Per l’anno in corso D3Lab ripropone i corsi di introduzione all’Analisi del Malware ed alla Computer Forensics.
La docenza dei corsi è affidata rispettivamente a Gianni Amato, noto professionista del settore sicurezza italiano, divulgatore e sviluppatore, già curatore del corso svolto nel giugno 2012, e ad Antonio Deidda, Sovrintendente della Polizia Postale, con pluriennale esperienza di analisi digitale nell’ambito di indagini su reati tradizionali e tecnologici.

Il primo corso è rivolto a sistemisti, amministratori di rete, consulenti ICT, personale operante in strutture altamente sensibili, a tutti coloro che possono trovarsi a dover intervenire in qualità di incident response team a seguito di un infezione per tutelare l’azienda evitando la diffusione dell’agente malevolo, determinando come l’infezione è avvenuta e quali dati siano stati carpiti. Gianni Amato, forte della sue esperienza a guida del incident response team di una primaria azienda nazionale, illustrerà non solo la teoria alla base dei malware, ma anche l’approccio pratico con sui affrontare l’infezione, spiegando i retroscena del panorama criminale nel quale il malware prende sempre più piede.

Il secondo corso è invece rivolto a tutti coloro che possono trovarsi nella condizione di dover eseguire accertamenti su sistemi informatici. Antonio Deidda illustrerà ad amministratori di sistema, consulenti ICT, consulenti forensi, personale del law enforcement le corrette metodiche di acquisizione dei supporti di memoria, la modalità di ricerca delle evidence e la loro interpretazione, finalizzata alle specifiche esigenze dell’investigatore. Forte della sua esperienza porterà esempi reali, spiegando le problematiche e modalità per interfacciarsi correttamente con le diverse parti coinvolte dall’attività di indagine. 

I corsi si terranno ad Ivrea:

  • Analisi del Malware si terrà dal 22 al 24 Maggio (3 gg), prezzo 790,00 Euro IVA inclusa, pre-iscrizioni entro il 13 Maggio 2013. Programma ed info;
  • Introduzione alla Computer Forensics dal 3 al 6 Giugno (4 gg), prezzo 990,00 Euro IVA inclusa, pre-iscrizioni entro il 25 Maggio 2013. Programma ed info;
fraud page - pagina fraudolenta

Il phishing è molto una questione di fantasia.

La dimostrazione la si può trarre da questo tentativo di frode a danno dei clienti neo zelandesi della catena di fast food Mc Donald’s, individuato analizzando il phishing internazionale.

Il destinatario del messaggio di posta seguendo il link proposto nella mail giunge ad una pagina web, posizionata su server rumeno.

 

fraud page - pagina fraudolenta

 

L’inganno si basa sulla “promessa” di un premio di 90$ quale ringraziamento per la partecipazione ad un sondaggio relativo all’apprezzamento ed alla soddisfazione per il servizio offerto da Mc Donald’s.

Dopo aver risposto alle domande ed aver premuto il pulsante “Proceed” si viene portati sulla seconda pagina dove sono richiesti dati personali (indirizzo, numeri di telefono, numero della patente) ed i dati della carta di credito.

 

fraud page - pagina fraudolenta

 

Questo semplice caso evidenzia come un criminale fantasioso possa preparare la propria frode contro utenti/clienti dei più svariati enti e servizi, è solo necessaria la fantasia per giustificare agli occhi del destinatario la richiesta dei dati sensibili di interesse.

Non sottovalutate la minaccia del phishing e la fantasia dei criminali.

screenshot file incluso

Nella giornata di ieri sul sito Edgar’s Internet Tools è apparso un nuovo report relativo alla compromissione di siti web italiani attraverso l’inclusione di pagine html.

screenshot file incluso

Indicazione dell’incidente era stata tratta dal ricercatore attraverso la consultazione di specifici data base pubblici. L’esecuzione di ulteriori rilievi relativi agli host ed ai domini coinvolti evidenziava anche il coinvolgimento nell’incidente del sito web di un istituto bancario.

 

inclusione file in sito banca

 

I semplici rilievi esterni svolti, attraverso la raccolta delle informazioni pubbliche presenti on line, dal ricercatore e ripresi da D3Lab non consentivano di determinare attraverso quale via l’intrusione fosse avvenuta, se potesse essere dovuta ad una vulnerabilità presente nel sito dell’ente o in uno degli altri siti web in hosting sul medesimo server ed anch’essi coinvolti nell’incidente, né se l’aggressore potesse aver avuto accesso a dati sensibili e riservati.

A tali quesiti si potrà dare conferma solo con una attenta analisi forense estesa a tutti i domini coinvolti.

Quanto accaduto permette di prospettare, tuttavia, uno scenario abbastanza spiacevoli:

nell’ipotesi che l’attacco fosse stato mirato, l’aggressore avrebbe potuto inserire nello stesso una propria pagina contenente un finto box di login, del tutto simile alla pagina di login  effettivamente presente all’interno del sito violato.

dettagli del box di login legittimo

 

L’immagine soprastante mostra alcuni dettagli del box di login per l’accesso agli account di home banking.
Il file html presentante il box di login contiene un iframe il cui sorgente (il codice del form) è in realtà su un altro host relativo al dominio della società da cui il servizio di internet banking è gestito. I dati sono trasmessi in forma cifrata attraverso SSL.
Questa tendenza (non nuova) degli istituti bancari di presentare il box di login inserito in iframe non consente all’utente di rilevare facilmente, a colpo d’occhio, la presenza di un “collegamento sicuro”, caratteristica che viene spesso indicata dagli istituti bancari stessi e da chi fa informazione e divulgazione quale segno da ricercasi per sincerarsi di non essere in pagine fraudolente.

L’utente così abituatosi ad effettuare il login al proprio account di home banking da pagine web non indicanti chiaramente l’utilizzo di protocolli sicuri avrebbe potuto riconoscere un falso box di login inserito da un attaccante all’interno del sito della banca? O tranquillizzato dal fatto di trovarsi all’interno di un dominio a lui noto avrebbe inserito con tranquillità i propri dati?

Occorrerebbe fare ancora due valutazioni sull’opportunità di mettere il sito web di un istituto bancario in hosting condiviso e sull’eventuale utilità che vulnerability assessment o penetration test avrebbero potuto avere se svolti con regolarità, ma siamo certi che chi legge possa fare da se le proprie valutazioni.

Poteva essere un phishing perfetto … fortunatamente era solo un defacer ed i cyber criminali non sono solo dediti al phishing!

L’istituto bancario è stato notiziato di quanto rilevato.

 

mail fraudolenta

Non sempre la struttura realizzata dai cyber-criminali funziona al primo tentativo.

Nella primissime ore della mattina è stato rilevato un tentativo di frode ai danni dei clienti CheBanca. Il messaggio di posta fraudolento, attraverso cui è stato veicolato l’attacco, presenta le seguenti caratteristiche:

Oggetto: Hai un nuovo messaggio

Mittente apparente: From: “CheBanca servizi” <[email protected]>

Corpo del messaggio:

 

Gentile Cliente,
************************************************************

Per utilizzare i servizi online e in caso di mancato accesso o non funzionamento dei servizi necessario:

  • verificare il corretto inserimento del nome utente e della password.
  • effettuare l’aggiornamento dei dati del module di accesso.

************************************************************

Accedi per effettuare l’aggiornamento dei dati :

Link: http://www.chebanca.it/servizi&online/accedi.php

© 2008 – 2013 CheBanca! S.p.A. – Gruppo Bancario Mediobanca | P.IVA 10359360152

 

mail fraudolenta

 

Il link ipertestuale nascondeva l’url a file inseriti all’interno di un sito in hosting su server statunitense.
La pagine di phishing non erano tuttavia visualizzabili, presumibilmente per impostazioni dei permessi non corrette.

 

confronto contenuto directory

 

Poco dopo la directory ospitante le pagine fraudolente era stata rimossa, i file rimasti lasciano ipotizzare che l’azione di pulizia sia stata effettuata direttamente dal phisher che, accortosi del malfunzionamento della struttura allestita, si preparava a ricollocarla altrove.

Il messaggio di posta fraudolento risulta essere stato inviato, poco prima delle 5 ora italiana, da indirizzo ip tedesco attraverso server di posta mongoli, malesi e giapponesi. 

 

pagina web fraudolenta

E sicuramente singolare l’attacco di phishing rilevato il giorno 6 Marzo 2013 ai danni del Comune di Torino.
Le informazioni in possesso di D3Lab sono purtroppo molto scarne. Lo screenshot generato dai sistemi automatici ha consentito di congelare unicamente la resa grafica ed il testo della pagina fraudolenta. Un messaggio scritto in italiano sgrammaticato, paventando problematiche relativa a problemi causati da un virus alla banca dati dell’ente, richiedeva l’inserimento delle credenziali di accesso alla web mail del in uso al personale del Comune.

pagina web fraudolenta

 

Nell’ipotesi si trattasse di un phishing mirato, testa di ponte ad un possibile attacco informatico al comune, ci si aspetterebbe quanto meno un messaggio di posta ed una pagina web scritta in ottimo italiano. Proprio la sua assenza lascerebbe ipotizzare l’estraneità di movimenti/organizzazioni nazionali. 

La pagina web fraudolenta era in hosting in un server statunitense.

Appare doveroso domandarsi se vi sia qualche collegamento con un altra pagina di phishing realizzata attraverso Google Docs, individuata il 19 Febbraio 2013, sempre facente riferimento a Torino, graficamente più curata, per quanto dall’aspetto insolito.

pagina web fraudolenta

 

Anche in questo caso non è, sfortunatamente, stato possibile acquisire maggiori informazioni.

Update 08/03/2013 10:59

Alcune considerazioni relative all’attacco in questione.

mail fraudolenta

I giornalieri controlli sul phishing nazionale ed internazionale hanno permesso di individuare un tentativo di frode ai danni degli albergatori clienti del servizio di prenotazione on-line Venere.com.

La mail di phishing odierna presenta le seguenti caratteristiche:

oggetto: L’account del servizio deve essere aggiornato .

mittente apparente: “Assistenza Utenti Venere.com”<[email protected]>;

corpo messaggio:

GENTILE CLIENTE, Venere Net S.r.l. L’account del servizio Venere Net S.r.l.deve essere aggiornato **Scarica allegato** Accedi al tuo conto e verifica le modifiche . Importante per la sua sicurezza Se apri con internet explorer accetta i cookie!!! Venere Net S.r.l. Via della Camilluccia, 693 – 00135 Roma-Italia (con socio unico) soggetta a direzione e coordinamento di Hotels.com LP – Iscritta al R.d.I. di Roma ( Italia) – P.I. e C.F. 05649781001 Licenza Agenzia Viaggi No.305 del 05 Aprile 2001 (Cyber Travel) – Capitale sociale: Euro 1.120.600,00 (i.v.)

mail fraudolenta

 

L’allegato aggiornamento.html, evidenziato nell’immagine soprastante, si presenta come un clone della pagina di login attraverso la quale gli albergatori sottoscrittori del servizio di Venere/Expedia accedono al proprio account.

 

falsa pagina web

 

D3Lab non è a conoscenza delle modalità di funzionamento del servizio di Venere/Expidia, tuttavia conoscendo le modalità operative dei criminali appare ipotizzabile che questi, una volta effettuato l’illecito accesso all’account di cui carpiscono le credenziali, possano individuare tra le informazioni dell’utente frodato i dati della carta di credito su cui il servizio gli accredita la percentuale ad egli dovuta per le prenotazioni ricevute on-line da Venere.com.

Le credenziali inserite dalla vittima vengono spedite ad una pagina php in hosting in un dominio gratuito creato sul provider ceco wz.cz, già usato in passato in attività di pshihing, e l’utente viene indirizzato alle pagine del sito legittimno della società.

Dal punto di vista investigativo è interessante notare, dagli headers del messaggio di posta, che lo stesso è stato inviato da un indirizzo ip di Fastweb.

Venere.com è stata notiziata.

Ulteriori informazioni su Edgar’s Internet Tools.

data/ora creazione/ultima modifica file fraudolenti

Troppo spesso chi subisce l’azione dei cyber criminali, nella convinzione che questi abbiano ineguagliabili capacità tali da consentir loro di muoversi invisibili nella rete, tende a ritenere inutile l’azione investigativa/repressiva che potrebbe seguire una eventuale denuncia.

In realtà così non è, ma spesso la possibilità di individuare il passo falso, la traccia lasciata dal delinquente, va “inseguita” con un monitoraggio continuo dell’attività criminale.

Nei giorni scorsi D3Lab ha rilevato alcuni tentativi di frode ai danni degli utenti di Deutsche Bank attuati da uno dei più attivi gruppi criminali operanti in Italia.

L’analisi della struttura di rete messa in piedi dai phisher ha consentito di determinare data/ora di creazione/ultima modifica

 

data/ora creazione/ultima modifica file fraudolenti

della pagina fraudolenta e di visionare i log http del server che ospitava la pagina in questione.

Il confronto dei dati ha consentito di determinare che il criminale aveva operato da un indirizzo ip romeno verificando l’accessibilità della

estratto log http

pagina, accedendovi direttamente e da una mail box di Libero, presumibilmente testando le funzionalità di un messaggio di prova vettore dell’attacco.

Pur essendo una dato di fatto che le attività siano probabilmente state svolte oltre i confini nazionali, rimane la possibilità che attraverso la mail box di Libero il phisher abbia fatto transitare comunicazione verso altri soggetti dell’organizzazione, identificabili attraverso l’idonea attività investigativa.

pagina fraudolenta

Da diverso tempo il trio comico di Aldo, Giovanni e Giacomo è diventato co-artefice dei più simpatici spot pubblicitari del gestore di telefonia Wind.
La più recente evoluzione della campagna pubblicitaria vede il trio comico impegnato nella parodia del mondo dell’arte moderna.
La novità è naturalmente divenuta parte integrante delle pagine web di wind.it, ma non è sfuggita ai criminali che hanno aggiornato i 

pagina fraudolenta

 

propri template grafici, clonando la home page del dominio di Wind, riproponendola quindi da un server web tedesco alle vittime, in modo diretto o attraverso un dominio registrato su No-ip.

Il messaggio di posta fraudolento, attraverso cui il tentativo di frode è veicolato, promette 20,00 Euro omaggio a seguito di una ricarica 

mail fraudolenta

di pari valore da effettuarsi naturalmente con carta di credito.

Relativamente a questo attacco è interessante notare due particolari:

  • il coinvolgimento di un dominio italiano, presumibilmente violato, attraverso il cui pannello di controllo dovrebbe essere stato creato il dominio di livello inferiore wind.xxxx.it, come si può osservare nel mittente della falsa mail;
  • l’invio del messaggio di posta da un host tedesco con assegnato un indirizzo ipv6 facente capo, apparentemente, ad un soggetto italiano.

ipv6 mittente mail fraudolenta

 

mail fraudolenta

Le attività dei criminali volti alle frodi on-line si sono fortemente rivolte all’acquisizione dei dati della carte di credito, tuttavia fare poi il cash-out, procedere all’incasso, può non essere propriamente semplice, o comunque può portare ad un lavoro non da poco per accedere a somme tutto sommato più contenute rispetto ai risultati ottenibili con le frodi sull’home banking.

Uno dei gruppi criminali più attivi in panorama italiano volge nuovamente la propria attenzione agli istituti che permettono di operare via internet facendo uso della password dispositiva.

A cadere nel mirino dei phisher sono gli utenti italiani di Deutsche Bank. In base ai rilievi D3Lab, dalla seconda metà del 2009 ad oggi l’attacco a tale istituto rappresenta una novità.
La mail di phishing, inviata da indirizzo IP britannico, presenta le seguenti caratteristiche:

 

oggetto: Conto bloccato!

mittente apparente: “Deutsche Bank S.p.A”<[email protected]

Corpo messaggio (html):

Gentile Titolare, ——————————————————————————————— Abbiamo rilevato attivita irregolari sul tuo Deutsche Credit Card Internet Banking sul conto *******. Per la tua protezione, e necessario verificare questa attivita prima di poter continuare a utilizzare il vostro conto. Si prega di scaricare il documento allegato alla presente-mail a rivedere le attivita del proprio account. Se scegli di ignorare la nostra richiesta, ci lasciano scelta di sospendere temporaneamente il tuo account. ———————————————————————————————— Ti ricordiamo che tramite il sito CartaSi puoi mantenerti sempre aggiornato sulle opportunita’ e sui vantaggi che Deutsche Bank ti riserva. Deutsche Credit Card – Gruppo Deutsche Bank Partita IVA: 01340740156

come si può osservare nell’immagine sottostante il messaggio di posta fraudolento non contiene alcun link, ma

mail fraudolenta

veicola la minaccia attraverso l’allegato Documento.html che aperto in locale presenta nel browser una pagina riproducente

allegato fraudolento

grafica e loghi di Deutsche Bank ed il form in cui vengono richiesti i dati di accesso all’home banking. Questi vengono poi inviati ad un 

server usato a fini fraudolenti

server Windows localizzato in Thailandia, usato dai cyber criminali sin dall’ottobre 2012 per colpire Banca Popolare dell’Emilia Romagna e Banca Mediolanum.

L’istituto è stato notiziato.

falsa pagina Agip/Eni

I cyber criminali tornano ad approfittare del momento di crisi per ingannare gli utenti del web con una falsa offerta di carburante con prezzo bloccato ad un Euro al litro da parte di Agip/Eni.

falsa pagina Agip/Eni

Il tentativo di frode risalente a martedì 5 Febbraio 2013 si rivela particolarmente insidioso per l’utilizzo da parte dei criminali di un certificato SSL, come evidenziato dallo screenshot soprastante.

 

L’attacco viene veicolato attraverso uno messaggio di posta elettronica avente per oggetto “Note” e mittente apparente l’indirizzo [email protected], che presenta quale unico testo il link all’url http://www.agipshopping.com/.

Il dominio agipshoppong.com risulta registrato presso NO-IP

Domain Name: AGIPSHOPPING.COM
Registrar: VITALWERKS INTERNET SOLUTIONS LLC DBA NO-IP
Whois Server: whois.no-ip.com
Referral URL: http://www.no-ip.com
Name Server: NS1.NO-IP.COM
Name Server: NS2.NO-IP.COM
Name Server: NS3.NO-IP.COM
Name Server: NS4.NO-IP.COM
Name Server: NS5.NO-IP.COM
Status: clientTransferProhibited
Updated Date: 03-feb-2013
Creation Date: 03-feb-2013
Expiration Date: 03-feb-2014

a nome di una italiano

Domain Name: AGIPSHOPPING.COM
Created On: 03-Feb-2013 08:00:00 UTC
Last Updated On: 03-Feb-2013 19:19:01 UTC
Expiration Date: 03-Feb-2014 19:19:11 UTC
Sponsoring Registrar: Vitalwerks Internet Solutions, LLC / No-IP.com
Registrant Name: martina, XXXXXXXX
Registrant Organization: 
Registrant Street1: Via XXXXXXXXXXXXX 20
Registrant Street2: 
Registrant City: napoli
Registrant State/Province: Not Applicable
Registrant Postal Code: 801374
Registrant Country: IT
Registrant Phone: +380.XXXXXXXXX
Registrant FAX: 
Registrant Email: [email protected]

presumibilmente inconsapevole o inesistente, ed hostato (al momento attuale 00:42 08/02/2013) su Amazon

 

NetRange:       174.129.0.0 – 174.129.255.255
CIDR:           174.129.0.0/16
OriginAS:       
NetName:        AMAZON-EC2-5
NetHandle:      NET-174-129-0-0-1
Parent:         NET-174-0-0-0-0

 

L’url svolge semplice funzione di redirect dirottando il visitatore sulle pagine web fraudolente riproducenti logo e grafica di Agi/Eni all’url:

https://www.eni-shopping.com/travel.eni.com/iveportal/cards/W155.PKG_RICONLINE.show_pageNL22.php

In questo caso il dominio, in hosting su HostMonster, risulta registrato su FastDomain

Domain Name: ENI-SHOPPING.COM
Registrar: FASTDOMAIN, INC.
Whois Server: whois.fastdomain.com
Referral URL: http://www.fastdomain.com
Name Server: NS1.HOSTMONSTER.COM
Name Server: NS2.HOSTMONSTER.COM
Status: clientTransferProhibited
Updated Date: 19-jan-2013
Creation Date: 19-jan-2013
Expiration Date: 19-jan-2014

ed il registrante essere protetto dal servizio di privacy.

La novità di questo caso di phishing non è rappresentata tanto dall’utilizzo di un sito disponibile anche via https, cosa già verificatasi in occasione della violazione di siti di e-commerce che prevedevano tali funzionalità sfruttate dal phisher nel link ipertestuale, ma dal fatto che il phisher ha comprato il certificato:

certificato valido

 

dettagli certificato SSL

Sebbene i dettagli del certificato, rilasciato nella seconda metà del Gennaio scorso, non riportino informazioni sul titolare, la capacità di inganno di questa frode è elevatissima in quanto ben pochi utenti analizzano il certificato tanto più che il nome dominio sembra plausibile e che essendo coerente con il certificato non provoca l’apparizione di alcun warning.

I realizzatori sono presumibilmente i medesimi degli attacchi rilevati nei mesi di Novembre e Dicembre 2012 in quanto si individuano i medesimi path nell’organizzazione di file e directory, tali da consentire il recupero, volendo, delle credenziali frodate.

La home page di eni-shopping.com è tratta da tutt’altro dominio/sito presumibilmente al solo scopo di trarre in inganno chi svolgesse un controllo superficiale.