Frodi online e Cybercrime

Transcript

1 Frodi online e Cybercrime Cosa li accomuna e come mitigarli Giovanni Napoli - RSA Pre-Sales Manager Rusudan Losaberidze - RSA Fraud Risk Intelligence Specialist 1

2 La cruda realtà del software engineering Non e possibile dimostrare la correttezza formale di un software Semplici contesti informatici a volte mal si prestano ad essere modellati e validati matematicamente Dobbiamo imparare a convivere con vulnerabilita che hanno un elevato rapporto costi/benefici Rischio = Minaccia x Vulnerabilità x Impatto 2

3 La cruda realtà del software engineering Scarsa progettazione software diventa feature 3

4 La cruda realtà del software engineering Scarsa progettazione software diventa feature <a href=" download>what a cute kitty!</a> <a href=" download="kittyviewer.exe">what a cute kitty!</a> Provatelo ad esempio con Internet Explorer e Chrome 4

5 La cruda realtà del software engineering Scarsa progettazione software diventa feature Carenza di requisiti che guidano software a supporto di processi aziendali 5

6 Un grave esempio: Heartbleed Che cos é? Un bug in OpenSSL OpenSSL dalla fino alla 1.0.1f sono vulnerabili OpenSSL 1.0.1g NON e vulnerabile Un banale errore di programmazione Bug Fix Il bug e probabilmente presente fin da marzo 2012 OR à At recompile time 6

7 Un grave esempio: Heartbleed Quali sono gli impatti? Un server affetto dalla vulnerabilità è soggetto a perdite di dati sensibili tra i quali: Password User Login SSL Private Key Un certificato SSL Server è pubblico. Se un attacker possiede la chiave privata associata, la sola cosa che manca è un semplice attacco DNS Bug exploit che non lascia traccia 7

8 Un grave esempio: Heartbleed Come funziona? SERVER SEI ANCORA LI? SE CI SEI, RISPONDI CON PATATE (6 LETTERE) Alice vuole queste 6 lettere: PATATE Alice vuole queste 6 lettere: PATATE PATATE 8

9 Un grave esempio: Heartbleed Come funziona? SERVER SEI ANCORA LI? SE CI SEI, RISPONDI CON MELE (4 LETTERE) queste 4 lettere: MELE Alice vuole queste 4 lettere: MELE Alice vuole MELE 9

10 Un grave esempio: Heartbleed Come funziona? SERVER SEI ANCORA LI? SE CI SEI, RISPONDI CON BINGO (500 LETTERE) Alice vuole queste 500 lettere: BINGO Alice vuole queste 500 lettere: BINGO BINGO VIENE DIFATTI FORNITO UN PACCHETTO DI RISPOSTA DI 500 BYTE!!! 10

11 Heartbleed in ambito frodi e cybercrime Ricordiamoci sempre le motivazioni degli attacker Ambito frodi Ambito cybercrime Catastrophic Up to 11 Intercettare comunicazioni private Phishing Collezionare indirizzi , login, password Impersonare utenti e servizi Rubare dati sensibili senza la necessità di avere privilegi particolari 11

12 Come mitigare attività di cybercrime ASSET DATA CONFIG DATA VMS DATA Vulnerability Management CONTEXT Identity/Access/Role Based Employee Context SOC/CIRC Single UI Incident Management Business Continuity BIA RSA Solution Capabilities Site Assessment CONTEXT Dashboard Metrics Reports Host Scan Link Link to Packet Link to SIEM CONTEXT DLP Scans INTEL INTEL INTEL INTEL AV IPS IPS WEB FW ALERTS, THREATS Security Monitoring & Analytics Log Capture & Analysis CONTEXT, NEW INTEL Full Packet Capture & Analysis EVENTS/ALERTS FRAUD DETECTION Portal Security ID Verification Multi-Factor Audit Fraud Detection Federation COMMUNITY INTEL INTEL 12

13 Target Data Breach: Approccio RSA xxx yyy yyy L attacco ha sfruttato la debolezza di un Partner Target si è perso gli alert di difesa perimetrale L attacker ha sfruttato la debolezza dei controlli per espandere il suo perimetro d azione Target si è perso anche gli eventi legati all asportazione dei dati aziendali Avrebbe Mai dimenticare: forse potuto Intelligence disporre di un is efficace King, framework Context is di Queen Governance Risk e Compliance Avrebbe forse Target potuto avere integrare a per manutenere Monitorare tutti le ed sorgenti i soli controlli di intelligence di disposizione informazioni un di intelligence framework di con Vendor/Partner il proprio sulle sicurezza cyber necessari? threats Avrebbe forse potuto assessment contesto aziendale/operativo assicurare regolari e di business ed al disporre adeguati di Collezionare piu efficaci livelli di compliance informazioni strumenti e di di di fine di prioritizzare meglio gli alert risk intelligence ed investigazione, rilevanti di capacità di integrazione di assessment effettuare una sulle piu terze efficace parti investigazione con le quali informazioni Identificare di intelligence attori (TA), e di tecniche maggiore utilizzate solitamente delle anomalie? (TTP) collabora? competenza del proprio personale o dei propri consulenti? Comunicare tali informazioni agli Stakeholder interni ed esterni alla nostra Azienda Integrare le informazioni di intelligence all interno della nostra infrastruttura ed organizzazione IT 13

14 Intelligence Driven Security 14

15 Il Phishing Ti Trova Ovunque Sei 15

16 Malware «Versatili» e «Ibridi» Malware Citadel Zeus Chewbacca Tipi di Attacchi - Frodi online banking - Attacchi sulla sicurezza aeroportuale - Spionaggio politico - - Frodi online banking - Spionaggio industriale - - Attacchi sull infrastruttura POS 16

17 Anatomia di e-frode basato su Malware Infezione Pharming / Phishing Social Engineering Installazione / configurazione malware Interazione con Utente o Abuso Logica Business HTML Injection MiT(M B Mo) Abuso logica business Furto delle Informazioni Credenziali Carte di credito Dati personali Utilizzo delle Informazioni Rubate Trasferimento fraudolento dei fondi Ricariche telefoniche Transazioni online Evoluzioni Recenti Automated Transfer Systems (ATS) - attacchi server side invisibili e veloci Evoluzione di attacchi da consumer banking al corporate e private banking. Eliminazione dell evidenza dopo l esecuzione di una frode 17

18 Proteggersi dalle Frodi in Evoluzione Infrastruttura Tecnica Infrastruttura Operativa Infection Point Command & Control Mule DB Mule Accounts Drop Points InfoSec Minacce Pre-Autenticazione Inizio della Sessione Web efraudnetwork Login Frodi Minacce Post-Authenticazione Transazione e Logout Adaptive Auth & Transaction Monitoring Vulnerability Probing Rogue Mobile Apps Phishing Attacks Trojan Attacks DDOS Attacks Site Scraping New Account Registration Fraud Promotion Abuse Web Session Monitoring & End to End Visibility Parameter Injection Password Guessing Man In The Browser Access From High Risk Country Unauthorized Account Activity Man In The Middle Account Takeover High Risk Checkout Fraudulent Money Movement 18

19 Analisi Comportamentale è Essenziale I criminali si comportano diversamente da utenti legittimi Velocità Sequenza delle pagine Origine Contesto Comportamento Homepage Add Bill Payee Sign-in Bill Pay Home My Account Select Bill Payee Enter Pay Amount Submit Checking Account View Checking 19

20 Il Processo di Gestione delle Frodi Raccolta Dati Rilevazione Frodi Comunicazione Risposta Feedback Inserimento del sistema antifrode nel contesto e istruzione alla raccolta, analisi e storicizzazione dei dati utili all analisi, al fine di identificare comportamenti sospetti Rilevazione ed analisi delle transazioni anomale con l obiettivo di accertare le frodi minimizzando i falsi negativi e i falsi positivi Gestione del contatto con l utente finale, accertamento della frode, analisi impatto business, valutazione delle risposte alternative all incidente. Valutazione ed esecuzione di una risposta efficace all incidente (manuale o automatica). Attivazione dei meccanismi di feedback e fine-tuning con l obiettivo di prevenire attacchi simili. Aggiornamento delle politiche e procedure relative alla gestione delle frodi. 20

21 Automazione del Processo di Gestione delle Frodi con RSA Web Threat Detection Raccolta Dati Richiesta Pagina POST/GET Variabili Header HTTP Utenza Cookie IP Rilevazione Frodi Threat Score Man in the Middle Man in the Browser Comportamento Velocità Parametri Visibilità Completa delle Sessioni e del Clickstream Motore di Regole Forensic Dashboard One Click Investigation Deep Inspection Rules Fine Tuning Comunicazione IP Utenza Pagina Allarmi in Tempo Reale IP Utenza Pagina Risposta Automatica SIEM CM LB WAF Interfaccia Utente di Web Threat Detection 21

22 Tipologie di Anomalie e Frodi Rilevate Account Takeover / Man-in-the-Middle Monitoraggio delle Anomalie di Bonifici / Pagamenti Bancari Accesso simultaneo alla stessa utenza da due luoghi geografici o paesi distanti Accesso simultaneo a utenze multiple dall unico IP in un breve arco temporale User agent ad alto rischio Cambiamenti profilo Cambiamenti degli IBAN dei beneficiari Visibilità completa dettaglio dei pagamenti Modifica fraudolenta di bonifici Pagamenti esteri verso paesi ad alto rischio X Pagamenti a mule account Y Z Frodi e-commerce & Trading Nuovi Merchant «Smash & Grab» Vendita sotto costo Abuso delle promozioni / buoni d acquisto Pump & Dump delle azioni Monitoraggio di segmenti business ad alto rischio Furto delle Credenziali e Minacce Specifiche Tentativi di accesso a utenze multiple Tentativi consecutivi falliti di accesso alla stessa utenza Man-in-the-Browser, Man-in-the-Middle, etc Utilizzo anomalo del sito e site defacing Attacchi DDoS, Site Scraping, Architecture Probing, etc Furto dei benefit Collusioni Riciclaggio di denaro Falsi reclami Apertura di account falsi Abuso di bonus di iscrizione Frodi e-government Accesso inappropriato ai fondi pubblici Furto delle informazioni private / furto dell identità Frodi Online Gaming 22

23 Frode Online Banking 1. Utente si collega da Bari alle ore ore più tardi avviene l autenticazione alla stessa utenza da Pantigliate, MI con un user agent string diverso (postazione diversa) 3. Utente di Pantigliate accede al menu dei bonifici italiani, sceglie un contatto Italiano, modifica solo IBAN ed effettua un bonifico con un IBAN estero e i dati del beneficiario italiani 4. WTD rileva l inserimento di un IBAN estero per un contatto Italiano e genera un alert. 23

24 Frode Online Banking È stata eseguita una procedura batch con 280,000 istruzioni di pagamento Con l ammontare medio di pagamento di $10, il valore totale di frode era di $ WTD ha rilevato pagamenti multipli nell arco temporale ridotto con un valore aggregato elevato. 24

25 Frode Online Gaming 55 transazioni nell arco di 17 minuti postati alla pagina Pay Complete Singolo indirizzo IP Acquisto con buoni gioco Valore medio acquisto ~6,400 Spesa totale ~300,000 Acquisto con buono gioco di 6,400 USD 25

26 Frode e-commerce Sessione Normale Durata: 15+ Minuti Numero di Click: 25+ Sessione Fraudolenta Durata: < 3 minutes Numero di Click: 12 Aggiunta di un nuovo indirizzo di spedizione Acquisto di spedizione celere ( 2 giorni) 26

27 Approccio Olistico alla Sicurezza e alle Frodi Governance Analisi dei rischi Monitoraggio di incidenti Mitigazione dei rischi Tracciamento delle attività Educazione Comunicazione Limiti e notifiche Accesso allo stato dei pagamenti Identificazione dei clienti Autenticazione forte Provisioning degli strumenti di authenticazione Tentativi falliti, time-out delle sessioni, validità di autenticazione Monitoraggio di transazioni Protezione dei dati sensibili di pagamento 27

28