Le nuove frontiere del phishing internazionale: incident response, Tecnologie ed organizzazione Dario Forte, CISM, CFE Founder and CEO About DFLabs DFLabs becomes from an idea of Dario Forte, Former Police Officer. Forte has more than 15 years of experience (Drug Enforcement, Organized Crime, Technological Terrorism); he worked with NASA, DHS and many Govt. Worldwide In 2002 he founded DFLabs As Adj Professor at University of Milano DTI, He founded the IRItaly Project. Agenda Phishing Vs. Pharming Il problema della gestione internazionale dei casi e dei blocchi dei fake domains Lo stato dell’arte tecnologico e della ricerca Le contromisure per Il mondo business. Phishing Vs. Pharming Alla Base del phishing vi e’ una combinazione tra social engineering e technical subterfuge; Tuttavia numerosi casi di phishing si verificano grazie allo sfruttamento di vulnerabilita’ multilivello. Phishing Vs. Pharming Il malfattore installa del crimeware nei PC dei malcapitati, utilizzando spesso dei Trojan keylogger spyware etc. Utilizza delle vulnerabilita’ del sistema target o comunque la scarsa attenzione nei confronti di collaterali come gli spyware. Nel Pharming il crimeware utilizza le vulnerabilita’ sopra esposte per redirigere il traffico su Proxy e/o DNS creati per lo scopo. E’ evidente il criterio della propedeuticita’. Chi paga e chi no L’Utente finale puo’ avere dei problemi se non ha posto in essere un minimo di due diligence nella gestione delle proprie attivita’. Le aziende possono avere dei problemi (soprattutto di immagine) se non gestiscono I nomi di dominio con un continuo controllo antigrabbing Chiunque ha un IP Pubblico ha un’ulteriore responsabilita’ di gestione. Chiunque ha un IP Pubblico ha un’ulteriore responsabilita’ di gestione Honeynet Research alliance: Analisi multilivello sulla fenomenologia del phishing/lato teste di ponte Sono state associate piu’ honeynet compromesse e comparate le violazioni. Risultato: inquadramento dei cosiddetti Combinated Attacks Our Test Bed Dmz Log washer Combinated Attack Gli “Hacked Box” redirigono sul phishing site Gli HB possono essere macchine PC o Server, rootkitted o con spyware/bot La distribuzione e’ transnazionale Findings sugli attacchi monitorati Una volta compromessi, gli honetpots vedevano l’iter che segue: Setup di un phishing web site, con uno o piu’ brand targettizzati Spam email, anche via botnet (distribuzione) Redirection di traffico sul sito web falso (utile per redirigere gli utenti interni verso delle risorse illegali) Lo stato dell’arte tecnologico e della ricerca Servizi: alcuni vendor pubblicizzano servizi di chiusura website agendo sui root dns o In maniera simile sulla propagazione Pro: efficacia/Contro: tempi non sempre rapidi Siti informativi sulle nuove tecniche di phishing Honeynet Project Lo stato dell’arte tecnologico e della ricerca (2) APWG Vendors Universita’ Forze di Polizia e Governi ISP Tracing Phishing sites Qualche dato Le contromisure per Il mondo business. Continuo monitoraggio della rete Supporto tecnico/investigativo del cliente finale Rise Up delle contromisure di sicurezza sui target di infrastruttura Rise Up delle contromisure di sicurezza sull’utente finale Le contromisure per Il mondo business (2). Verifica dei nomidominio/innalzamento dei controlli sul “domain grabbing” Awareness sul cliente finale Cooperazione internazionale Tempestivita’: il ruolo dell’incident response. CONTACT INFO WEB SITE: www.dflabs.com EMAIL: [email protected] tel : 3402624246 (Dario Forte, founder)