,
il denaro così “ripulito” nei Paesi dell’Est.
Il financial manager, si reca presso la propriaBanca (anche solo 20 minuti dopo il bonifico in frode), preleva il contante, trattenendosi la commissione pattuita (5-10%) ed invia,per mezzo di società di Money Transfer,
il denaro così “ripulito” nei Paesi dell’Est.
Come funziona…Side “C” – RiciclaggioCome funziona…Side “C” – Riciclaggio
????????A mano
Il beneficiario russo
Il beneficiario russo
Il beneficiario russo o ucraino, prelevati i soldi presso una agenzia western union,
effettua un trasferimento, a fronte di 15- 25dollari, “hand to hand” al committente,
conosciuto via chat.
Il beneficiario russo o ucraino, prelevati i soldi presso una agenzia western union,
effettua un trasferimento, a fronte di 15- 25dollari, “hand to hand” al committente,
conosciuto via chat.
Ed in Russia?Ed in Russia?Ed in Russia?Ed in Russia?
Nota Bene:Lo stipendio in Ucraina di un
Colonnello della polizia è di circa270 euro al mese.
Nota Bene:Lo stipendio in Ucraina di un
Colonnello della polizia è di circa270 euro al mese.
MM
C e
Spyw
are
Caso 1
R.R.(148)
25/08/2005 ore 09.17.25. 12.000
25/08/2005 ore 09.18.03.
25/08/2005 ore 09.18.35. 12.000
12.000M.L.
Preleva alle Ore 09.25.00
Caso 2
A.G.(7)
14/06/2005 ore 13.00.00. 5.000
14/06/2005 ore 13.00.54. 5.000
P.G.Preleva
nel primopomeriggio
Caso 3
P.D..(134)
9/06/2005 ore 12:26:17.5.000
10/06/2005 ore 9:49:26.
M.M.Preleva alle Ore 12.45.00
9/06/2005 ore 12:27:09 5.000
10/06/2005 ore 9:50.18.10/06/2005 ore 9:51:11.
13/6/2005 ore 10:13:34.
13/6/2005 ore10:14:44.
13/06/2005 ore 10:16:47.
13/6/2005 ore 10:15:43.
M.M.Preleva alle Ore 10.15.00
5.0005.000
5.0005.000 M.M.
Preleva alle Ore 10.30
5.0005.0005.000
Oltre 8 milioni di euro di tentativi da maggio 2005 ad oggi;Il 50% andati a buon fineCirca 500.000 di euro bloccati dalla Gdf (anche durante il “tragitto” Italia – ex Urss).
I numeri sul furto d’identità elettronico in Italia….
arresto di due cittadini dell’est Europa arrivati in Italia per bypassare i blocchi…
Oltre 90 indagati per cybericiclaggio. 5 rogatorie internazionali. Cooperazione internazionale (Eurojust,
Europol, Ocse).
(segue): i numeri sul furto d’identità elettronico in Italia….
Evoluzione del phishingEvoluzione del phishing
VISHINGVISHING
SMShingSMShing
Diffusione di email che invitano a contattare un call center per aggiornare i dati personali
invio di SMS che invita a contattare un call center al fine di confermare i propri sensibili.
www.microsoft.com www.washingtonpost.com www.ictlex.it www.dia.unisa.it www.f-secure.com www.fbi.gov.us www.anti-phishing.it www.zone-h.org www.danilovizzarro.it Buffa F., Internet e criminalità – Finanza telematica off shore, Ed. Giuffrè, Milano 2001 Pica G., Diritto Penale delle tecnologie informatiche, Ed. UTET, Torino 1999
FONTIFONTI
GRAZIE PER L’ATTENZIONEGRAZIE PER L’ATTENZIONE
maragoni.cesare@gdf.itmaragoni.cesare@gdf.it
top related