Il taccuino di Armando Leotta Rotating Header Image

poste italiane

Vogliamo guardare in faccia questo #phishing? Ancora #poste

Ancora una volta gli utenti di Poste Italiane sono le vittime di un attacco di phishing.

Una mail, una delle tante che arrivano e che non sono state rilevate dai sistemi di sicurezza?

Non propriamente “una delle tante”.

Guardiamola insieme: ecco come si presenta:

NOTA: tutti i link puntano a poste.it

NOTA: tutti i link puntano a poste.it (cliccare per ingrandire)

Perchè è “ben fatta”? Perchè tutti i link puntano al sito ufficiale di poste.it.

Ripeto per i lettori frettolosi.

Tutti i link puntano a poste.it: il login in alto a destra, il registrati, i banner in basso sia a sinistra che a destra.

Tutti.

Cosa non torna?

Per accedere ai servizi online nessuno si sognerebbe di chiedere i dati di carta di credito al completo (fullz, ndr)!

E’ il caso di controllare il sorgente di questo simpatico htm.

Bingo!

Vedete quel familiarissimo tasto “Accedi”?

_______<stralcio>____

Accedi ai Servizi Online </strong></p>

<form name=”loginform1″ method=”POST” onsubmit=”javascript: return logintest(this);” action=”http://www.XXXXXXXXXX.com/.XXXXXXXX/done.php“>

_______</stralcio>____

Che meravigliosa action!

Pertanto, chi inserisce le credenziali (leggasi i propri dati completi della carta di credito postepay / bancoposta comprensivo di cvv) per “accedere” ai servizi contatta tramite l’azione quel done.php.

Bene.

Verifichiamo cosa fa questo delizioso quanto inaspettato php.

Innanzitutto notiamo se c’è dell’altro sul sito per capire anche la dimensione del fenomeno.

Qui l’attaccante, per probabile dimenticanza o per poter usare la funzionalità con qualche bot, lascia la cartella XXXXXXXX con i permessi per il listing.

Quello che trovo è decisamente un arsenale di tool di attacchi e di spam. Il tutto sfruttabile via web sfruttando le risorse del malcapitato owner del sito web opportunamente bucato.

E non solo.

Trovo un file che non vorrei avere mai trovato.

Tornando sulla pagina incriminata,  scrivendo dei dati finti nella form e completando l’operazione cliccando su “Accedi” si ha l’ennesima triste evidenza: sul server XXXXXX un file è stato appena modificato.

E’ un innocente file di testo che contiene i dati delle carte di credito di tutti gli ignari ed ingenui malcapitati clienti di Postepay/Bancoposta, comprensi quelli fittizi appena inseriti come test.

Ovviamente ho rimosso il nome reale del sito in quanto è ancora raggiungibile.

Mentre vi scrivo ho già effettuato la segnalazione sul sito della Polizia di Stato.

Brutta storia.

Spero serva a riflettere.

#awareness is the key.

_____
Clusit

Security Summit 2011: opinioni, riflessioni e tendenze #securitysummit2011

Logo Security SummitDopo il live twitting della seconda giornata del Security Summit 2011 (#SecuritySummit2011) a Roma in molti mi hanno chiesto opinioni, pareri, sensazioni e tendenze in ambito sicurezza.

Questa volta non voglio entrare nei dettagli dei contenuti della conferenza ma vorrei fornire una chiave di lettura di un po’ più alto respiro possibilmente utile a chi non ha potuto partecipare e per chi ha voglia di confrontare le opinioni.

Gli argomenti trattati, come al solito in questa maratona di due giorni che è giunta alla terza edizione capitolina, sono stati tanti e spaziano dalla privacy ai proof of concept di attacchi 0-day, dalla mobilità e dalle botnet di dispositivi mobili ai sistemi documentali il tutto chiaramente nell’ottica del mantenimento della sicurezza informativa.

Anche a seguito di confronti informali e tavole rotonde con ex-colleghi, addetti ai lavori ed i tanti amici relatori e soci clusit sono emersi alcuni fili conduttori in entrambe le giornate: governance, intelligence e commitment.

Anche se i nomi di Sony, di RSA e di Poste Italiane non sono mai stati fatti ufficialmente difatto tutti gli interventi sottolineavano aspetti riconducibili alle tre debacle del momento.

Se da una parte si sente l’esigenza di monitorare con più assiduità e proattività le nuove minacce (cybercrime, APT e Information Leakage) dall’altra sembra che non sempre ci siano dei processi di governance che raccordino e governino nella loro interezza e ramificazioni tutti i processi afferenti la sicurezza informativa in azienda.

Inoltre in molti casi, nonostante il livello d’attenzione riconosciuto come necessario, è stato evidenziato anche un periodo in controtendenza rispetto agli investimenti ed al commitment sulla sicurezza delle informazioni in azienda (cfr. Return On Security Investments, ROSI, pdf v2).

La sensazione diffusa anche “a microfoni spenti” è che siamo di fronte ad un periodo di stasi interlocutoria, di attesa che, chiaramente, non trova analogia nei ritmi di crescita ed affinamento degli attacchi da parte del cybercrime.

Questo sbilanciamento potrebbe creare un gap di contromisure tecnologiche e, soprattutto, organizzative.

Forse, dovremmo rivedere gli investimenti nel settore sicurezza concentrandoli sulla pianificazione strategica e sul governo dei processi perché puntare solamente sugli end-point trasferisce il rischio su un fornitore, su un contratto ma il rischio vero ti resta ancora all’interno, proprio a ridosso del core business dell’azienda.

_____
Clusit

Phishing? Cronaca di una truffa su un conto Bancoposta

Francobollo panicoSono stato invitato ad un convegno sul cyber crime in Consip.

Con me tra i relatori, oltre Matteo Cavallini, esperto di sicurezza, Stefano Chiccarelli e Andrea Monti (gli autori di “Spaghetti Hacker“, documento storico della telematica italiana).

Ho scelto di presentare un case study, un caso reale di un ammanco da un conto bancoposta.

I termini Phishing e Poste Italiane negli ultimi anni sono purtroppo sempre più correlati visti i numerosi tentativi di attacchi che gli utenti si vedono recapitare via mail (e gli attacchi andati a buon fine su siti delle Poste, ndr).

Uno scenario complesso dunque.

La presentazione parte dalla contestualizzazione del fenomeno phishing, dalle sue dinamiche e dagli interessi economici sottesi, dalle sue componenti sociali e tecnologiche per poi sfociare nell’analisi e nelle considerazioni di un caso reale.

Interessanti le riflessioni finali:

ma l’utente è realmente tutelato?

le misure di sicurezza poste in essere dall’istituto sono sufficienti nello scenario bancario italiano del 2010?

P.S.: puoi vedere qui il proof-of-concept del tabnapping (il video era troppo pesante per slideshare)

Attenzione al phishing antiphishing di poste italiane

Di sicuro non manca l’astuzia. L’ennesimo attacco di phishing ai danni di Poste Italiane ne è la riprova:

Phishing Antiphishing di Poste Italiane

Phishing Antiphishing di Poste Italiane

Italiano corretto, testo probabile e pertinente: si attacca la (debole) consapevolezza degli utenti.

Da notare le immagini volutamente bloccate e non scaricate (ho oscurato il destinatario della mail ma è nominativa, non in copia nascosta).

Stralcio delle intestazioni del messaggio di cui sopra:

“…Tue,  2 Feb 2010 18:32:16 +0100 (CET)
Received: from unknown (HELO jcsunlimited.vpscustomer.com) ([64.186.152.124])
…”

Nome:    jcsunlimited.vpscustomer.com
Address:  64.186.152.124

Attenzione quindi ai falsi antiphishing!

Frode online bancoposta: poste italiane risponde

Un saldo drasticamente basso, il controllo della lista dei movimenti e scatta il panico: le frodi online sono dolorose, fanno male e si ha la sensazione di combattere un nemico invisibile.

Non riconoscendo gli addebiti si punta immediatamente a denunciare l’accaduto alle autorità e ad interpellare la propria banca sull’accaduto.

Vale la pena, a mio avviso, soffermarsi sulla risposta che è stata fornita dall’ufficio reclami di BancoPosta ad un amico, vittima della frode. Impeccabile, trasparente e corretta anche da un punto di vista tecnico. Riassumo e stralcio.

Gentile Cliente,

con riferimento alla sua richiesta d’informazioni riguardante le operazioni online diposte dal conto corrente a Lei intestato, Le facciamo presente che dalle verifiche effettuate dette transazioni risultano eseguite con il corretto inserimento dei codici di accesso segreti per il riconoscimento del titolare.

Leggi “non ci sono errori tecnici o contabili a noi imputabili: le transazioni sono avvenute nel rispetto delle modalità previste“.

Possiamo perciò supporre che i fatti da Lei segnalati siano riconducibili ad un caso di frode informatica. Come Le sarà certamente noto, le modalità mediante le quali può essere realizzato in furto d’identità online può essere vario.

Leggi “Sei in buona fede e credo perfettamente alla tua versione dei fatti. E ti aiuto anche a capire come può essere successo tanto…“.

Può ad esempio accadere che sia lo stesso cliente a digitare inconsapevolmente i propri codici d’accesso in un sito che solo apparentemente risulta essere quello del proprio istituto di credito al quale si è collegato direttamente da un link ricevuto via posta elettronica.

Leggi “Lo sai che non devi MAI accedere alla banca tramite link ricevuti in posta? Lo sai quante mail di phishing del nostro istituto girano giornalmente?

Può anche verificarsi che sul personal computer non adeguatamente protetto vengano installati all’insaputa dell’utente “programmi spia”, in grado cioè di raccogliere informazioni dal computer e di trasmetterle via rete.

Leggi “Il personal computer è un problema tuo, non della tua banca: dovevi “proteggerti adeguatamente”

Una volta carpiti i dati personali sono utilizzati fraudolentemente a danno degli ignari utenti. Deve, perciò, essere cura di chi utilizza strumenti informatici adottare tutte le cautele necessarie per garantire la riservatezza dei propri dati.

Chiusura con applauso: in altre parole, è colpa tua quindi Poste non può fare nulla a riguardo.

Per la massima correttezza e trasparenza, nel caso in questione gli ammanchi erano riconducibili a transazioni online che prevedevano, oltre ad utente e password anche l’inserimento di un pin dispositivo. Anche la comunicazione agli utenti è stata chiara e costante, come segnalato anche nella lettera stessa al cliente.

Nella fattispecie, le probabili cause sono entrambe altamente verosimili.

Volendo escludere che sia stato carpito qualche dato di troppo nell’ultimo attacco ai server di posteitaliane, così come ci piace sperare che non sia andato a buon fine uno dei tanti tentativi di phishing ai danni di Poste Italiane e dei suoi clienti, resta altamente probabile la presenza sul personal computer dell’utente di qualche malware e/o rootkit e/o keylogger.

Per una volta mi voglio togliere dai panni di chi i sistemi di sicurezza li disegna e governa e voglio mettermi nei panni dell’utente che si avvicina timidamente al cosiddetto home banking.

Oggettivamente gli interrogativi esistono.
Siamo sicuri che in questo scenario l’istituto di credito abbia messo in campo tutte le possibili accortezze per eliminare, abbattere o semplicemente mitigare a sufficienza il rischio che una frode possa andare a buon fine?
A questo punto, l’ignaro utente truffato come può essere tutelato?
Le associazioni di consumatori possono essere d’aiuto in questi casi?
Non è pensabile dotarsi di una copertura assicurativa per il trasferimento del rischio residuo (come mi risulta succeda in altri istituti di credito)?
Perchè non adottare una notifica diretta dell’imminente transazione (telefono, mail, sms)?
Perchè non dotare i propri clienti di un certificato digitale per il riconoscimento?
Perchè non verificare la presenza a bordo del dispositivo client di un antivirus/malware aggiornato prima di garantire l’accesso alle operazioni online?

Possibile che bastino informative, disclaimer e bacheche per demandare completamente all’utente la verifica della auspicata “adeguata protezione” ?

Forse qualche attenzione in più sull’offerta ai clienti è lecito ipotizzarla.
Riflettere e condividere come sempre mi sembra la strada maestra.

_____
Clusit