UNIVERSITA’ DEGLI STUDI DI UDINE
SPYWARE E VIRUS
INFORMATICI
MODALITA’ INVESTIGATIVE E TECNICHE DI
CONTRASTO
Cesare Maragoni
Udine, 4 maggio 2007
1
MALICIUS CODE
WORM
VIRUS
TROJAN
SPYWARE
ROOTKIT
DIALER
KEY
LOGGER
BOTNET
MALICIUS CODE

innocui: se non alterano le operazioni del computer ed
il risultato della loro propagazione comporta solo una
diminuzione dello spazio libero sul disco o con il
produrre effetti multimediali.


dannosi: possono causare dei problemi alle normali
operazioni del computer come la cancellazione di alcune
parti dei file. Di solito hanno anche l’effetto di aggravare
le prestazioni della macchina assorbendone gran parte
della capacità operativa
molto dannosi: l'unico scopo consiste nel provocare
danni difficilmente recuperabili come la distruzione dei
programmi o la cancellazione d'informazioni vitali per il
sistema (formattazione di porzioni del disco).
Virus
Worm
Programma che si propaga inserendosi
in un ospite o in un sistema operativo,
confondendosi tra gli altri programmi.
Per attivarlo e’ necessario eseguire
il relativo programma ospite
Programma che opera in modo indipendente.
Per mantenersi consuma le risorse
del proprio host dal suo interno
è in grado di propagarsi autonomamente
ad altre macchine in maniera
completa e funzionante
Spyware
keylogger
Programmi che spiano
la navigazione in Rete dell’utente
Lavorano in background.
Memorizzano tutte le informazioni
per trasmetterle ad un terzo soggetto
(HD SW)
rootkit
porzione di software che può essere
installato e nascosto su un computer
all’insaputa dell’utente
botnet
una rete di computer infettati da virus
o trojan che consentono
di controllare il sistema da remoto
QUALCHE CONSIGLIO SULLA SICUREZZA…
MAI
PW
ESEGUIRE PROGRAMMI SCONOSCIUTI
FAR MODIFICARE AD ALTRI IL S.O.
LA CONSENTIRE
TECNOLOGIA
NON
AD ALTRI L’ACCESSO FISICO AL PC
E’
NO PAROLE
DI SENSO COMPIUTO
LA SOLUZIONE
AI
NO DATI PERSONALI O FAMILIARI
NOSTRI
PROBLEMI
DA MODIFICARE
CON FREQUENZA
FIREWALL - ANTIVIRUS – PROGRAMMI AGGIORNATI
La normativa italiana



la legge 547/93 ha introdotto i cosiddetti
“reati informatici”
è stata la risposta del legislatore
dell’epoca alle sollecitazioni del mondo
delle tecnologie per un adeguamento alla
realtà in repentina evoluzione
Nuove figure di reato ovvero nuove
modalità di commissione di reati
tradizionali
Caratteristiche dei reati informatici
Difficili da accertare
Scarsa collaborazione delle vittime
Aleatorietà della prova
Difficoltà nella acquisizione e
mantenimento integro delle prove
Facilità di danneggiamento accidentale o
volontario
Divieto di analogia della norma penale
I nuovi reati informatici
Danneggiamento informatico
Accesso abusivo a sistema informatico
Turbativa delle comunicazioni informatiche
Frode informatica
Falso informatico
Danneggiamento informatico
art. 392 c.p.
(Esercizio arbitrario delle proprie ragioni con violenza sulle cose)
art. 420 c.p.
(Attentato a impianti di pubblica utilità)
art. 635 bis c.p.
(Danneggiamento di sistemi informatici e telematici)
art. 615 quinquies c.p.
(Diffusione di programmi diretti a danneggiare o interrompere un
sistema informatico)
Accesso abusivo
art. 615 ter c.p.
(Accesso abusivo ad un sistema informatico o telematico)
art. 615 quater c.p.
(Detenzione e diffusione abusiva di codici di accesso a sistemi informatici
o telematici)
art. 617 quater c.p.
(Intercettazione, impedimento o interruzione illecita di comunicazioni
informatiche o telematiche)
art. 617 sexies c.p.
(Falsificazione, alterazione o soppressione del contenuto di comunicazioni
informatiche o telematiche)
Turbativa delle comunicazioni
informatiche
art. 616 c.p.
(Violazione, sottrazione e soppressione di corrispondenza)
art. 617 quater c.p.
(Intercettazione,
impedimento
o
interruzione
illecita
di
comunicazioni informatiche o telematiche)
617 quinquies c.p.
(installazione di apparecchiature atte ad intercettare, impedire od
interrompere comunicazioni informatiche o telematiche)
617 sexies c.p.
(falsificazione, alterazione o soppressione del contenuto di
comunicazioni informatiche o telematiche)
621 c.p.
(rivelazione del contenuto di documenti segreti)
Frode informatica
art. 640 c.p. ter
(frode informatica)
Figura specifica del reato di truffa
Non richiede artifizi o raggiri
Profitto proprio con danno altrui
Mediante manipolazione del sistema
Mediante manipolazione dei dati (contenuti nel sistema)
Falso informatico
Art. 491 bis c.p.
(documenti informatici)
QUALUNQUE SUPPORTO INFORMATICO
CONTENENTE DATI O INFORMAZIONI
AVENTI EFFICACIA PROBATORIA O
PROGRAMMI SPECIFICAMENTE DESTINATI
AD ELABORARLI
ZELIG
Canali d’infezione
E-Mail
Messaggio via E-mail
Il Momento è catartico
Funzionamento
ZELIG WORM
Arriva via e-mail un messaggio che invita a scaricare
lo screen saver dello ZELIG sul sito www.francescone.com
Installato Zelig.scr la connessione internet viene dirottata
sul numero a pagamento 899***
Il bonifico transitava sulla Bank of America di New York
e successivamente accreditato in Venezuela
con beneficiaria una società offshore in Aruba.
Numeri dell’indagine
Primo virus al mondo con finalità di frode.
 3 giorni di “inseguimenti virtuali”.
 12.497
connessioni telefoniche e 57.794
min. di traffico fraudolento
 104.029,00 € di illeciti profitti recuperati.
 Migliaia di Pc infettati in poche ore.
 Collaborazione internazionale (SS-USA)

PHISHING
Un esempio di ingegneria
sociale: il Phishing…
E’ una tecnica utilizzata per ottenere l’accesso
ad informazioni personali con la finalità del furto
di identità mediante l’utilizzo di messaggi di
posta elettronica opportunamente creati per
apparire autentici. Mediante questi messaggi
l’utente è ingannato e portato a rivelare dati
sensibili come numero di conto, nome utente e
password, numero di carta di credito.
Le "esche" lanciate sul Web
sono di vario tipo:
1) Email che invita ad accedere al sito della banca per ottenere il nuovo pin di
sicurezza;
2) Email che invita ad accedere al sito della banca per ottenere un premio in denaro;
3) Email contenente un avviso di addebito in conto, di un importo non indifferente,
per l'acquisto, ad esempio, di un pc; maggiori dettagli il destinatario li può trovare
nel sito indicato nella email; per accedere al sito viene poi richiesta la userid e la
password, in modo da poterla catturare;
4) Email che invita ad accedere al sito della banca proprio perché phisher avrebbero
attentato alla sicurezza del conto corrente del cliente;
5) Email con avviso analogo al precedente, ma il destinatario, accedendo al sito,
riceve sul computer un programma "trojan" che si metterà in "ascolto" e provvederà
a raccogliere i dati digitati dal cliente sul suo pc e, successivamente, ad inviarli
all'hacker o ad una banda criminale; in tal modo, vengono reperiti dati importanti, fra
i quali user e password, numeri di carte di credito, ecc..
L’attività si estrinseca su tre “versanti”:
Lato “A”
Raccolta credenziali
Vittima del phishing
Lato “B”
Reclutamento
Financial manager
Lato “C”
Riciclaggio
Financial manager
Come funziona…
Side “A” – Raccolta credenziali
In questa prima fase, il “ladro di informazioni” invia
a tutti gli account di posta elettronica di un provider X, una mail
che invita il correntista di una banca Y ad inserire le proprie
credenziali per il servizio di Home Banking.
N.B.: tali e-mail sono inviate a tutti, non solo ai correntisti
dell’Istituto bancario preso di mira.
La prima mail di phishing in Italia
16 marzo 2005
Come funziona…
Side “A” – Raccolta credenziali
I dati degli utenti ingannati,
transitando da siti stranieri,
finiscono in un DataBase
a disposizione dei frodatori.
(di solito un file txt all’estero)
Attacco congiunto a 3 banche

Ore 14.00 del 19 ottobre 2005:
 Attacco di Phishing a 3 Banche.
Ore 13.00 del 20 ottobre 2005
 Dichiariamo terminato, dopo aver
chiuso 1259 domini, l'attacco di
phishing alle 3 Banche.

Risultato…
3500 utenti circa hanno inserito le
credenziali nei pop up in sole 23 ore.


150 credenziali risultano “buone”, come
confermato dai feedback delle stesse
banche

Recuperati i file .txt in Russia e
cambiate le password
30
Trojan e bonifico
Client side
Server side
Hacker
Computer infetto
Bonifico in frode
Come funziona…
Side “B” – RECLUTAMENTO
In questa seconda fase, il “ladro di informazioni” invia, sempre a
tutti gli account di posta di un provider, una mail
che propone un lavoro come “intermediario finanziario” o “financial
manager” per conto di una società estera,
promettendo retribuzioni pari al 5-10% della somma trattata.
L’email è corredata di tutta una serie di credenziali di tale società
ed, addirittura, invita l’utente a visitare il sito web dell’azienda.
Sito web costruito ad hoc dal look professionale che inganna l’utente.
Quest’ultimo, accettato il “lavoro” invia le coordinarie bancarie
del proprio conto corrente per iniziare l’attività.
Reclutamento
mediante Spam..
Hello,
My friend give me your e-mail address. I think you are from Italy, so you can help me.
I am a programmer from Russia,
I have some clients from Italy that ready to pay me sending
money by Post office transfer, they dont have WesternUnion/Moneygram office nere
their place,but I can receive only Western Union/MoneyGram transfers here in
Russia. So - I need to find somebody who can receive this Post office transfer (you
need just your ID for it) and re-send money to me by sending Western
Union/MoneyGram transfer.
If you help me - you get 10% from transferred money
(10% from 5000 EUR = 500 EUR to you from one transfer).
If you are ready to help, please e-mail me to [email protected].
Thank you for your attention.
Contact e-mail: [email protected] – http://www.silvestry.biz
Alcuni numeri……
5% 2%
29%
26%
18%
20%
USA
Italia
GB
Germania
Spagna
Francia
Come funziona…
Side “C” – Riciclaggio
Vittima phishing
Frodatore
I frodatori, con le credenziali di accesso
delle vittime, effettuano bonifici
nazionali ai financial manager.
Questi ultimi verranno contattati
via SMS o E-mail per ricevere
le disposizioni per prelievo ed il rinvio
del danaro nei Paesi dell’Est.
Financial manager
36
Come funziona…
Side “C” – Riciclaggio
Financial manager
Frodatore
Il financial manager, si reca presso la propria
Banca (anche solo 20 minuti dopo il bonifico
in frode), preleva il contante, trattenendosi
la commissione pattuita (5-10%) ed invia,
per mezzo di società di Money Transfer,
il denaro così “ripulito” nei Paesi dell’Est.
Ed in Russia?
????
A mano
Il beneficiario russo o ucraino, prelevati i
soldi presso una agenzia western union,
effettua un trasferimento, a fronte di 15- 25
dollari, “hand to hand” al committente,
conosciuto via chat.
Il beneficiario
russo
Nota Bene:
Lo stipendio in Ucraina di un
Colonnello della polizia è di circa
270 euro al mese.
R.R.
(148)
25/08/2005 ore 09.17.25.
12.000
25/08/2005 ore 09.18.03.
12.000
25/08/2005 ore 09.18.35.
12.000
M.L.
Preleva alle
Ore 09.25.00
MMC e Spyware
Caso 1
Caso 2
14/06/2005 ore 13.00.00.
5.000
14/06/2005 ore 13.00.54.
5.000
A.G.
(7)
P.G.
Preleva
nel primo
pomeriggio
Caso 3
9/06/2005 ore 12:26:17.
9/06/2005 ore 12:27:09
P.D..
(134)
10/06/2005 ore 9:49:26.
10/06/2005 ore 9:50.18.
10/06/2005 ore 9:51:11.
13/6/2005 ore 10:13:34.
13/6/2005 ore10:14:44.
13/6/2005 ore 10:15:43.
13/06/2005 ore 10:16:47.
5.000
5.000
5.000
5.000
5.000
5.000
5.000
5.000
5.000
M.M.
Preleva alle
Ore 12.45.00
M.M.
Preleva alle
Ore 10.15.00
M.M.
Preleva alle
Ore 10.30
I numeri sul furto
d’identità elettronico in Italia….
Oltre 8 milioni di euro di tentativi da
maggio 2005 ad oggi;
Il 50% andati a buon fine
Circa 500.000 di euro bloccati dalla Gdf
(anche durante il “tragitto” Italia – ex
Urss).
(segue): i numeri sul furto
d’identità elettronico in Italia….




arresto di due cittadini dell’est Europa
arrivati in Italia per bypassare i blocchi…
Oltre 90 indagati per cybericiclaggio.
5 rogatorie internazionali.
Cooperazione internazionale (Eurojust,
Europol, Ocse).
Evoluzione del phishing
VISHING
Diffusione di email che
invitano a contattare un
call center per aggiornare i
dati personali
SMShing
invio di SMS che invita a
contattare un call center al
fine di confermare i propri
sensibili.
FONTI











www.microsoft.com
www.washingtonpost.com
www.ictlex.it
www.dia.unisa.it
www.f-secure.com
www.fbi.gov.us
www.anti-phishing.it
www.zone-h.org
www.danilovizzarro.it
Buffa F., Internet e criminalità – Finanza telematica off shore, Ed.
Giuffrè, Milano 2001
Pica G., Diritto Penale delle tecnologie informatiche, Ed. UTET, Torino
1999
GRAZIE PER L’ATTENZIONE
[email protected]