Le nuove frontiere del phishing
internazionale: incident response,
Tecnologie ed organizzazione
Dario Forte, CISM, CFE
Founder and CEO
About DFLabs




DFLabs becomes from an idea of Dario
Forte, Former Police Officer.
Forte has more than 15 years of
experience (Drug Enforcement,
Organized Crime, Technological
Terrorism); he worked with NASA, DHS
and many Govt. Worldwide
In 2002 he founded DFLabs
As Adj Professor at University of Milano DTI, He founded the IRItaly Project.
Agenda




Phishing Vs. Pharming
Il problema della gestione
internazionale dei casi e dei
blocchi dei fake domains
Lo stato dell’arte tecnologico e
della ricerca
Le contromisure per Il mondo
business.
Phishing Vs. Pharming


Alla Base del phishing vi e’ una
combinazione tra social
engineering e technical
subterfuge;
Tuttavia numerosi casi di
phishing si verificano grazie
allo sfruttamento di
vulnerabilita’ multilivello.
Phishing Vs. Pharming



Il malfattore installa del crimeware nei
PC dei malcapitati, utilizzando spesso dei
Trojan keylogger spyware etc. Utilizza
delle vulnerabilita’ del sistema target o
comunque la scarsa attenzione nei
confronti di collaterali come gli spyware.
Nel Pharming il crimeware utilizza le
vulnerabilita’ sopra esposte per redirigere
il traffico su Proxy e/o DNS creati per lo
scopo.
E’ evidente il criterio della
propedeuticita’.
Chi paga e chi no



L’Utente finale puo’ avere dei problemi
se non ha posto in essere un minimo di
due diligence nella gestione delle proprie
attivita’.
Le aziende possono avere dei problemi
(soprattutto di immagine) se non
gestiscono I nomi di dominio con un
continuo controllo antigrabbing
Chiunque ha un IP Pubblico ha
un’ulteriore responsabilita’ di gestione.
Chiunque ha un IP Pubblico ha
un’ulteriore responsabilita’ di
gestione



Honeynet Research alliance:
Analisi multilivello sulla
fenomenologia del phishing/lato
teste di ponte
Sono state associate piu’ honeynet
compromesse e comparate le
violazioni.
Risultato: inquadramento dei
cosiddetti Combinated Attacks
Our Test Bed
Dmz
Log washer
Combinated Attack
Gli “Hacked Box” redirigono
sul phishing site
Gli HB possono essere macchine
PC o Server, rootkitted o con spyware/bot
La distribuzione e’ transnazionale
Findings sugli attacchi
monitorati




Una volta compromessi, gli honetpots
vedevano l’iter che segue:
Setup di un phishing web site, con uno o
piu’ brand targettizzati
Spam email, anche via botnet
(distribuzione)
Redirection di traffico sul sito web falso
(utile per redirigere gli utenti interni verso
delle risorse illegali)
Lo stato dell’arte tecnologico
e della ricerca




Servizi: alcuni vendor
pubblicizzano servizi di chiusura
website agendo sui root dns o In
maniera simile sulla propagazione
Pro: efficacia/Contro: tempi non
sempre rapidi
Siti informativi sulle nuove tecniche
di phishing
Honeynet Project
Lo stato dell’arte tecnologico
e della ricerca (2)





APWG
Vendors
Universita’
Forze di Polizia e Governi
ISP
Tracing Phishing sites
Qualche dato
Le contromisure per Il mondo
business.




Continuo monitoraggio della rete
Supporto tecnico/investigativo del
cliente finale
Rise Up delle contromisure di
sicurezza sui target di infrastruttura
Rise Up delle contromisure di
sicurezza sull’utente finale
Le contromisure per Il mondo
business (2).




Verifica dei
nomidominio/innalzamento dei
controlli sul “domain grabbing”
Awareness sul cliente finale
Cooperazione internazionale
Tempestivita’: il ruolo dell’incident
response.
CONTACT INFO
 WEB
SITE: www.dflabs.com
 EMAIL: [email protected]
 tel : 3402624246 (Dario Forte,
founder)