Briefing esplicativi delle attivit

1
UNIVERSITA DEGLI STUDI DI UDINE
SPYWARE E VIRUS INFORMATICI MODALITA
INVESTIGATIVE E TECNICHE DI CONTRASTO
Cesare Maragoni
Udine, 4 maggio 2007
1
2
MALICIUS CODE
WORM
VIRUS
TROJAN
SPYWARE
ROOTKIT
DIALER
BOTNET
KEY LOGGER
3
MALICIUS CODE

• innocui se non alterano le operazioni del
  computer ed il risultato della loro propagazione
  comporta solo una diminuzione dello spazio libero
  sul disco o con il produrre effetti multimediali.
• dannosi possono causare dei problemi alle
  normali operazioni del computer come la
  cancellazione di alcune parti dei file. Di solito
  hanno anche leffetto di aggravare le prestazioni
  della macchina assorbendone gran parte della
  capacità operativa
• molto dannosi l'unico scopo consiste nel
  provocare danni difficilmente recuperabili come
  la distruzione dei programmi o la cancellazione
  d'informazioni vitali per il sistema
  (formattazione di porzioni del disco).

4
Programma che si propaga inserendosi in un
ospite o in un sistema operativo, confondendosi
tra gli altri programmi. Per attivarlo e
necessario eseguire il relativo programma ospite
Virus
Programma che opera in modo indipendente. Per
mantenersi consuma le risorse del proprio host
dal suo interno è in grado di propagarsi
autonomamente ad altre macchine in maniera
completa e funzionante
Worm
5
Spyware
Programmi che spiano la navigazione in Rete
dellutente
Lavorano in background. Memorizzano tutte le
informazioni per trasmetterle ad un terzo
soggetto (HD SW)
keylogger
6
rootkit
porzione di software che può essere installato e
nascosto su un computer allinsaputa dellutente
una rete di computer infettati da virus o trojan
che consentono di controllare il sistema da
remoto
botnet
7
QUALCHE CONSIGLIO SULLA SICUREZZA
ESEGUIRE PROGRAMMI SCONOSCIUTI
MAI
LA TECNOLOGIA NON E LA SOLUZIONE AI NOSTRI
PROBLEMI
FAR MODIFICARE AD ALTRI IL S.O.
CONSENTIRE AD ALTRI LACCESSO FISICO AL PC
PW
NO PAROLE DI SENSO COMPIUTO
NO DATI PERSONALI O FAMILIARI
DA MODIFICARE CON FREQUENZA
FIREWALL - ANTIVIRUS PROGRAMMI AGGIORNATI
8
La normativa italiana

• la legge 547/93 ha introdotto i cosiddetti reati
  informatici
• è stata la risposta del legislatore dellepoca
  alle sollecitazioni del mondo delle tecnologie
  per un adeguamento alla realtà in repentina
  evoluzione
• Nuove figure di reato ovvero nuove modalità di
  commissione di reati tradizionali

9
Caratteristiche dei reati informatici

• Difficili da accertare
• Scarsa collaborazione delle vittime
• Aleatorietà della prova
• Difficoltà nella acquisizione e mantenimento
  integro delle prove
• Facilità di danneggiamento accidentale o
  volontario
• Divieto di analogia della norma penale

10
I nuovi reati informatici

• Danneggiamento informatico
• Accesso abusivo a sistema informatico
• Turbativa delle comunicazioni informatiche
• Frode informatica
• Falso informatico

11
Danneggiamento informatico

• art. 392 c.p.
• (Esercizio arbitrario delle proprie ragioni con
  violenza sulle cose)
• art. 420 c.p.
• (Attentato a impianti di pubblica utilità)
• art. 635 bis c.p.
• (Danneggiamento di sistemi informatici e
  telematici)
• art. 615 quinquies c.p.
• (Diffusione di programmi diretti a danneggiare o
  interrompere un sistema informatico)

12
Accesso abusivo

• art. 615 ter c.p.
• (Accesso abusivo ad un sistema informatico o
  telematico)
• art. 615 quater c.p.
• (Detenzione e diffusione abusiva di codici di
  accesso a sistemi informatici o telematici)
• art. 617 quater c.p.
• (Intercettazione, impedimento o interruzione
  illecita di comunicazioni informatiche o
  telematiche)
• art. 617 sexies c.p.
• (Falsificazione, alterazione o soppressione del
  contenuto di comunicazioni informatiche o
  telematiche)

13
Turbativa delle comunicazioni informatiche

• art. 616 c.p.
• (Violazione, sottrazione e soppressione di
  corrispondenza)
• art. 617 quater c.p.
• (Intercettazione, impedimento o interruzione
  illecita di comunicazioni informatiche o
  telematiche)
• 617 quinquies c.p.
• (installazione di apparecchiature atte ad
  intercettare, impedire od interrompere
  comunicazioni informatiche o telematiche)
• 617 sexies c.p.
• (falsificazione, alterazione o soppressione del
  contenuto di comunicazioni informatiche o
  telematiche)
• 621 c.p.
• (rivelazione del contenuto di documenti segreti)

14
Frode informatica

• art. 640 c.p. ter
• (frode informatica)
• Figura specifica del reato di truffa
• Non richiede artifizi o raggiri
• Profitto proprio con danno altrui
• Mediante manipolazione del sistema
• Mediante manipolazione dei dati (contenuti nel
  sistema)

15
Falso informatico

• Art. 491 bis c.p.
• (documenti informatici)
• QUALUNQUE SUPPORTO INFORMATICO CONTENENTE DATI O
  INFORMAZIONI AVENTI EFFICACIA PROBATORIA O
  PROGRAMMI SPECIFICAMENTE DESTINATI AD ELABORARLI

16
ZELIG
17
Canali dinfezione
18
Messaggio via E-mail

• Il Momento è catartico

19
Funzionamento
20
ZELIG WORM
Arriva via e-mail un messaggio che invita a
scaricare lo screen saver dello ZELIG sul sito
www.francescone.com
Installato Zelig.scr la connessione internet
viene dirottata sul numero a pagamento 899
Il bonifico transitava sulla Bank of America di
New York e successivamente accreditato in
Venezuela con beneficiaria una società offshore
in Aruba.
21
Numeri dellindagine

• Primo virus al mondo con finalità di frode.
• 3 giorni di inseguimenti virtuali.
• 12.497 connessioni telefoniche e 57.794
  
  min. di traffico
  fraudolento
• 104.029,00 di illeciti profitti recuperati.
• Migliaia di Pc infettati in poche ore.
• Collaborazione internazionale (SS-USA)

22
PHISHING
23
Un esempio di ingegneria sociale il Phishing

• E una tecnica utilizzata per ottenere laccesso
  ad informazioni personali con la finalità del
  furto di identità mediante lutilizzo di messaggi
  di posta elettronica opportunamente creati per
  apparire autentici. Mediante questi messaggi
  lutente è ingannato e portato a rivelare dati
  sensibili come numero di conto, nome utente e
  password, numero di carta di credito.

24
Le "esche" lanciate sul Web sono di vario tipo

• 1) Email che invita ad accedere al sito della
  banca per ottenere il nuovo pin di sicurezza
• 2) Email che invita ad accedere al sito della
  banca per ottenere un premio in denaro
• 3) Email contenente un avviso di addebito in
  conto, di un importo non indifferente, per
  l'acquisto, ad esempio, di un pc maggiori
  dettagli il destinatario li può trovare nel sito
  indicato nella email per accedere al sito viene
  poi richiesta la userid e la password, in modo da
  poterla catturare
• 4) Email che invita ad accedere al sito della
  banca proprio perché phisher avrebbero attentato
  alla sicurezza del conto corrente del cliente
• 5) Email con avviso analogo al precedente, ma il
  destinatario, accedendo al sito, riceve sul
  computer un programma "trojan" che si metterà in
  "ascolto" e provvederà a raccogliere i dati
  digitati dal cliente sul suo pc e,
  successivamente, ad inviarli all'hacker o ad una
  banda criminale in tal modo, vengono reperiti
  dati importanti, fra i quali user e password,
  numeri di carte di credito, ecc..

25
Lattività si estrinseca su tre versanti
Lato A
Raccolta credenziali
Vittima del phishing
Lato B
Reclutamento
Financial manager
Lato C
Riciclaggio
Financial manager
26
Come funzionaSide A Raccolta credenziali
In questa prima fase, il ladro di informazioni
invia a tutti gli account di posta elettronica
di un provider X, una mail che invita il
correntista di una banca Y ad inserire le
proprie credenziali per il servizio di Home
Banking. N.B. tali e-mail sono inviate a tutti,
non solo ai correntisti dellIstituto bancario
preso di mira.
27
La prima mail di phishing in Italia16 marzo 2005
28
Come funzionaSide A Raccolta credenziali
I dati degli utenti ingannati, transitando da
siti stranieri, finiscono in un DataBase a
disposizione dei frodatori. (di solito un file
txt allestero)
29
Attacco congiunto a 3 banche

• Ore 14.00 del 19 ottobre 2005
• Attacco di Phishing a 3 Banche.
• Ore 13.00 del 20 ottobre 2005
• Dichiariamo terminato, dopo aver chiuso 1259
  domini, l'attacco di phishing alle 3 Banche.

30
Risultato

• 3500 utenti circa hanno inserito le credenziali
  nei pop up in sole 23 ore.
• 150 credenziali risultano buone, come
  confermato dai feedback delle stesse banche
• Recuperati i file .txt in Russia e cambiate le
  password

31
Trojan e bonifico
Bonifico in frode
32
Come funzionaSide B RECLUTAMENTO
In questa seconda fase, il ladro di
informazioni invia, sempre a tutti gli account
di posta di un provider, una mail che propone un
lavoro come intermediario finanziario o
financial manager per conto di una società
estera, promettendo retribuzioni pari al 5-10
della somma trattata. Lemail è corredata di
tutta una serie di credenziali di tale
società ed, addirittura, invita lutente a
visitare il sito web dellazienda. Sito web
costruito ad hoc dal look professionale che
inganna lutente. Questultimo, accettato il
lavoro invia le coordinarie bancarie del
proprio conto corrente per iniziare lattività.
33
(No Transcript)
34
Reclutamentomediante Spam..

• Hello,My friend give me your e-mail
  address. I think you are from Italy, so you can
  help me.I am a programmer from Russia,
• I have some clients from Italy that ready to
  pay me sendingmoney by Post office transfer,
  they dont have WesternUnion/Moneygram office nere
  their place,but I can receive only Western
  Union/MoneyGram transfers here in Russia. So - I
  need to find somebody who can receive this Post
  office transfer (you need just your ID for it)
  and re-send money to me by sending Western
  Union/MoneyGram transfer.If you help me - you
  get 10 from transferred money
• (10 from 5000 EUR 500 EUR to you from one
  transfer).
• If you are ready to help, please e-mail me
  to LOOKJOB_at_AOL.COM.Thank you for your
  attention.Contact e-mail LOOKJOB_at_AOL.COM
  http//www.silvestry.biz

35
Alcuni numeri
36
Come funzionaSide C Riciclaggio
Frodatore
I frodatori, con le credenziali di accesso delle
vittime, effettuano bonifici nazionali ai
financial manager. Questi ultimi verranno
contattati via SMS o E-mail per ricevere le
disposizioni per prelievo ed il rinvio del
danaro nei Paesi dellEst.
37
Come funzionaSide C Riciclaggio
Frodatore
Il financial manager, si reca presso la
propria Banca (anche solo 20 minuti dopo il
bonifico in frode), preleva il contante,
trattenendosi la commissione pattuita (5-10) ed
invia, per mezzo di società di Money Transfer,
il denaro così ripulito nei Paesi dellEst.
38
Ed in Russia?
Il beneficiario russo
A mano
Nota Bene Lo stipendio in Ucraina di un
Colonnello della polizia è di circa 270 euro al
mese.
Il beneficiario russo o ucraino, prelevati i
soldi presso una agenzia western union,
effettua un trasferimento, a fronte di 15-
25 dollari, hand to hand al committente,
conosciuto via chat.
39
Caso 1
MMC e Spyware
40
Caso 2
41
Caso 3
42
I numeri sul furto didentità elettronico in
Italia.

• Oltre 8 milioni di euro di tentativi da maggio
  2005 ad oggi
• Il 50 andati a buon fine
• Circa 500.000 di euro bloccati dalla Gdf (anche
  durante il tragitto Italia ex Urss).

43
(segue) i numeri sul furto didentità
elettronico in Italia.

• arresto di due cittadini dellest Europa arrivati
  in Italia per bypassare i blocchi
• Oltre 90 indagati per cybericiclaggio.
• 5 rogatorie internazionali.
• Cooperazione internazionale (Eurojust, Europol,
  Ocse).

44
Evoluzione del phishing
VISHING
Diffusione di email che invitano a contattare un
call center per aggiornare i dati personali
SMShing
invio di SMS che invita a contattare un call
center al fine di confermare i propri sensibili.
45
FONTI

• www.microsoft.com
• www.washingtonpost.com
• www.ictlex.it
• www.dia.unisa.it
• www.f-secure.com
• www.fbi.gov.us
• www.anti-phishing.it
• www.zone-h.org
• www.danilovizzarro.it
• Buffa F., Internet e criminalità Finanza
  telematica off shore, Ed. Giuffrè, Milano 2001
• Pica G., Diritto Penale delle tecnologie
  informatiche, Ed. UTET, Torino 1999

46
GRAZIE PER LATTENZIONE
maragoni.cesare_at_gdf.it