FRODE IN INTERNET: DAL PHISHING AL PHARMING 1. INTRODUZIONE: In un informe precedente di Recovery Labs si faceva uno studio esaustivo sopra il fenomeno del phishing, la sua ripercussione e le differenti forme di combatterlo. Attualmente il phishing continua la sua evoluzione ed è sempre più presente nei messaggi che riceviamo e la sua diffusione in quanto a Paesi e lingue è sempre maggiore. Però la sua evoluzione finale è culminata con l’apparizione del Pharming, ancora più pericoloso e, nel caso in cui arrivi a realizzarsi, molto più dannoso del phishing tradizionale. Nel presente informe andiamo ad analizzare la reltà del phishing, le sue tecniche di inganno e le statistiche della sua attuale espansione. In secondo luogo andremo a spiegare chiaramente il fenomeno del pharming e come lottare contro di esso. 2. CHE SONO ? Tuttte le informazioni necessarie su quello che è il phishing, come funziona o come evitarlo le possiamo incontrare nel precedente informe, che si può locolizzare al seguente indirizzo: http://www.recoverylabs.it/rapporti/Recovery_Labs_phishing.pdf Comunque, per recordarlo e come passo preliminare per spiegare che è il pharming, diremo che il PHISHING non è altro che la sostituzione non autorizzata di siti Internet. Si tratta di indirizzi di posta elettronica ingannevoli e pagine web fraudolente che sembrano procedere da istituzioni di fiducia (banche, entità finanziarie, etc.), però che in realtà sono state create per raggirare il destinatario e fare in modo che divulghi informazioni confidenziali. Per questo motivo il phishing si considera una frode che si avvale della “ingegneria sociale”, per questo il suo esito è tanto limitato visto che non tutti gli usuari cadono nei suoi trucchi. La ingegneria sociale consiste nella manipolazione delle persone le quali realizzano volontariamente atti che normalmente non farebbero. Nello specifico rivelare, per esempio, passwords o dati personali. il PHARMING invece è una tecnica di truffa on line anche più pericolosa del phishing visto che non le serve far leva su tecniche di ingegneria sociale. Il pharming consiste nella manipolazione degli indirizzi di DNS (Domain Name Server) che utilizza l’usuario, con l’obiettivo di ingannarlo e di conseguire che le pagine web che l’usuario visiti non siano realmente le originali anche se il loro aspetto è praticamente identico. Queste false pagine sono state create previamente da pirati informatici con l’obiettivo di conseguire dati ed informazioni sensibili e personali, sopratutto relazionate con banche, istituti di credito o entità finanziarie. 3. COME FUNZIONA ? 3.1 PHISHING Funziona attraverso un messaggio elettronico, simulando procedere da una finte attendibile (per esempio lla propria banca), si tenta di raccogliere i dati necessari per truffare l’usuario. Normalmente si tratta di messaggi con un testo come: “Per motivi di sicurezza...”, o “Il suo conto deve essere confermato...”, “ Si avvertono i clienti della banca..”, indicando all’utente che si stanno realizzando cambi e che per sicurezza deve introdurre i suoi dati personali e codici bancari cliccando sopra un link che loro indicano. Nel cliccare l’utente viene reindiraizzato ad un sito molto simile a quello della sua banca abituale. La verità è che quella pagina web appartiene al truffatore che non deve fare altro che copiare i dati che l’utente compila. Altre volte è la stessa e-mail che che chiede di compilare i dati e “inviare”, senza necessità di reindirizzare ad un altra pagina. Dipartamento di Comunicazione www.recoverylabs.it -1- 3.2 PHARMING Il pharming consiste nel manipolare direzioni DNS per ingannare l’utente e commettere frodi. Per capire meglio il pharming, dobbiamo innnanzitutto comprendere che cosa si intende per manipolazione degli indirizzi DNS. Quando si insericsce un indirizzo e-mail determinato (URL) il navigatore di Internet, per poter accedere a quel sito, questa URL deve convertirsi a l’indirizzo IP reale della pagina che si desidera visitare. Il formato IP è: 000.000.000.000. Ovviamente questo si fà perchè sarebbe estremamente complesso poter ricordare sequenze di numeri che identificano tutte le pagine web che visitiamo. Per questo è più facile scrivere nel nostro motre di ricerca, ad esempio, www.bancadiroma.it, e poi convertirlo alla numerazione corrispondente al suo IP reale. A questo punto il motore di ricerca non può realizzare questa conversione se non attraverso l’ausilio di un server DNS. Per esempio, allo scivere bancadiroma.it stiamo inviando questo nome ad un server DNS. Questi tiene un registro che amministra questi nomi e li converte in sequenze numeriche per indirizzare finalmente l’utente a la pagina desiderata. Il Pharming realizza il suo attacco al server DNS. Il suo obiettivo è quello di cambiare la corrispondenza numerica a tutti gli utenti che lo utilizzino. Cambiando questa corrispondenza, scriviamo nel nostro motore di ricerca bancadiroma.it, però il DNS la decodifica con una corrispondenza numerica distinta alla originale e reale, portando all’utente ad una pagina identica a quella della Banca di Roma, che però è stata creata dai truffatori. A partire da qua l’utente pensa di stare nel sito web della sua banca e realizza i suoi movimenti con totale tranquillità. Il pirata informatico a questo punto deve solo riutilizzare la chiave di accesso che l’utente scrive. Un altro tipo di pharming, anche più pericoloso e dannoso è quello che si realizza a livello locale, cioè, in ogni computer singolarmente. E`solo necessario modificare una cartella chiamata “HOSTS”, contenuta in qualsiasi computer che utilizzi un Sistema Operativo Windows e che utilizzi Internet Explorer per per la navigazione in Internet. L’archivio hosts lavora di tal maniera che non è necessario accedere al server DNS per reindirizzarci a la web desiderata. Vi è infatti immagazzinata una piccola tabella con gli indirizzi di server e indirizzi IP che più utilizza l’utente. Modificandola, per esempio con falsi indirizzi di banche on line succederà come nel caso precedente, cioè nel motore di ricerca si scriverà la URL del sito che vogliamo visitare però saremo reinviati ad una pagina web che non corrisponde con la reale. Supponiamo che a questo punto la domanda che ci faremmo tutti sarà: Come può fare uno sconosciuto a modificare in un computer personale una cartella precisa ? Questo lo può fare direttamente il truffatore entrando nel computer in forma remota e attraverso qualche vulnerabilità del sistema , o anche attraverso un virus ( o troyano). Alcuni esempi di troyani conosciuti che hanno la capacità di produrre questi cambi nella tavola di hosts sono della famiglia Bancos, Banker o Banbra. Questi troyani solitamente sono dei malwares mascherati che si nascondono in files allegati o che si scaricano direttamente accedendo a false pagine web create con questo obiettivo. Dipartamento di Comunicazione www.recoverylabs.it -2- 4. COME EVITARLO? 4.1 EVITARE IL PHISHING Tutte le información necessarie su come evitarlo le possiamo incontrare nel precedente informe che si può localizzare al seguente indirizzo: http://www.recoverylabs.it/rapporti/Recovery_Labs_phishing.pdf Comunque le tecniche di ingegneria sociale continuano ad evoluzionarsi, per questo mostreremo alcuni esempi degli ultimi casi incontrati. Le banche online con il tipico messaggio che avverte che per qualche motic¡vo si devono reintrodurre i dati personali, continuano ad essere le più colpite da attacchi di phishing. Comunque la sua evoluzione al pharming sta iniziando a generare nuove forme di truffe di ingegneria sociale il cui obiettivo è quello che l’utente si diriga a pagine false che contengono codici malware per posteriormente utilizzarle e conseguire informazioni dall’utente. Continuando analizzeremo alcuni esempi: CASO 1. Terra: Un amico le ha dedicato una canzone Come si può osservare, il messaggio è in portoghese e al momento solo si è rintracciato in Brasile. E’ un chiaro esempio dell’utilizzo del phishing per realizzare il pharming. L`utente riceve una falsa e-mail con il seguente titolo: “ Abbiamo decicato musica per te”.Il resto del testo dice: “Un amico/a ti ha dedicato una canzone. Con affetto!!! Per ascoltare la canzone clicchi qui”. Dipartamento di Comunicazione www.recoverylabs.it -3- Se facciamo clic in clicchi qua, un file eseguibile viene scaricato dalla pagina web del truffatore. Nel momento in cui mandiamo in esecuzione questo file, un virus si installa nel computer. Questi può essere: - - Keylogger: si tratta di un troyano capace di registrare le pulsazioni della sua tastiera al connettersi a determinate pagine web. Per esempio, nel momento in cui l’utente si connette alla sua banca, e questa sta nella lista del troyano, comincia a registrare i dati che l’utente introduce, consentendo al truffatore di conoscere i codici di accesso. Esistono troyani di questo tipo che arrivano a realizzare intere schermate che poi inviano integralmente al pirata informatico. Troyanos che cambiano la cartella hosts: sono quelli menzionati precedentemente. CASO 2. Norton: Informazioni di un nuovo virus Questo caso è simile all’esempio 1 e anche la finalità è sempre quella che si acceda ad una pagina web perchè si scarichi un troyano e così poter commettere la frode. Il messaggio è differente e ci avverte della apparizione di un nuovo virus che chiaramente non eè reale. Il testo del messaggio dice: “Abbiamo riscontrato che la sue e-mail sta inviando un messaggio contaminato con il virus w32.Bugbear.B@mm: - Si tratta di una variante del virus w32.Bugbear@mm Si tratta di un virus di distribuzione di massa che si propaga anche attraverso reti locali E’ polimorfico e infetta anche una lista specifica di files eseguibili Registra le attività della tastiera e abilita ingressi remoti Prova a disattivare le attività di numerosi antivirus e firewalls Attualizzazione critica Si scarichi l’attualizzazione per eliminare il virus dal suo sistema” SCARICARE QUI Quando clicchiamo in SCARICARE QUI, succede lo stesso che nel caso precedente. Dipartamento di Comunicazione www.recoverylabs.it -4- Desideriamo ricordarle che il phishing non è qualcosa di nuovo e che non si estende solamente ad istituzioni finanziarie. In generale dobbiamo essere molto cauti e sospettosi difronte a qualsiasi finestra emergente che ci chiede dati bancari. Un altra frode con con messaggi ingannevoli si può incontrare in false finestre o e-mails inviate ad utenti di Hotmail. Un altro settore a rischio è quello delle aste e delle vendite on-line. Dipartamento di Comunicazione www.recoverylabs.it -5- 4.2 EVITARE IL PHARMING la maniera migliore di evitarlo è, in primo luogo, assicurarci che la pagina web che si sta visitando è la corretta e, in secondo luogo, non permettere che si installi un malware nel nostro computer. 1. Come si può sapere che l’indirizzo che appare nella barra di navigazione è quello vero ? E’ molto facile con il seguente trucco: Dobbiamo inserire nel motore di ricerca il seguente script: javascript:alert("Direccion real:"+ location.protocol + "//" + location.hostname + "/") Cliccando sopra “IR”, apparirà una finestra che indica l’indirizzo reale della pagina web nella quale ci incontriamo. La cosa più facile è configurare questo javascript in favoriti. Per fare questo scriveremo il java nella barra di navigazione, lo aggiungeremo come Favoriti e lo chiameremo per esempio: “WEB REALE”. Di seguito apriremo Favorit e con il bottone destro del mouse sopra “WEB REALE” andiamo a propietà. Dove compare la URL, cambiamo l’indirizzo con il javascript e accettiamo. A partire da questo momento quando l’utente navighi in qualsiasi pagina web, deve solamente cliccare sopra “WEB REALE”, e apparirà la finestra con le informazioni. Inoltre si può posizionare come bottone nella barra degli strumenti di Internet Explorer. Dipartamento di Comunicazione www.recoverylabs.it -6- 1- Per evitare che si installi un malware nel nostro computer i migliori consigli da seguire sono i seguenti: - Non APRA file allegati di cui non conoce la provenienza Mantenga il suo computer attualizzato con gli ultimi aggiornamenti. Mantenga aggiornato il suo antivirus regolarmente e ogni tanto lo passi a tutto il sistema Utilizzi un firewall 5. LOTTANDO CONTRO IL PHISHING E IL PHARMING 5.1 ANTI-PHISHING WORKING GROUP” (APWG) Negli Stati Uniti si è creato un “Anti-Phishing Working Group”(APWG). Si tratta di una associazione di industrie il cui obiettivo principale è quello di sconfiggere le truffe e i danni causati dal crescente problema del phishing in poste elettroniche fraudolente. Se desidera ampliare le sue informazioni su questa associazione può visitare la pagina Web: http://www.antiphishing.org; e nel caso che incontri un qualche tipo di frode di phishing o pharming, può denunciarla o inviare un e-mail a [email protected] Solamente pochi mesi fa l’organizzazione si occupava solo di casi di phishing (da qui il suo nome), però vista l’apparizione del pharming si sono visti obbligati ad adattarsi ed includerlo nella loro lotta. Dipartamento di Comunicazione www.recoverylabs.it -7- 5.2 DATI Numero di attacchi singoli di phishing denunciati durante marzo: Media mensile del tasso di crescita da Luglio 04 a Marzo 05: Settori industriali più attaccati: Paese con il maggior numero di pagine web attaccate dal phishing: Media della vita di una pagina di phishing attiva: 13.353 attacchi 50% Servzi finanziari Stati Uniti 5.8 días *Un “attacco singolo di phishing” si definisce come un solo invio di massa di e-mails effettuato in un unica volta, destinato ad una compagnia o organizzazione e scritto in una stessa linea di testo o PAESI CON IL MAGGIOR NUMERO DI PAGINE WEB DI PHISHING Gli Stati Uniti sono il Paese “leader” nel numero di pagine di phishing prodotte. Iniziano ad aumentare le loro percentuali in questa classifica Paesi come Spagna e Brasile che nel 2004 neppure venivano menzionati. Questo era prodotto da problemi legati alla lingua. All’inizio infatti gli attacchi lanciati erano in inglese mentre adesso stanno iniziando a personalizzarsi in differenti lingue. Paesi con il Maggiore numero di pagine web di phishing prodotte Dipartamento di Comunicazione www.recoverylabs.it -8- 6. GLOSSARIO CODICE O LINGUAGGIO DEI VIRUS (VBSCRIPT, JAVASCRIPT, HTML): I virus Script stanno scritti in linguaggi di programmazione script, come VBScript e JavaScript. I virus VBScript (Visual Basic Script) e JavaScript utilizzano lo Scrpting Host (server di codici) di Windows di Microsoft per attivarsi e infettare altri files. Dal momento che Scripting Host di Windows è disponibile in Windows 98 e Windows 2000, i virus si possono attivare semplicemente facendo doppio click nei files *.vbs o *.js di Windows Explorer. Per provocare danni, i virus HTML utilizzano scripts inseriti nei files HTML. Questi codici vanno insinuandosi nei nostri dispositivi al momento dell’apertura delle pagine HTML nelle quali sono inseriti. INDIRIZZO IP: Indirizzo numerico obligatorio di un dominio ‘Internet’. E’ composto da 4 cifre (da 0 a 255) decimali separati da punti. DNS: 1) Acronimo di Domain Name System (Sistema di nomi di dominio) 2) Acronimo di Domain Name Service (Servizio di nome di dominio) 3) Acronimo di de Domain Name Server (Server di nome di domino). I primi due acronimi significano la stessa cosa mentre il terzo è il server che risolve la conversione che si realizza tra gli indirizzi IP e i nomi di dominio propriamente detti. ‘DNS’ si creo con il fine di di evitare l’inconveniente di dover maneggiare numeri per indicare una direzione ‘IP’ inventando per questo un sistema basato in nomi composti da varie parole. Questo è il sistema che utilizza ‘Internet’ per poter mettere in comunicazione computer e utenti della rete. I servizi di denominazione simbolica ‘DNS’ furono instituiti nel 1984 FIREWALL: La sua traduzione letterale è muro di fuoco. Si tratta di una barriera o protezione che permette ad un sistema di di salvaguardare le informazioni nel momento in cui si accede ad altre reti, come ad esempio Internet. INGEGNERIA SOCIALE: Consiste nella manipolazione delle persone perchè realizzino atti che normalmente non farebbero. In questo caso sarebbe facilitare, per esempio, passwords o dati personali. MALWARE: Qualsiasi programma o messaggio, suscettibile di causare problemi agli utenti di sistemi informatici. MALicious software. TROYANO O CAVALLO DI TROYA: Conosciuto anche come cavallo di Troya, è un programma che esegue alcuna azione occluta e non autorizzata, generalmente atta a provocare danni, come far apparire messaggi, cancellare files o formattare un disco. Un cavallo di Troya non infetta altri files, e quindi non è necessario ripulire un computer. Per disfarsi di un troyano, semplicemente cancellare il programma Il glosario è stato ricavato dalle información di: http://catinello.webcindario.com/glosario/MN.html e di http://www.pandasoftware.es/virus_info/glosario/ Dipartamento di Comunicazione www.recoverylabs.it -9-