Frodi online e Cybercrime Cosa li accomuna e come mitigarli Giovanni Napoli - RSA Pre-Sales Manager Rusudan Losaberidze - RSA Fraud Risk Intelligence Specialist @RSAItalia © Copyright 2014 EMC Corporation. All rights reserved. 1 La cruda realtà del software engineering Non e’ possibile dimostrare la correttezza formale di un software Semplici contesti informatici a volte mal si prestano ad essere modellati e validati matematicamente Dobbiamo imparare a convivere con vulnerabilita’ che hanno un elevato rapporto costi/benefici Rischio = Minaccia x Vulnerabilità x Impatto @RSAItalia © Copyright 2014 EMC Corporation. All rights reserved. 2 La cruda realtà del software engineering Scarsa progettazione software diventa feature @RSAItalia © Copyright 2014 EMC Corporation. All rights reserved. 3 La cruda realtà del software engineering Scarsa progettazione software diventa feature <a href="http://i.imgur.com/b7sajuK.jpg/KittyViewer.exe" download>What a cute kitty!</a> <a href="http://i.imgur.com/b7sajuK.jpg" download="KittyViewer.exe">What a cute kitty!</a> Provatelo ad esempio con Internet Explorer e Chrome… @RSAItalia © Copyright 2014 EMC Corporation. All rights reserved. 4 La cruda realtà del software engineering Scarsa progettazione software diventa feature Carenza di requisiti che guidano software a supporto di processi aziendali @RSAItalia © Copyright 2014 EMC Corporation. All rights reserved. 5 Un grave esempio: Heartbleed Che cos’é? Un bug in OpenSSL – OpenSSL dalla 1.0.1 fino alla 1.0.1f sono vulnerabili – OpenSSL 1.0.1g NON e’ vulnerabile Un banale errore di programmazione Fix Bug OR à At recompile time Il bug e’ probabilmente presente fin da marzo 2012 @RSAItalia © Copyright 2014 EMC Corporation. All rights reserved. 6 Un grave esempio: Heartbleed Quali sono gli impatti? Un server affetto dalla vulnerabilità è soggetto a perdite di dati sensibili tra i quali: – Password – User Login – SSL Private Key Un certificato SSL Server è pubblico. Se un attacker possiede la chiave privata associata, la sola cosa che manca è un semplice attacco DNS Bug exploit che non lascia traccia… @RSAItalia © Copyright 2014 EMC Corporation. All rights reserved. 7 Un grave esempio: Heartbleed Come funziona? SERVER SEI ANCORA LI? SE CI SEI, RISPONDI CON PATATE (6 LETTERE) Alice vuole queste 6 lettere: PATATE Alice vuole queste 6 lettere: PATATE PATATE @RSAItalia © Copyright 2014 EMC Corporation. All rights reserved. 8 Un grave esempio: Heartbleed Come funziona? SERVER SEI ANCORA LI? SE CI SEI, RISPONDI CON MELE (4 LETTERE) Alice vuole queste 4 lettere: MELE queste 4 lettere: MELE Alice vuole MELE @RSAItalia © Copyright 2014 EMC Corporation. All rights reserved. 9 Un grave esempio: Heartbleed Come funziona? SERVER SEI ANCORA LI? SE CI SEI, RISPONDI CON BINGO (500 LETTERE) Alice vuole queste 500 lettere: BINGO Alice vuole queste 500 lettere: BINGO BINGO VIENE DIFATTI FORNITO UN PACCHETTO DI RISPOSTA DI 500 BYTE!!! @RSAItalia © Copyright 2014 EMC Corporation. All rights reserved. 10 Heartbleed in ambito frodi e cybercrime Ricordiamoci sempre le motivazioni degli attacker… Ambito frodi Ambito cybercrime Catastrophic… …Up to 11 • Intercettare comunicazioni private • Phishing • Impersonare utenti e servizi • Collezionare indirizzi email, login, password • Rubare dati sensibili senza la necessità di avere privilegi particolari @RSAItalia © Copyright 2014 EMC Corporation. All rights reserved. 11 Come mitigare attività di cybercrime Identity/Access/Role Based Employee Context ASSET DATA CONFIG DATA VMS DATA Site Assessment INTEL INTEL INTEL INTEL SOC/CIRC Single UI Vulnerability Management CO NTE XT T TEX CON IPS DLP Scans CONTEXT, NEW INTEL Security Monitoring & Analytics IPS WEB CON TEX T Host Scan Link Link to Packet Link to SIEM ALERTS, THREATS AV Business Continuity BIA Incident Management Dashboard Metrics Reports Log Capture & Analysis Full Packet Capture & Analysis RSA Solution Capabilities TS LER TS/A ECTION N E EV DET UD FRA Portal Security ID Verification Multi-Factor Audit Fraud Detection Federation INTEL COMMUNITY INTEL FW @RSAItalia © Copyright 2014 EMC Corporation. All rights reserved. 12 Target Data Breach: Approccio RSA L’attacco ha sfruttato la debolezza di un Partner Target si è perso gli alert di difesa perimetrale L’attacker ha sfruttato la debolezza dei controlli per espandere il suo perimetro d’azione Target si è perso anche gli eventi legati all’asportazione dei dati aziendali Avrebbe forse potuto disporre di un Mai dimenticare: “Intelligence is efficace King, framework Governance Risk e Compliance Context forse is di Queen” Avrebbe Target potuto integrare avere a per manutenere tuttileed i soli controlli di – Monitorare sorgenti diilintelligence informazioni di intelligence con proprio sulle disposizione un framework di Vendor/Partner sicurezzacyber necessari? Avrebbe forse potuto threats contesto aziendale/operativo e di business al assessment per assicurare regolari ed disporre di piu’ efficaci strumenti – Collezionare informazioni di di intelligence fine di prioritizzare meglio gli ealert ed adeguati livelli di compliance di risk investigazione, di capacità di integrazione di rilevanti effettuare una piu’ efficace assessment sulle terze partiinvestigazione con le quali informazioni di intelligence e ditecniche maggiore Identificare attori (TA), utilizzate delle– anomalie…? solitamente collabora…? (TTP) competenza del proprio personale o dei propri consulenti…? – Comunicare tali informazioni agli Stakeholder interni ed esterni alla nostra Azienda – Integrare le informazioni di intelligence all’interno della nostra infrastruttura ed organizzazione IT xxx yyy yyy @RSAItalia © Copyright 2014 EMC Corporation. All rights reserved. 13 Intelligence Driven Security @RSAItalia © Copyright 2014 EMC Corporation. All rights reserved. 14 Il Phishing Ti Trova Ovunque Sei… @RSAItalia © Copyright 2014 EMC Corporation. All rights reserved. 15 Malware «Versatili» e «Ibridi» Malware Tipi di Attacchi Citadel - Frodi online banking - Attacchi sulla sicurezza aeroportuale - Spionaggio politico - … Zeus - Frodi online banking - Spionaggio industriale - … Chewbacca - Attacchi sull’infrastruttura POS @RSAItalia © Copyright 2014 EMC Corporation. All rights reserved. 16 Anatomia di e-Frode basato su Malware Infezione Evoluzioni Recenti • Pharming / Phishing • Social Engineering • Installazione / configurazione malware Interazione • HTML Injection con Utente o • MiT(M|B|Mo) Abuso Logica • Abuso logica Business business • Automated Transfer Systems (ATS) - attacchi server side invisibili e veloci • Evoluzione di attacchi da consumer banking al corporate e private banking. • Eliminazione dell’evidenza dopo l’esecuzione di una frode • Credenziali Furto delle • Carte di credito Informazioni • Dati personali Utilizzo delle Informazioni Rubate © Copyright 2014 EMC Corporation. All rights reserved. • Trasferimento fraudolento dei fondi • Ricariche telefoniche • Transazioni online 17 Proteggersi dalle Frodi in Evoluzione Infrastruttura Tecnica Infrastruttura Operativa Command & Control Infection Point Mule Accounts Mule DB Drop Points InfoSec Frodi Minacce Pre-Autenticazione Minacce Post-Authenticazione Login Transazione e Logout Adaptive Auth & Transaction Monitoring Inizio della Sessione Web eFraudNetwork Web Session Monitoring & End to End Visibility Vulnerability Probing Rogue Mobile Apps Site Scraping DDOS Attacks Phishing Attacks Trojan Attacks Parameter Injection New Account Registration Fraud Promotion Abuse © Copyright 2014 EMC Corporation. All rights reserved. Man In The Browser Account Takeover Unauthorized Account Activity Password Guessing Access From High Risk Country High Risk Checkout Fraudulent Money Movement Man In The Middle 18 Analisi Comportamentale è Essenziale I criminali si comportano diversamente da utenti legittimi Add Bill Payee • Velocità • Sequenza delle pagine • Origine • Contesto • Comportamento Enter Pay Amount Sign-in Bill Pay Home Select Bill Payee Submit My Account Homepage View Checking Checking Account © Copyright 2014 EMC Corporation. All rights reserved. 19 Il Processo di Gestione delle Frodi Raccolta Dati Inserimento del sistema antifrode nel contesto e istruzione alla raccolta, analisi e storicizzazione dei dati utili all’analisi, al fine di identificare comportamenti sospetti Rilevazione Frodi Rilevazione ed analisi delle transazioni anomale con l’obiettivo di accertare le frodi minimizzando i falsi negativi e i falsi positivi Comunicazione Gestione del contatto con l’utente finale, accertamento della frode, analisi impatto business, valutazione delle risposte alternative all’incidente. Risposta Valutazione ed esecuzione di una risposta efficace all’incidente (manuale o automatica). Feedback Attivazione dei meccanismi di feedback e fine-tuning con l’obiettivo di prevenire attacchi simili. Aggiornamento delle politiche e procedure relative alla gestione delle frodi. @RSAItalia © Copyright 2014 EMC Corporation. All rights reserved. 20 Automazione del Processo di Gestione delle Frodi con RSA Web Threat Detection Raccolta Dati Richiesta Pagina Header HTTP POST/GET Variabili — — — — — Threat Score 0-100 Rilevazione Frodi Man in the Middle Man in the Browser Comportamento Velocità Parametri Utenza Cookie IP Visibilità Completa delle Sessioni e del Clickstream Motore di Regole Forensic Dashboard One Click Investigation Deep Inspection Rules Fine Tuning Comunicazione Risposta Automatica IP — Utenza— Pagina— — IP — Utenza — Pagina Allarmi in Tempo Reale Interfaccia Utente di Web Threat Detection SIEM CM Email LB WAF @RSAItalia © Copyright 2014 EMC Corporation. All rights reserved. 21 Tipologie di Anomalie e Frodi Rilevate Furto delle Credenziali e Account Takeover / Man-in-the-Middle Accesso simultaneo alla stessa utenza da due luoghi geografici o paesi distanti Accesso simultaneo a utenze multiple dall’unico IP in un breve arco temporale User agent ad alto rischio Cambiamenti profilo Cambiamenti degli IBAN dei beneficiari § § § § § Minacce Specifiche § Tentativi di accesso a utenze multiple § Tentativi consecutivi falliti di accesso alla stessa utenza § Man-in-the-Browser, Man-in-the-Middle, etc § Utilizzo anomalo del sito e site defacing § Attacchi DDoS, Site Scraping, Architecture Probing, etc Monitoraggio delle Anomalie di Bonifici / Pagamenti Bancari § § § § § Visibilità completa dettaglio dei pagamenti Modifica fraudolenta di bonifici Pagamenti esteri verso paesi ad alto rischio X Pagamenti a mule account § Y § Z Frodi e-Commerce & Trading § § § § § Nuovi Merchant – «Smash & Grab» Vendita sotto costo Abuso delle promozioni / buoni d’acquisto Pump & Dump delle azioni Monitoraggio di segmenti business ad alto rischio © Copyright 2014 EMC Corporation. All rights reserved. Frodi e-Government § Furto dei benefit § Accesso inappropriato ai fondi pubblici § Furto delle informazioni private / furto dell’identità Frodi Online Gaming § § § § § Collusioni Riciclaggio di denaro Falsi reclami Apertura di account falsi Abuso di bonus di iscrizione 22 Frode Online Banking 1. Utente si collega da Bari alle ore 8.30 2. 6 ore più tardi avviene l’autenticazione alla stessa utenza da Pantigliate, MI con un user agent string diverso (postazione diversa) 3. Utente di Pantigliate accede al menu dei bonifici italiani, sceglie un contatto Italiano, modifica solo IBAN ed effettua un bonifico con un IBAN estero e i dati del beneficiario italiani 4. WTD rileva l’inserimento di un IBAN estero per un contatto Italiano e genera un alert. © Copyright 2014 EMC Corporation. All rights reserved. 23 Frode Online Banking • È stata eseguita una procedura batch con 280,000 istruzioni di pagamento • Con l’ammontare medio di pagamento di $10, il valore totale di frode era di $2800000 • WTD ha rilevato pagamenti multipli nell’arco temporale ridotto con un valore aggregato elevato. @RSAItalia © Copyright 2014 EMC Corporation. All rights reserved. 24 Frode Online Gaming • 55 transazioni nell’arco di 17 minuti postati alla pagina ‘Pay Complete’ • Singolo indirizzo IP • Acquisto con buoni gioco • Valore medio acquisto ~6,400 • Spesa totale ~300,000 Acquisto con buono gioco di 6,400 USD @RSAItalia © Copyright 2014 EMC Corporation. All rights reserved. 25 Frode e-Commerce • Sessione Normale • • • Durata: 15+ Minuti Numero di Click: 25+ Sessione Fraudolenta • • Durata: < 3 minutes Numero di Click: 12 • Aggiunta di un nuovo indirizzo di spedizione • Acquisto di spedizione celere ( 2 giorni) @RSAItalia © Copyright 2014 EMC Corporation. All rights reserved. 26 Approccio Olistico alla Sicurezza e alle Frodi • • • • • Governance Analisi dei rischi Monitoraggio di incidenti Mitigazione dei rischi Tracciamento delle attività • • • • Educazione Comunicazione Limiti e notifiche Accesso allo stato dei pagamenti • • • • • • Identificazione dei clienti Autenticazione forte Provisioning degli strumenti di authenticazione Tentativi falliti, time-out delle sessioni, validità di autenticazione Monitoraggio di transazioni Protezione dei dati sensibili di pagamento @RSAItalia © Copyright 2014 EMC Corporation. All rights reserved. 27 @RSAItalia
© Copyright 2025 ExpyDoc
