“Prima indagine sul Phishing in Italia”
Roma,
20 Giugno
2006
Anthony Cecil Wright
“Prima indagine sul Phishing in Italia”
Roma,
20 Giugno
2006
Anthony Cecil Wright
Cos’ è il Phishing (1/3)
“Si butta l’amo e si spera che qualche pesce
abbocchi”
Si mandano migliaia di email sperando che qualche
lettore creda di aver ricevuto una comunicazione
dall’Azienda di cui è Cliente.
Cos’ è il Phishing (2/3)
Il Phishing non è il Pharming
• Il Phishing sfrutta l’ingenuità di qualcuno
• Il Pharming usa tecniche evolute o “buchi di
...sicurezza”
• Es. dirottamento automatico dei clienti su un
--altro sito
Cos’ è il Phishing (3/3)
Il Phishing: un esempio recente
Le telefonate da parte di terzi che si spacciano per
personale di una Società emittente una carta di
credito, allo scopo di convincere gli utenti a farsi
dare dati riservati mancanti.
Ad Es.: il codice che si trova sul retro della carta di
credito.
Prima Indagine sul Phishing:
le Motivazioni (1/3)
• Rendere disponibili informazioni essenziali ---ad una vera conoscenza del fenomeno:
--dimensione, profondità, impatti, conseguenze, etc.
• Diffondere la conoscenza del phishing presso
--i comuni cittadini:
--un’efficace educazione del cittadino per -------------esorcizzare il rischio di un rifiuto nei confronti della
--nuova tecnologia
Prima Indagine sul Phishing:
le Motivazioni (2/3)
Il phishing rallenta un’evoluzione tecnologica
necessaria in Italia
perchè
diffonde sfiducia nei confronti delle nuove tecnologie
presso i cittadini comuni,
in un momento in cui....
Prima Indagine sul Phishing:
le Motivazioni (3/3)
Le Piccole e medie imprese italiane per crescere
hanno bisogno di Contenere i Costi di produzione
e di commercializzazione.
Possono farlo attraverso:
•
e-Business
•
e-Commerce
•
dematerializzazione dei documenti
•
semplificazione amministrativa
Anssaif (1/2)
E’ formata da specialisti di Sicurezza e
Business Continuity
valuta scenari di rischio legati al Cybercrime
analizza quanto accade nel Mondo per poter trarne
una “lesson learned” per un caso successivo di
attacco cybernetico
Offre soluzioni per limitare al massimo i danni per i
Clienti e per le Aziende per cui lavora
Anssaif (2/2)
Il phishing è nuovo nelle modalità e nelle
tecniche ma non nella logica.
Per una corretta analisi del fenomeno è necessario
conoscere:
la dimensione del fenomeno:
quanti sono colpiti?
le motivazioni:
perchè sono caduti nella trappola?
Una frode riuscita (1/1)
Cause:
1) la novità nella modalità con cui viene portato --.avanti l’inganno;
2) l’ingenuità / ignoranza della vittima – mancata .istruzione al digitale -;
3) se il criminale ritiene di avere buone probabilità
.di non essere individuato;
4) l’assenza di contromisure adeguate;
Contromisure inadeguate (1/1)
Sono dovute:
•
•
a nuove tipologie di attacco
al costo elevato di contromisure come --------.software, hardware, misure organizzative a
causa:
- del costo elevato sul mercato
- della maturità del prodotto
- della complessità dell’ambiente
L’azienda ben gestita (1/1)
Agisce secondo la logica del “ Buon Padre di
famiglia”
Compra solo ciò che:
è giustificato Il possibile danno giustifica
l’investimento?
è accettabile La misura adottata è accettata dal
Cliente?
è gestibile La Gestione è semplice o rende difficile
l’operatività quotidiana?
è obbligatorio per legge la legge richiede
l’adozione di determinati strumenti?
La perdita economica dei quantitativi (1/1)
Nuove tipologie di frodi non hanno una storia
pregressa
Non c’è una bilancia su cui pesare l’investimento
Non si possono calcolare i possibili danni
economici e d’immagine
Le contromisure (1/1)
Sinergia di tutte le parti in causa
il produttore, l’intermediario il consumatore,
Istituzioni, parti politiche.
Studio delle contromisure adueguate valutando:
tempo - le contromisure vanno studiate per tempo
e devono essere realizzate in tempi brevi
denaro – la realizzazione di nuove contromisure può
avere un costo molto elevato
prove
- le contromisure devono essere testate
La Gestibilità delle soluzioni (1/2)
Il Cliente tende a rifiutare prodotti innovativi
La misura di sicurezza innovativa quindi:
•
può far fallire l’accettazione di un nuovo canale
distributivo o di un nuovo prodotto;
•
Può essere un rischio per l’azienda
Inoltre, esistendo varie tipologie di Phishing, per
ognuna di esse si devono adottare le opportune
contromisure.
La Gestibilità delle soluzioni (2/2)
Che fare?
Scegliere la misura di sicurezza:
•
più vicina al Cliente per cultura, storia,
abitudini,
un ambiente può rifiutare ciò che non “sente”
vicino alla sua realtà.
•
più semplice, riservata e veloce per il
Cliente
soluzioni come l’analisi comportamentale, l’SMS,
ecc. sono alcune soluzioni adottate
Conclusioni (1/3)
Sulla dimensione del fenomeno
L’Indagine fornisce i dati reali sulla dimensione del
problema.
Sulle Contromisure
Dare il giusto supporto all’Industria italiana che è in
grado di fornire strumenti adeguati alla nostra
realtà.
Conclusioni (2/3)
Analisi dei Costi-Benefici
Banca d’Italia, il comitato di Basilea, l’ABI, da
tempo hanno indotto anche gli intermediari più
piccoli ad instaurare sistemi integrati di
gestione del rischio, capaci di individuare le
necessità e suggerire l’adozione di strumenti e
processi di Sicurezza proporzionati ai possibili
danni.
Utilizzabilità del prodotto offerto al
Consumatore.
Da poco tempo sono disponibili strumenti di
sicurezza a prezzi più accessibili.
Conclusioni (3/3)
Approccio al Consumatore
L’Ingenuità di chi cade nella trappola è dovuta
all’ignoranza nei riguardi della tecnologia e del
sistema Internet.
Si deve quindi:
diminuire il divario fra chi sa e chi è ignorante in
materia di “digitale”;
educare il Consumatore ad una giusta diffidenza.
Grazie e arrivederci
Roma,
20 Giugno
2006
Anthony Cecil Wright