Malware analisys. Docente: Gianni Amato; Svolto: da mercoledì 6 Giugno a venerdì 8 Giugno 2012; Note sullo svolgimento
Analisi siti web compromessi (presso cliente). Docente: Mario Pascucci; Svolto: da lunedì 4 Febbraio a mercoledì 6 Febbraio 2013; Note sullo svolgimento
Il cyber crime va all’attacco dei giochi digitali con l’intento di “svuotare” il conto dei giocatori.
In data odierna si è individuato una mail fraudolenta mirante a colpire gli utenti di Gioco Digitale. Palesando il blocco dell’account la mail invita a scaricare l’allegato per ripristinare le funzionalità del conto collegato all’account.
La mail veicola l’attacco sia attraverso il classico link ipertestuale, sia attraverso il menzionato allegato. Questo è costituito da un file html che aperto in locale presenta la medesima pagina riproposta seguendo il collegamento ipertestuale.
Sia la pagina locale, che quella remota, mirano esclusivamente a carpire i dati di accesso all’account del giocatore al presumibile fine di movimentare le somme depositate sul “conto gioco” verso conti posseduti dai cyber criminali sui circuiti consentiti da Gioco Digitale:
Carta di Credito Visa;
PostePay Skrill (Moneybookers);
Kalixa;
Bonifico Bancario.
Le pagine fraudolente sono in hosting presso il provider ceco webzdarma.cz.
Con l’intento di acquisire fraudolentemente codici di carte di credito il cyber crime rivolge la propria attenzione non solo verso gli istituti bancari e quegli enti che emettono proprie carte di credito, ma anche verso tutti quei servizi che prevedono pagamenti con esse.
In data odierna è stato rilevato in rete un attacco di phishing volto a colpire gli utenti del servizio Telepass.
Il messaggio di posta fraudolento, paventando la possibile sospensione del servizio Telepass, causa il mancato pagamento di una fattura, invita gli utenti a visitare pagine web posizionate nel dominio webtelepass.it
Domain: webtelepass.it Status: ok Created: 2012-06-02 05:16:44 Last Update: 2012-06-02 05:40:25 Expire Date: 2013-06-02
forgiato ad hoc con l’intento di trarre in inganno i visitatori.
Le pagine fraudolente richiedono ai visitatori, oltre ai dati della carta di credito, anche le credenziali di accesso alla mail box.
Si è svolto dal 6 all’8 giugno scorsi il primo corso D3Lab di introduzione alla Malware Analysis nel quale Gianni Amato ha spiegato ai partecipanti le caratteristiche e finalità dei malware odierni, descrivendo la struttura organizzativa caratterizza la realizzazione di attacchi veicolati attraverso tale minaccia.
Ai partecipanti, tra i quali personale già impiegato nel settore sicurezza ICT, tecnici ENEL e consulenti forensi, sono state spiegate le metodiche di analisi statica, dinamica ed attraverso strumenti on-line. Le metodiche sono quindi state applicate dai partecipanti attraverso esercizi svolti in prima persona allestendo il laboratorio di analisi sulle propria workstation.
L’esperienza operativa di Gianni Amato, coinvolto in prima persona nella difesa di primarie aziende nazionali, ha permesso di mantenere viva l’attenzione dei partecipanti con frequenti riferimenti alle casistiche odierne ed ai malware più noti e minacciosi del momento.
Un invidiabile rapporto docente/discenti e la comoda e silenziosa aula messa a disposizione dalla DTC Pal hanno permesso l’immersione completa, otto ore al giorni, e soddisfacente dei partecipanti nelle problematiche descritte dal docente.
Le attività di monitoraggio dei tentativi di phishing svolta nel primo quadrimestre del 2012, durante lo start-up aziendale, hanno consentito di individuare 351 distinti url di attacco volti a colpire i clienti di ventuno diversi istituti bancari/enti. Questi 351 url individuavano risorse posizionate su 273 diversi domini/indirizzi ip, ma frequentemente hanno visto il coinvolgimento di ulteriori soggetti che non venivano individuati dall’immediata analisi del messaggio di posta elettronica fraudolento. La sopravvivenza delle pagine facenti parte della struttura imbastita dai criminali hanno avuto un tempo di sopravvivenza ampiamente superiore al giorno.
Il monitoraggio costante indica l’interesse dei criminali a colpire gli utenti di Internet prevalentemente durante la settimana lavorativa, con un esigua ricezione di mail di phishing durante il week-end. Con tale presupposto vi sono stati istituti contro i cui clienti i phisher hanno inviato mail fraudolente praticamente tutti i giorni.
Gli attacchi registrati vedono principalmente l’utilizzo di quattro differenti metodiche:
collegamento diretto alle pagine fraudolente;
collegamento a pagine web aventi la funzione di redirect;
manipolazione di sotto domini;
allegati htm/html/mht contenenti il modulo da compilarsi;
L’attacco portato con form in allegato al messaggio di posta elettronica sta via via prendendo maggiormente piede, consentendo di ovviare alle funzionalità di sicurezza dei moderni browser finalizzate ad allertare l’utente che richiede pagine web segnalate quali malevole.
Rimane per ora residuale l’utilizzo di short-url e di servizi di dns dinamico, sebbene tali medotiche, quando usate, non di rado vengano implementate dai criminali con le precedenti.
Potremmo richiedere che i cookie siano attivi sul tuo dispositivo. Utilizziamo i cookie per farci sapere quando visitate i nostri siti web, come interagite con noi, per arricchire la vostra esperienza utente e per personalizzare il vostro rapporto con il nostro sito web.
Clicca sulle diverse rubriche delle categorie per saperne di più. Puoi anche modificare alcune delle tue preferenze. Tieni presente che il blocco di alcuni tipi di cookie potrebbe influire sulla tua esperienza sui nostri siti Web e sui servizi che siamo in grado di offrire.
Cookie essenziali del sito Web
Questi cookie sono strettamente necessari per fornirvi i servizi disponibili attraverso il nostro sito web e per utilizzare alcune delle sue caratteristiche.
Poiché questi cookie sono strettamente necessari per la consegna del sito web, il loro rifiuto avrà un impatto sul funzionamento del nostro sito web. È sempre possibile bloccare o cancellare i cookie modificando le impostazioni del browser e forzare il blocco di tutti i cookie su questo sito web. Ma questo vi chiederà sempre di accettare/rifiutare i cookie quando visitate il nostro sito.
Rispettiamo pienamente se si desidera rifiutare i cookie, ma per evitare di chiedervi gentilmente più e più volte di permettere di memorizzare i cookie per questo. L’utente è libero di rinunciare in qualsiasi momento o optare per altri cookie per ottenere un’esperienza migliore. Se rifiuti i cookie, rimuoveremo tutti i cookie impostati nel nostro dominio.
Vi forniamo un elenco dei cookie memorizzati sul vostro computer nel nostro dominio in modo che possiate controllare cosa abbiamo memorizzato. Per motivi di sicurezza non siamo in grado di mostrare o modificare i cookie di altri domini. Puoi controllarli nelle impostazioni di sicurezza del tuo browser.
Altri servizi esterni
Utilizziamo anche diversi servizi esterni come Google Webfonts, Google Maps e fornitori esterni di video. Poiché questi fornitori possono raccogliere dati personali come il tuo indirizzo IP, ti permettiamo di bloccarli qui. Si prega di notare che questo potrebbe ridurre notevolmente la funzionalità e l’aspetto del nostro sito. Le modifiche avranno effetto una volta ricaricata la pagina.