phishing - analisi, simulazione e contromisure
TRANSCRIPT
![Page 1: Phishing - Analisi, Simulazione e Contromisure](https://reader034.vdocuments.net/reader034/viewer/2022042619/58b87e501a28ab44078b55c1/html5/thumbnails/1.jpg)
PhishingAnalisi
SimulazioneContromisure
24.02.2017 - FoLUG - Andrea Draghetti
![Page 2: Phishing - Analisi, Simulazione e Contromisure](https://reader034.vdocuments.net/reader034/viewer/2022042619/58b87e501a28ab44078b55c1/html5/thumbnails/2.jpg)
$ whoami Phishing Analysis and Contrast @ D3Lab
Team Member @ BackBox Linux
![Page 3: Phishing - Analisi, Simulazione e Contromisure](https://reader034.vdocuments.net/reader034/viewer/2022042619/58b87e501a28ab44078b55c1/html5/thumbnails/3.jpg)
Table of
Contents
01 Introduzione al Phishing
No, non vi sto portando al laghetto di pesca!
02 Storia e Statistiche
Rolex, Casinò, Smartphone e Bella Vita!
03 Simulazione
Io e il presidente ci ripaghiamo la pizza!
04 Contromisure
Vi insegno a spegnere il PC!
![Page 4: Phishing - Analisi, Simulazione e Contromisure](https://reader034.vdocuments.net/reader034/viewer/2022042619/58b87e501a28ab44078b55c1/html5/thumbnails/4.jpg)
Il phishing è un tipo di truffa effettuata su Internet attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso,
fingendosi un ente affidabile in una comunicazione digitale. Si tratta di una attività illegale che sfrutta una tecnica di ingegneria sociale.
{WikiPedia}
Phishing
![Page 5: Phishing - Analisi, Simulazione e Contromisure](https://reader034.vdocuments.net/reader034/viewer/2022042619/58b87e501a28ab44078b55c1/html5/thumbnails/5.jpg)
Phishing Types
La massa
Con una grande rete, qualche pesce prenderò…
Al 91% ferisce!
Studio l’obiettivo e lo colpisco, ferendolo!
Cambio solo l’IBAN…
La tecnica perfetta per un Man in the Mail.
Caccia alla Balena
Il Manager è il mio obiettivo!
Spear Phishing
Clone Phishing
Whaling
Phishing
![Page 6: Phishing - Analisi, Simulazione e Contromisure](https://reader034.vdocuments.net/reader034/viewer/2022042619/58b87e501a28ab44078b55c1/html5/thumbnails/6.jpg)
Direttamente o Indirettamente l’obiettivo è
uno solo!
ARRICCHIRSI!
![Page 7: Phishing - Analisi, Simulazione e Contromisure](https://reader034.vdocuments.net/reader034/viewer/2022042619/58b87e501a28ab44078b55c1/html5/thumbnails/7.jpg)
Qualche tecnica…
PHP Firewall
Target su base IP, No Bot, Tor, VPN, etc
Path Random
Per ogni visitatore un URL diverso
Domini Ad-Hoc
Così inganno meglio la vittima
Phishing via SMS
Il destinatario non percepisce il pericolo
Lucchetto Verde
I certificati SSL sono ormai gratuiti!
OTP No Problem
Intanto me lo fornisce la vittima…
Multilingua
Il clone si adatta all’origine della vittima.
Lucchetto Verde
I certificati SSL sono ormai gratuiti!
![Page 8: Phishing - Analisi, Simulazione e Contromisure](https://reader034.vdocuments.net/reader034/viewer/2022042619/58b87e501a28ab44078b55c1/html5/thumbnails/8.jpg)
PHP Firewall
![Page 9: Phishing - Analisi, Simulazione e Contromisure](https://reader034.vdocuments.net/reader034/viewer/2022042619/58b87e501a28ab44078b55c1/html5/thumbnails/9.jpg)
Multilingua
![Page 10: Phishing - Analisi, Simulazione e Contromisure](https://reader034.vdocuments.net/reader034/viewer/2022042619/58b87e501a28ab44078b55c1/html5/thumbnails/10.jpg)
Path Random
![Page 11: Phishing - Analisi, Simulazione e Contromisure](https://reader034.vdocuments.net/reader034/viewer/2022042619/58b87e501a28ab44078b55c1/html5/thumbnails/11.jpg)
Domini Ad-Hoc
http://account-resolved-noticed.comhttp://confirmation-securley.comhttp://incpaypallimit.comhttp://overview-account.comhttp://peypal-secure-account.mlhttp://resolved-access.comhttp://settingpaypal.comhttp://spoof-verifications.comhttp://wwww.pay-pal.cashhttp://verification-sign.inhttp://www-paypal-com-apps.partyhttp://www.paypal-365.bizhttp://www.paypal-365.comhttp://www.paypal-365.infohttp://www.paypal-365.onlinehttps://cgi-servicescenter.com/https://resolve-verify.comhttps://validation-customer.orghttps://ww.vv-paypal.comhttps://www.payapl-billing.comhttps://www.validation.reviews
Domain Name: pay-pal.cash
Registrant Name: Contact Privacy Inc. CustomerRegistrant Organization: Contact Privacy Inc. CustomerRegistrant Street: 96 Mowat AveRegistrant City: TorontoRegistrant State/Province: ONRegistrant Postal Code: M4K 3K1Registrant Country: CARegistrant Phone: +1.4165385487Registrant Phone Ext:Registrant Fax:Registrant Fax Ext:Registrant Email: [email protected]
![Page 12: Phishing - Analisi, Simulazione e Contromisure](https://reader034.vdocuments.net/reader034/viewer/2022042619/58b87e501a28ab44078b55c1/html5/thumbnails/12.jpg)
Domini Ad-Hoc (Poste Italiane - Registrati a Febbraio 2017)
poste.xyzposte.pressposte.groupposta.onlinepostebonus.commobilposta.bizbanco-posta.compostepayotp.compay-postepay.comiltuopostepay.euunlock-posta.commy-bancoposta.combancoposta-spa.itpostepay-2pay.composta-online.infoposteevolution.compostepayitalia.netitalianeposte.infosecurelogposta.commyposte-bposta.bizauthentication.bidmyposte-bposta.infoservizio-poste.siteposteitaliabonus.composteitaliane.onlineposteitaliane.centerevolutionpostepay.comverificavagliapostale.composteitalianeverifica.comcertificazione-conto-poste-spa.itposteitaliane-security-postepay.it
Domain: bancoposta-spa.itStatus: pendingDelete / redemptionPeriodCreated: 2017-02-10 21:25:13Last Update: 2017-02-22 15:17:06Expire Date: 2018-02-10
Registrant Organization: FEDERICO LEMORE Address: via barbieri 10 MILANO 20136 MI IT Created: 2017-02-10 21:25:12 Last Update: 2017-02-10 21:25:12
![Page 13: Phishing - Analisi, Simulazione e Contromisure](https://reader034.vdocuments.net/reader034/viewer/2022042619/58b87e501a28ab44078b55c1/html5/thumbnails/13.jpg)
Phishing via SMS(dati week 8, 2017)
![Page 14: Phishing - Analisi, Simulazione e Contromisure](https://reader034.vdocuments.net/reader034/viewer/2022042619/58b87e501a28ab44078b55c1/html5/thumbnails/14.jpg)
Certificato SSL(il lucchetto)
![Page 15: Phishing - Analisi, Simulazione e Contromisure](https://reader034.vdocuments.net/reader034/viewer/2022042619/58b87e501a28ab44078b55c1/html5/thumbnails/15.jpg)
Verifica Credenziali
Vengono verificate lecredenziali ed estratti
dal sito autentico le informazioni necessarie
per rendere piùattendibile la truffa.
In questo caso:Nome Intestatario Carta
SaldoUltimo Accesso
![Page 16: Phishing - Analisi, Simulazione e Contromisure](https://reader034.vdocuments.net/reader034/viewer/2022042619/58b87e501a28ab44078b55c1/html5/thumbnails/16.jpg)
Codice OTP
Il finto sito richiedeall’utente il codice OTP
Il Phisher dal C&C gestisceo richiede dati all’utente
Un kit completamente interattivo
![Page 17: Phishing - Analisi, Simulazione e Contromisure](https://reader034.vdocuments.net/reader034/viewer/2022042619/58b87e501a28ab44078b55c1/html5/thumbnails/17.jpg)
Non solo banche
Non solo le banche sono coinvolte in attacchi di Phishing, ma altri enti come:
• Operatori Telefonici
• Operatori Energetici
• Cloud Service• Caselle eMail• Grandi Produttori• Assicurazioni
Sanitarie o Previdenziali
• Trasporti• Televisivo
![Page 18: Phishing - Analisi, Simulazione e Contromisure](https://reader034.vdocuments.net/reader034/viewer/2022042619/58b87e501a28ab44078b55c1/html5/thumbnails/18.jpg)
TIM
Falsa promozione in cambio della carta di credito…
![Page 19: Phishing - Analisi, Simulazione e Contromisure](https://reader034.vdocuments.net/reader034/viewer/2022042619/58b87e501a28ab44078b55c1/html5/thumbnails/19.jpg)
Apple
Riattiva l’account per scaricare le Applicazioni,ma fornisci la Carta di Credito…
![Page 20: Phishing - Analisi, Simulazione e Contromisure](https://reader034.vdocuments.net/reader034/viewer/2022042619/58b87e501a28ab44078b55c1/html5/thumbnails/20.jpg)
Libero Mail
Sfrutto la tua caselle per inviare nuove eMail di Phishing,ma scopro anche nuovi indirizzi di posta elettronica!
![Page 21: Phishing - Analisi, Simulazione e Contromisure](https://reader034.vdocuments.net/reader034/viewer/2022042619/58b87e501a28ab44078b55c1/html5/thumbnails/21.jpg)
Alitalia
Buono di 80euro sul tuo prossimo volo Alitalia,te lo accreditano sulla Carta di Credito…
![Page 22: Phishing - Analisi, Simulazione e Contromisure](https://reader034.vdocuments.net/reader034/viewer/2022042619/58b87e501a28ab44078b55c1/html5/thumbnails/22.jpg)
Aruba
Ti rubano il dominio, magari le eMail…ma sicuramentene traggono un profitto!
![Page 23: Phishing - Analisi, Simulazione e Contromisure](https://reader034.vdocuments.net/reader034/viewer/2022042619/58b87e501a28ab44078b55c1/html5/thumbnails/23.jpg)
Hera
Falso Rimborso…e sempre Carta di Credito!
![Page 24: Phishing - Analisi, Simulazione e Contromisure](https://reader034.vdocuments.net/reader034/viewer/2022042619/58b87e501a28ab44078b55c1/html5/thumbnails/24.jpg)
Mediaworld
Sì è Phishing, non una tradizionale truffa online.
Lo scopo è ottenere i dati della Carta di Credito…
![Page 25: Phishing - Analisi, Simulazione e Contromisure](https://reader034.vdocuments.net/reader034/viewer/2022042619/58b87e501a28ab44078b55c1/html5/thumbnails/25.jpg)
Adobe
Con i servizi Cloud di Adobe un account può essere rivenduto o rivenduti i progetti riservati!
![Page 26: Phishing - Analisi, Simulazione e Contromisure](https://reader034.vdocuments.net/reader034/viewer/2022042619/58b87e501a28ab44078b55c1/html5/thumbnails/26.jpg)
Netflix
![Page 27: Phishing - Analisi, Simulazione e Contromisure](https://reader034.vdocuments.net/reader034/viewer/2022042619/58b87e501a28ab44078b55c1/html5/thumbnails/27.jpg)
Phishing Map 20 Febbraio 2017
https://www.d3lab.net/phishing-map/
![Page 28: Phishing - Analisi, Simulazione e Contromisure](https://reader034.vdocuments.net/reader034/viewer/2022042619/58b87e501a28ab44078b55c1/html5/thumbnails/28.jpg)
Report mondiale dei casi unici di Phishing
0
400.000
800.000
1.200.000
1.600.000
2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016*
Fonte: Anti-Phishing Working Group - Dati 2016 provvisori
![Page 29: Phishing - Analisi, Simulazione e Contromisure](https://reader034.vdocuments.net/reader034/viewer/2022042619/58b87e501a28ab44078b55c1/html5/thumbnails/29.jpg)
Report Italiano dei casi unici di Phishing
0
4.000
8.000
12.000
16.000
2012 2013 2014 2015 2016
Segnalazioni Carte di Credito Recuperate
Fonte: D3Lab
![Page 30: Phishing - Analisi, Simulazione e Contromisure](https://reader034.vdocuments.net/reader034/viewer/2022042619/58b87e501a28ab44078b55c1/html5/thumbnails/30.jpg)
Principali Enti Italiani Colpiti
(2012-2016)
Fonte: D3Lab
0
1000
2000
3000
4000
Poste ItalianePayPal Italia
CartasìApple Italia
Intesa S.Paolo Visa
![Page 31: Phishing - Analisi, Simulazione e Contromisure](https://reader034.vdocuments.net/reader034/viewer/2022042619/58b87e501a28ab44078b55c1/html5/thumbnails/31.jpg)
Principali Carte Recuperate
(2014-2016)
Fonte: D3Lab
0
2750
5500
8250
11000
Poste ItalianeCartasì
Unicredit
Intesa S.Paolo
PayPal Prepag. UBI
![Page 32: Phishing - Analisi, Simulazione e Contromisure](https://reader034.vdocuments.net/reader034/viewer/2022042619/58b87e501a28ab44078b55c1/html5/thumbnails/32.jpg)
Il caso Poste Italiane (2014-2016)
0
2.000
4.000
6.000
8.000
2014 2015 2016
Segnalazioni Carte di Credito Recuperate
Fonte: D3Lab
![Page 33: Phishing - Analisi, Simulazione e Contromisure](https://reader034.vdocuments.net/reader034/viewer/2022042619/58b87e501a28ab44078b55c1/html5/thumbnails/33.jpg)
Phisher Team
Progettista
Studia l’attacco..
Cracker
Va a caccia di siti insicuri!
Spammer
Lo casella dello SPAM è il suo problema!
Cash-out
Si guarda le spalle mentre preleva!
![Page 34: Phishing - Analisi, Simulazione e Contromisure](https://reader034.vdocuments.net/reader034/viewer/2022042619/58b87e501a28ab44078b55c1/html5/thumbnails/34.jpg)
https://youtu.be/uZFwdo8sZ4U
Individua il target e studia il kit perfetto per ingannare le vittime!
Progettista
![Page 35: Phishing - Analisi, Simulazione e Contromisure](https://reader034.vdocuments.net/reader034/viewer/2022042619/58b87e501a28ab44078b55c1/html5/thumbnails/35.jpg)
Cerca domini vulnerabili che
possano ospitare il sito clone
CrackerFrederic Jacobs http://bit.ly/2mfXN31
![Page 36: Phishing - Analisi, Simulazione e Contromisure](https://reader034.vdocuments.net/reader034/viewer/2022042619/58b87e501a28ab44078b55c1/html5/thumbnails/36.jpg)
https://youtu.be/Gv85UhMDlgY
Individua le eMail delle vittime e studia il metodo di invio
Spammer
![Page 37: Phishing - Analisi, Simulazione e Contromisure](https://reader034.vdocuments.net/reader034/viewer/2022042619/58b87e501a28ab44078b55c1/html5/thumbnails/37.jpg)
Ha il compito di convertire
in moneta reale i soldi
sottratti!
Cash OutSascha Kohlmann http://bit.ly/2l1hNGj
![Page 38: Phishing - Analisi, Simulazione e Contromisure](https://reader034.vdocuments.net/reader034/viewer/2022042619/58b87e501a28ab44078b55c1/html5/thumbnails/38.jpg)
Quanto “guadagna”un Phisher?
![Page 39: Phishing - Analisi, Simulazione e Contromisure](https://reader034.vdocuments.net/reader034/viewer/2022042619/58b87e501a28ab44078b55c1/html5/thumbnails/39.jpg)
Nel giro di due anni, Maksik aveva venduto a Hakim i dati di 28mila
carte di credito con un valore di “cash out”
intorno ai 10 milioni di dollari.
Mafia.com
![Page 40: Phishing - Analisi, Simulazione e Contromisure](https://reader034.vdocuments.net/reader034/viewer/2022042619/58b87e501a28ab44078b55c1/html5/thumbnails/40.jpg)
![Page 41: Phishing - Analisi, Simulazione e Contromisure](https://reader034.vdocuments.net/reader034/viewer/2022042619/58b87e501a28ab44078b55c1/html5/thumbnails/41.jpg)
![Page 42: Phishing - Analisi, Simulazione e Contromisure](https://reader034.vdocuments.net/reader034/viewer/2022042619/58b87e501a28ab44078b55c1/html5/thumbnails/42.jpg)
![Page 43: Phishing - Analisi, Simulazione e Contromisure](https://reader034.vdocuments.net/reader034/viewer/2022042619/58b87e501a28ab44078b55c1/html5/thumbnails/43.jpg)
![Page 44: Phishing - Analisi, Simulazione e Contromisure](https://reader034.vdocuments.net/reader034/viewer/2022042619/58b87e501a28ab44078b55c1/html5/thumbnails/44.jpg)
![Page 45: Phishing - Analisi, Simulazione e Contromisure](https://reader034.vdocuments.net/reader034/viewer/2022042619/58b87e501a28ab44078b55c1/html5/thumbnails/45.jpg)
![Page 46: Phishing - Analisi, Simulazione e Contromisure](https://reader034.vdocuments.net/reader034/viewer/2022042619/58b87e501a28ab44078b55c1/html5/thumbnails/46.jpg)
![Page 47: Phishing - Analisi, Simulazione e Contromisure](https://reader034.vdocuments.net/reader034/viewer/2022042619/58b87e501a28ab44078b55c1/html5/thumbnails/47.jpg)
![Page 48: Phishing - Analisi, Simulazione e Contromisure](https://reader034.vdocuments.net/reader034/viewer/2022042619/58b87e501a28ab44078b55c1/html5/thumbnails/48.jpg)
Le carte di credito Italiane nel DarkWeb sono le più care: 13,50$ l’una!
Poiché le contestazioni (ChargeBack) sono lente
e vengono accettate da molteplici servizi!
![Page 49: Phishing - Analisi, Simulazione e Contromisure](https://reader034.vdocuments.net/reader034/viewer/2022042619/58b87e501a28ab44078b55c1/html5/thumbnails/49.jpg)
La simulazione vuole ricreare parzialmente l’attività di una vittima su due diversi siti di Phishing e con due vettori distinti. In questa simulazione non verrà memorizzato alcun dato sensibile e al termine della presentazione tutti i dati (compresi i log) verranno
eliminati dal server. Potrete anche voi simulare di essere una vittima dal vostro Computer, Tablet o Smartphone e assieme analizzeremo i falsi siti.
Simuleremo due attacchi di Phishing via SMS e tramite eMail.
Simulazione
![Page 50: Phishing - Analisi, Simulazione e Contromisure](https://reader034.vdocuments.net/reader034/viewer/2022042619/58b87e501a28ab44078b55c1/html5/thumbnails/50.jpg)
Vodafone You ti regala 5Gb di traffico internet.
Effettua una ricarica entro il 28 Febbraio e potrai
navigare con ulteriori 5Gb per 30giorni.
Visita http://vodafoneyou.it
SMS Phishing
![Page 51: Phishing - Analisi, Simulazione e Contromisure](https://reader034.vdocuments.net/reader034/viewer/2022042619/58b87e501a28ab44078b55c1/html5/thumbnails/51.jpg)
eMail Phishing
http://bit.ly/FoLugPhishing
![Page 52: Phishing - Analisi, Simulazione e Contromisure](https://reader034.vdocuments.net/reader034/viewer/2022042619/58b87e501a28ab44078b55c1/html5/thumbnails/52.jpg)
Per Concludere
Il buon senso!
Date le chiavi di casa a tutti?
Nel dubbio?
Ignorate!
HTTPS, OTP, ecc ecc
La tecnologia non aiuta se l’utente è distratto!
Qualche accorgimento..Impariamo ad usare la tecnologia a nostro favore!
![Page 53: Phishing - Analisi, Simulazione e Contromisure](https://reader034.vdocuments.net/reader034/viewer/2022042619/58b87e501a28ab44078b55c1/html5/thumbnails/53.jpg)
eMail Phishing(arriva da un server Aruba ma non era di PayPal?!)
(Plugin MailHops per Thunderbird)
![Page 54: Phishing - Analisi, Simulazione e Contromisure](https://reader034.vdocuments.net/reader034/viewer/2022042619/58b87e501a28ab44078b55c1/html5/thumbnails/54.jpg)
VirusTotal(non solo per Malware ma anche per Phishing)
![Page 55: Phishing - Analisi, Simulazione e Contromisure](https://reader034.vdocuments.net/reader034/viewer/2022042619/58b87e501a28ab44078b55c1/html5/thumbnails/55.jpg)
VirusTotal(non solo per Malware ma anche per Phishing)
![Page 56: Phishing - Analisi, Simulazione e Contromisure](https://reader034.vdocuments.net/reader034/viewer/2022042619/58b87e501a28ab44078b55c1/html5/thumbnails/56.jpg)
PhishTank(cerca e segnala Phishing)
![Page 57: Phishing - Analisi, Simulazione e Contromisure](https://reader034.vdocuments.net/reader034/viewer/2022042619/58b87e501a28ab44078b55c1/html5/thumbnails/57.jpg)
SSL Con Autenticazione Del Dominio
![Page 58: Phishing - Analisi, Simulazione e Contromisure](https://reader034.vdocuments.net/reader034/viewer/2022042619/58b87e501a28ab44078b55c1/html5/thumbnails/58.jpg)
Social Network
![Page 59: Phishing - Analisi, Simulazione e Contromisure](https://reader034.vdocuments.net/reader034/viewer/2022042619/58b87e501a28ab44078b55c1/html5/thumbnails/59.jpg)
Thank You
Andrea Draghetti
I materiali e i contenuti delle slide sono protetti da licenza CC BY-NC 3.0