Soluzioni anti-frode
Market Development
Banking, Insurance & Financial Services
Le soluzioni anti-frode
| Market Development | Banking, Insurance & Financial Services |
Cos’è il Phishing?
Phishing (: creazione ed uso a scopo fraudolento di e-mail e siti web
ideati per apparire come comunicazioni e siti di organizzazioni
finanziarie o governative.
Le e-mail sono apparentemente inviate da una banca, un e-retailer
(es. e-bay) o una compagnia di carte di credito, per indurre il
destinatario ad interagire con siti web appositamente creati ad
immagine di quelli del presunto mittente.
I dati inseriti in questi siti (numeri di carte di credito, account
username/password) vengono acquisiti dai “phisher” ed utilizzati a
scopo fraudolento.
Altri attacchi di phishing – più sofisticati e maggiormente insidiosi aggiungono una componente tecnologica, ovvero software
appositamente sviluppati (Trojan, spyware…) e diffusi sia tramite le
e-mail che tramite i siti contraffatti. Tali software possono
compromettere il corretto funzionamento del browser, indirizzando
l’utente verso siti fasulli e/o consentendo a terzi di inserirsi
all’interno delle connessioni web e di modificare i dati scambiati con
il sito della banca o di altre organizzazioni.
2
Le soluzioni anti-frode
| Market Development | Banking, Insurance & Financial Services |
Non di solo Phishing…
Vishing: contrazione fra Voip e phishing.
Come nel phishing, si utilizza la posta elettronica, ma in modo diverso. Nei
messaggi non si inseriscono infatti link ai siti contraffatti, ma compaiono numeri
di telefono (o link VoIP) di falsi Call Center.
Quando un utente contatta il call center, il sistema riproduce una registrazione
vocale che comunica la presenza di qualche problema sul conto bancario o sulla
carta di credito e chiede di inserire i propri dati bancari riservati.
Rispetto alla telefonia tradizionale, l’utilizzo del VoIP consente ai truffatori di
attivare i sistemi più rapidamente, con costi più bassi e con minore possibilità di
essere rintracciati.
SMiShing: contrazione tra SMS e phishing
La vittima riceve un messaggio SMS del tipo: “Le confermiamo l’avvenuta
registrazione al nostro servizio di informazioni, per il quale Le addebiteremo un
importo di 2 € al giorno. Per annullare la registrazione, connettersi al sito URL:
www.?????.com.“.
Visitando il sito indicato, la vittima scarica senza accorgersene un software
maligno sul proprio PC.
3
Le soluzioni anti-frode
| Market Development | Banking, Insurance & Financial Services |
Focus sul phishing: i numeri a livello worldwide
I dati presentati nell’ultimo report dell’Anti-Phishing Working Group (http://www.antiphishing.org)
confermano che il fenomeno del phishing su scala mondiale non si riduce, dopo essere
cresciuto sensibilmente dalla seconda metà del 2006:
per numero di attacchi…
…per numero di Siti di Phishing…
…e per numero di Brand sotto attacco!
4
| Market Development | Banking, Insurance & Financial Services |
Le soluzioni anti-frode
I numeri del phishing in Italia
Le segnalazioni di casi di phishing in Italia raccolte da “Anti-Phishing Italia”
(http://www.antiphishing.it) hanno avuto una crescita esplosiva nel primo semestre del 2007, con
una crescita del 914% dal primo al secondo trimestre:
Casi di phishing in Italia nel 2007
937
1000
713
800
514
600
400
161
200
42
22
Ap
r il
e
M
ag
gi
o
Gi
ug
no
ar
zo
M
o
Fe
bb
ra
i
Ge
nn
a
io
0
Fonte: “Anti-Phishing Italia” (http://www.antiphishing.it) – Rapporto trimestrale sul fenomeno del phishing in Italia – 2° trimestre 2007
5
Le soluzioni anti-frode
| Market Development | Banking, Insurance & Financial Services |
Quando le mail di Phishing erano comiche…
-----Original Message----From: Banca Di Roma [mailto:[email protected]]
Sent: 17 January 2007 20:04
To: [email protected]
Subject: Assicurare le vostre informazioni di operazioni bancarie
I Clienti cari Valutati;
A Banca Di Roma, migliorare annualmente i nostri server di Sicurezza per tenere i nostri clienti liberano
dal furto di tecnica bancaria di internet.
Abbiamo migliorato qui vicino i nostri Server di SSL per migliorare la icurezza del nostro depositando
per permettere in linea il libero-scorre ed il frode-libera depositando in linea per i nostri in linea clienti di
tecnica bancaria.
Lei è consigliato di aggiornare le sue a tempo di record al più presto possibile attraverso la nostra
maglia ottenuta :
http://www.bancaroma.it/site/index.asp
Per guadagnare l'accesso pieno al suo conto come questi sistemi di sicurezza migliorati possono
riguardare i suoi montaggi di conto se lei non aggiorna le sue a tempo di record.
Ringraziarla per il suo capire, ma anche ricordare che la sua sicurezza è il nostro interesse estremo.
Dipartimento di intimità e Sicurezza.
Banca Di Roma
6
Le soluzioni anti-frode
| Market Development | Banking, Insurance & Financial Services |
Oggi non si ride più: l’italiano è corretto ed il tono minaccioso!
-----Messaggio originale----Da: UniCredit Banca di Roma [mailto:[email protected]]
Inviato: sabato 22 marzo 2008 13.57
Oggetto: Banca di Roma: Segnalazione di accredito
Gentile CLIENTE,
Nell'ambito di un progetto di verifica dei data anagrafici forniti durante la sottoscrizione dei servizi
di Banca di Roma e stata riscontrata una incongruenza relativa ai dati anagrafici in oggetto da Lei
forniti all momento della sottoscrizione contrattuale.
L'inserimento dei dati alterati puo costituire motivo di interruzione del servizio secondo gli art.
135 e 137/c da Lei accettati al momento della sottoscrizione, oltre a costituire reato penalmente
perseguibile secondo il C.P.P ar.415 del 2001 relativo alla legge contro il riciclaggio e la
transparenza dei dati forniti in auto certificazione.
Per ovviare al problema e necessaria la verifica e l'aggiornamento dei dati relativi all'anagrafica
dell'Intestatario dei servizi bancari.
Effetuare l'aggiornamento dei dati cliccando sul seguente collegamento sicuro:
Acceda al servizio Filiale via Internet » <http://host81-143-85-14.inaddr.btopenworld.com/index.html>
Cordiali Saluti,
Banca di Roma
7
Le soluzioni anti-frode
| Market Development | Banking, Insurance & Financial Services |
Come contrastare il fenomeno delle frodi on-line
 A livello organizzativo: definizione di processi interni codificati e focalizzazione delle
strutture organizzative
 A livello di sicurezza perimetrale: aumento del livello di protezione del centro servizi
da attacchi informatici
Dal Cliente
 A livello di monitoraggio: “Analisi del comportamento” dell’utente on-line (tipo quelle
per Carte di pagamento)
 Formazione ed informazione dell’utente del servizio
Nella Rete
In Banca
Occorre affrontare la questione a livello globale:
 A livello del Worldwide WEB: “Difesa del nome” dell’Istituto Bancario su email, SMS
e siti presenti in Internet
 Aumento del livello di sicurezza dei meccanismi di autenticazione d’utente
 Introduzione di meccanismi di protezione, quando possibile, del terminale remoto
 Contrasto diretto alla sopravvivenza dei siti di Phishing
8
Le soluzioni anti-frode
| Market Development | Banking, Insurance & Financial Services |
Profilatura e monitoraggio del Cliente on-line
Controllo informatico dell’operazione: decisione se accettare o ritardare o rifiutare
o contattare l’utente per le opportune verifiche sulla base di :
 Indirizzo IP del client remoto
 Caratteristiche device: header del browser, cookie, caratteristiche cache, configurazione OS;
 Correlazione tra le informazioni legate all’indirizzo IP/device del client remoto, l’identificativo
del “conto” ed il fattore temporale
 Controllo di profilo sul “comportamento” dell’utente
 Controllo del “conto” beneficiario (quando possibile) ed attivazione degli adeguati “warning”:
 Comportamento del conto beneficiario (conto appena aperto, o che è stato soggetto a più
bonifici)
 Tipologia di beneficiario (conto estero con livello di warning su base Paese e tipologia di
conto beneficiario, carta telefonica, carta pre-pagata)
 Conto inserito in una “lista di attenzione”
Sulla base dell’insieme delle verifiche, viene assegnato un “punteggio di rischio” alla singola
transazione, che può consentire alla Banca di decidere se effettuare ulteriori verifiche o prendere
altri provvedimenti.
9
Le soluzioni anti-frode
| Market Development | Banking, Insurance & Financial Services |
L’autenticazione forte: One Time Password e non solo
 Strong Authentication o autenticazione a 2 fattori: oltre all'identificativo, l'utente possiede altri
due elementi: uno da ricordare (password/pin) e l'altro da possedere (dispositivo fisico). La
Strong Authentication è quindi una combinazione di ciò che uno sa con ciò che uno ha.
 Nell’ambito delle soluzioni di Strong Authentication, particolare interesse riscuotono quelle
basate su One Time Password (OTP): meccanismi di autenticazione dove la password ha una
validità limitata: una sola volta, per pochi minuti.
La OTP appare come una soluzione particolarmente gradita dai Clienti finali, per la semplicità di
utilizzo e perché se ne percepisce facilmente la sicurezza intrinseca.
 Un ulteriore elemento di interesse nella realizzazione di soluzioni di autenticazione a 2 fattori è
legato alla possibilità di impiegare il telefono cellulare come dispositivo fisico, sfruttando la
assoluta ed unica pervasività dell’oggetto.
10
| Market Development | Banking, Insurance & Financial Services |
Le soluzioni anti-frode
Meccanismi di autenticazioni forte
Generazione di One Time Password
 Password dinamica generata da un Token HW (o SW)
 Password generata in modo sequenziale
 Password generata su base temporale (problematica della sincronizzazione temporale
con il server centrale)
 Unicamente su base temporale
 Sulla base anche di un PIN inserito sulla tastiera del token
 Password dinamica generata da un Token EMV.
Il Token EMV sfrutta la personalizzazione “nativa” della carta bancaria. All’utente viene quindi
consegnato/inviato un lettore generico, inizializzato dall’utente con il semplice inserimento del
PIN: il lettore è quindi in grado di leggere la carta, per poi generare la OTP. Appena la carta
viene rimossa, tutti i dati vengono cancellati dal Token.
 Password dinamica generata da una Token Card
 Oggetto “totalmente bancario”
 Elimina il “fastidio” del token aggiuntivo da portare in tasca ed è meno ingombrante
 Non rappresenta un aggravio logistico perché viene distribuita normalmente in Agenzia
 Costo attualmente molto superiore ai Token “tradizionali”
 Non ha ancora la certificazione da parte dei circuiti di pagamento
11
| Market Development | Banking, Insurance & Financial Services |
Le soluzioni anti-frode
Meccanismi di autenticazione forte
Call Drop: Autenticazione mediante chiamata da cellulare
L’utente, per completare il processo di autenticazione, deve
dimostrare il possesso del terminale mobile e della relativa SIM
effettuando una chiamata ad un numero verde “dinamico”.
Funzionalità - Caratteristiche
 Strong Authentication a due fattori mediante terminale mobile (e relativa SIM).
 Indipendente dalla tipologia di terminale e di operatore (soluzione clientless).
 Nessun costo legato alla transazione: la chiamata viene abbattuta una volta
riconosciuto il numero chiamante.
 Provisioning semplificato: è sufficiente conoscere i numeri di telefono degli utenti.
 Facilmente integrabile in servizi preesistenti (tramite interfacce WebServices).
 Possibilità di analisi delle transazioni di autenticazione mediante profilatura degli utenti
ed utilizzo delle tecniche di “anomaly detection” per rilevare tentativi di attacco.
12
| Market Development | Banking, Insurance & Financial Services |
Le soluzioni anti-frode
Call Drop: User Experience
Internet
Centro Servizi
(Banca)
1. Richiesta Servizio via connessione Web (USERNAME, PSW STATICA)
2. Richiesta di effettuare una chiamata al numero “12348345234”
4. OK/NO
3. Chiamata a “12348345234”
Rete Telefonica
13
| Market Development | Banking, Insurance & Financial Services |
Le soluzioni anti-frode
L’attacco “man in the middle”
Nel man in the middle attack l'attaccante è in grado di in grado di osservare e intercettare il
transito dei messaggi tra le due vittime e può quindi leggere, inserire o modificare il contenuto
dei messaggi medesimi, senza che nessuna delle due vittime sia in grado di sapere se il
collegamento sia stato compromesso.
Credenziali (USERNAME, PASSW)
Fase di autenticazione
Bonifico a favore di Rossi Mario € 500
Codice Dispositivo (PIN, OTP, tec.)
Bonifico a favore di Mr. Phisher € 150.000
Conferma transazione!
L’utilizzo di soluzioni di Strong Authentication senza “canale di ritorno” (OTP Token, Call Drop) non
costituisce una garanzia di sicurezza sufficiente a fronte di attacchi di tipo man in the middle!
14
Le soluzioni anti-frode
| Market Development | Banking, Insurance & Financial Services |
Contrastare l’attacco “man in the middle”
L’efficace contrasto a tecniche di attacco tipo “man-in-the-middle” può essere garantito solo
attraverso una modalità sicura di “feedback” all’utente, che possa confermargli l’integrità dei
dati della transazione bancaria da questi attivata.
Tale feedback può essere trasmesso attraverso:

un canale alternativo a quello Web,

oppure attraverso il canale Web, ma in una modalità sicura, non visualizzabile né
compromissibile da terzi.
15
| Market Development | Banking, Insurance & Financial Services |
Le soluzioni anti-frode
Il “canale alternativo”
Polo Principale
Prima autenticazione
Internet
Polo Alternativo
Autenticazione e
autorizzazione
dell’operazione
dispositiva
Centro servizi
La soluzione prevede un meccanismo di “autenticazione forte” con richiesta esplicita di
autorizzazione (riportando gli estremi dell’operazione dispositiva) attraverso un “canale alternativo”,
ovvero la rete cellulare.
16
Le soluzioni anti-frode
| Market Development | Banking, Insurance & Financial Services |
Come funziona la soluzione di “Mobile OTP”
PASSWORD
1°) Il correntista imposta la richiesta di
Bonifico via INTERNET.
Il software applicativo chiede di digitare la
password che perverrà via SMS al fine di
confermare l’operazione dispositiva
4°) Il software applicativo verifica la validità
della Password: se corrisponde
l’operazione viene confermata, altrimenti
viene rifiutata
2°) La Banca invia sul cellulare
dell’utente un SMS che
riassume la transazione e
contiene la OTP dispositiva
Banca xxxx Servizi Online:
richiesta conferma
operazione di Bonifico al
cc n: 012345 di 20,00
EURO. Per eseguire
l’operazione digitare la
password:
AF2GH772
3°) Il correntista utilizza la Password
arrivata attraverso il “canale
alternativo” per confermare
l’operazione
17
| Market Development | Banking, Insurance & Financial Services |
Le soluzioni anti-frode
I vantaggi del canale alternativo
 Nessuna necessità per il cliente di portare con sé un
oggetto aggiuntivo (mentre
un’appendice delle persone…)
il
cellulare
è
ormai
 Provisioning e gestione del servizio estremamente
semplificati rispetto alla distribuzione di Token alla
clientela
 Nessun problema di allineamento e di sincronismo tra
componenti Client e Server.
 L’SMS inviato al cliente contiene i dati salienti della
transazione, consentendo di verificare che le informazioni
inviate via web alla banca siano arrivate integre alla
banca stessa (utile anche per contrastare gli attacchi
“man-in-the-middle”)
18
Le soluzioni anti-frode
| Market Development | Banking, Insurance & Financial Services |
Strong Authentication “SC@CCO”
SC@CCO è una innovativa piattaforma di autenticazione –
sviluppata e brevettata dai laboratori del gruppo TI - che
consente la strong authentication degli utenti, utilizzando
il
terminale mobile come token di sicurezza.
La piattaforma utilizza la metodologia “Challenge-Response”
unitamente ad un supporto di tipo grafico ed ad uno specifico
software installato sul terminale mobile dell’utente.
19
| Market Development | Banking, Insurance & Financial Services |
Le soluzioni anti-frode
Sc@cco per la fase dispositiva dell’Internet Banking
From: Aliceanca
Bonifico; Beneficiario:
Bianchi Paolo, Importo:
2,500, CC: 661***,
Causale: Premio
Assicurazione.
Per confermare: 13456
Anti-Phishing
3
From: Aliceanca
Bonifico; Beneficiario:
Bianchi Paolo, Importo:
2,500, CC: 661***,
Causale: Premio
Assicurazione.
Per confermare: 13456
2
1
20
Le soluzioni anti-frode
| Market Development | Banking, Insurance & Financial Services |
…..grazie e buona navigazione a tutti……
21