210 likes | 372 Vues
Soluzioni anti-frode. Market Development Banking, Insurance & Financial Services. Cos’è il Phishing?. Phishing ( : creazione ed uso a scopo fraudolento di e-mail e siti web ideati per apparire come comunicazioni e siti di organizzazioni finanziarie o governative.
E N D
Soluzioni anti-frode Market Development Banking, Insurance & Financial Services
Cos’è il Phishing? Phishing (: creazione ed uso a scopo fraudolento di e-mail e siti web ideati per apparire come comunicazioni e siti di organizzazioni finanziarie o governative. Le e-mail sono apparentemente inviate da una banca, un e-retailer (es. e-bay) o una compagnia di carte di credito, per indurre il destinatario ad interagire con siti web appositamente creati ad immagine di quelli del presunto mittente. I dati inseriti in questi siti (numeri di carte di credito, account username/password) vengono acquisiti dai “phisher” ed utilizzati a scopo fraudolento. Altri attacchi di phishing – più sofisticati e maggiormente insidiosi - aggiungono una componente tecnologica, ovvero software appositamente sviluppati (Trojan, spyware…) e diffusi sia tramite le e-mail che tramite i siti contraffatti. Tali software possono compromettere il corretto funzionamento del browser, indirizzando l’utente verso siti fasulli e/o consentendo a terzi di inserirsi all’interno delle connessioni web e di modificare i dati scambiati con il sito della banca o di altre organizzazioni.
Non di solo Phishing… Vishing: contrazione fra Voip e phishing. Come nel phishing, si utilizza la posta elettronica, ma in modo diverso. Nei messaggi non si inseriscono infatti link ai siti contraffatti, ma compaiono numeri di telefono (o link VoIP) di falsi Call Center. Quando un utente contatta il call center, il sistema riproduce una registrazione vocale che comunica la presenza di qualche problema sul conto bancario o sulla carta di credito e chiede di inserire i propri dati bancari riservati. Rispetto alla telefonia tradizionale, l’utilizzo del VoIP consente ai truffatori di attivare i sistemi più rapidamente, con costi più bassi e con minore possibilità di essere rintracciati. SMiShing: contrazione tra SMS e phishing La vittima riceve un messaggio SMS del tipo: “Le confermiamo l’avvenuta registrazione al nostro servizio di informazioni, per il quale Le addebiteremo un importo di 2 € al giorno. Per annullare la registrazione, connettersi al sito URL: www.?????.com.“. Visitando il sito indicato, la vittima scarica senza accorgersene un software maligno sul proprio PC.
I dati presentati nell’ultimo report dell’Anti-Phishing Working Group (http://www.antiphishing.org) confermano che il fenomeno del phishing su scala mondiale non si riduce, dopo essere cresciuto sensibilmente dalla seconda metà del 2006: Focus sul phishing: i numeri a livello worldwide per numero di attacchi… …per numero di Siti di Phishing… …e per numero di Brand sotto attacco!
Le segnalazioni di casi di phishing in Italia raccolte da “Anti-Phishing Italia” (http://www.antiphishing.it) hanno avuto una crescita esplosiva nel primo semestre del 2007, con una crescita del 914% dal primo al secondo trimestre: I numeri del phishing in Italia Fonte: “Anti-Phishing Italia” (http://www.antiphishing.it) – Rapporto trimestrale sul fenomeno del phishing in Italia – 2° trimestre 2007
Quando le mail di Phishing erano comiche… -----Original Message-----From: Banca Di Roma [mailto:info.privacy@bancaroma.it] Sent: 17 January 2007 20:04To: sales@hackingteam.itSubject: Assicurare le vostre informazioni di operazioni bancarie I Clienti cari Valutati;A Banca Di Roma, migliorare annualmente i nostri server di Sicurezza per tenere i nostri clienti liberano dal furto di tecnica bancaria di internet. Abbiamo migliorato qui vicino i nostri Server di SSL per migliorare la icurezza del nostro depositando per permettere in linea il libero-scorre ed il frode-libera depositando in linea per i nostri in linea clienti di tecnica bancaria. Lei è consigliato di aggiornare le sue a tempo di record al più presto possibile attraverso la nostra maglia ottenuta :http://www.bancaroma.it/site/index.asp Per guadagnare l'accesso pieno al suo conto come questi sistemi di sicurezza migliorati possono riguardare i suoi montaggi di conto se lei non aggiorna le sue a tempo di record. Ringraziarla per il suo capire, ma anche ricordare che la sua sicurezza è il nostro interesse estremo. Dipartimento di intimità e Sicurezza. Banca Di Roma
Oggi non si ride più: l’italiano è corretto ed il tono minaccioso! -----Messaggio originale----- Da: UniCredit Banca di Roma [mailto:inforoma@bancadiroma.it] Inviato: sabato 22 marzo 2008 13.57 Oggetto: Banca di Roma: Segnalazione di accredito Gentile CLIENTE, Nell'ambito di un progetto di verifica dei data anagrafici forniti durante la sottoscrizione dei servizi di Banca di Roma e stata riscontrata una incongruenza relativa ai dati anagrafici in oggetto da Lei forniti all momento della sottoscrizione contrattuale. L'inserimento dei dati alterati puo costituire motivo di interruzione del servizio secondo gli art. 135 e 137/c da Lei accettati al momento della sottoscrizione, oltre a costituire reato penalmente perseguibile secondo il C.P.P ar.415 del 2001 relativo alla legge contro il riciclaggio e la transparenza dei dati forniti in auto certificazione. Per ovviare al problema e necessaria la verifica e l'aggiornamento dei dati relativi all'anagrafica dell'Intestatario dei servizi bancari. Effetuare l'aggiornamento dei dati cliccando sul seguente collegamento sicuro: Acceda al servizio Filiale via Internet » <http://host81-143-85-14.in-addr.btopenworld.com/index.html> Cordiali Saluti, Banca di Roma
Occorre affrontare la questione a livello globale: In Banca Come contrastare il fenomeno delle frodi on-line • A livello organizzativo: definizione di processi interni codificati e focalizzazione delle strutture organizzative • A livello di sicurezza perimetrale: aumento del livello di protezione del centro servizi da attacchi informatici • A livello di monitoraggio: “Analisi del comportamento” dell’utente on-line (tipo quelle per Carte di pagamento) • Formazione ed informazione dell’utente del servizio • Aumento del livello di sicurezza dei meccanismi di autenticazione d’utente • Introduzione di meccanismi di protezione, quando possibile, del terminale remoto • A livello del Worldwide WEB: “Difesa del nome” dell’Istituto Bancario su email, SMS e siti presenti in Internet • Contrasto diretto alla sopravvivenza dei siti di Phishing Dal Cliente Nella Rete
Profilatura e monitoraggio del Cliente on-line Controllo informatico dell’operazione: decisione se accettare o ritardare o rifiutare o contattare l’utente per le opportune verifiche sulla base di : • Indirizzo IP del client remoto • Caratteristiche device: header del browser, cookie, caratteristiche cache, configurazione OS; • Correlazione tra le informazioni legate all’indirizzo IP/device del client remoto, l’identificativo del “conto” ed il fattore temporale • Controllo di profilo sul “comportamento” dell’utente • Controllo del “conto” beneficiario (quando possibile) ed attivazione degli adeguati “warning”: • Comportamento del conto beneficiario (conto appena aperto, o che è stato soggetto a più bonifici) • Tipologia di beneficiario (conto estero con livello di warning su base Paese e tipologia di conto beneficiario, carta telefonica, carta pre-pagata) • Conto inserito in una “lista di attenzione” Sulla base dell’insieme delle verifiche, viene assegnato un “punteggio di rischio” alla singola transazione, che può consentire alla Banca di decidere se effettuare ulteriori verifiche o prendere altri provvedimenti.
L’autenticazione forte: One Time Password e non solo • Strong Authentication o autenticazione a 2 fattori: oltre all'identificativo, l'utente possiede altri due elementi: uno da ricordare (password/pin) e l'altro da possedere (dispositivo fisico). La Strong Authentication è quindi una combinazione di ciò che uno sa con ciò che uno ha. • Nell’ambito delle soluzioni di Strong Authentication, particolare interesse riscuotono quelle basate su One Time Password (OTP): meccanismi di autenticazione dove la password ha una validità limitata: una sola volta, per pochi minuti. La OTP appare come una soluzione particolarmente gradita dai Clienti finali, per la semplicità di utilizzo e perché se ne percepisce facilmente la sicurezza intrinseca. • Un ulteriore elemento di interesse nella realizzazione di soluzioni di autenticazione a 2 fattori è legato alla possibilità di impiegare il telefono cellulare come dispositivo fisico, sfruttando la assoluta ed unica pervasività dell’oggetto.
Meccanismi di autenticazioni forteGenerazione di One Time Password • Password dinamica generata da un Token HW (o SW) • Password generata in modo sequenziale • Password generata su base temporale (problematica della sincronizzazione temporale con il server centrale) • Unicamente su base temporale • Sulla base anche di un PIN inserito sulla tastiera del token • Password dinamica generata da un Token EMV. Il Token EMV sfrutta la personalizzazione “nativa” della carta bancaria. All’utente viene quindi consegnato/inviato un lettore generico, inizializzato dall’utente con il semplice inserimento del PIN: il lettore è quindi in grado di leggere la carta, per poi generare la OTP. Appena la carta viene rimossa, tutti i dati vengono cancellati dal Token. • Password dinamica generata da una Token Card • Oggetto “totalmente bancario” • Elimina il “fastidio” del token aggiuntivo da portare in tasca ed è meno ingombrante • Non rappresenta un aggravio logistico perché viene distribuita normalmente in Agenzia • Costo attualmente molto superiore ai Token “tradizionali” • Non ha ancora la certificazione da parte dei circuiti di pagamento
Meccanismi di autenticazione forteCall Drop: Autenticazione mediante chiamata da cellulare L’utente, per completare il processo di autenticazione, deve dimostrare il possesso del terminale mobile e della relativa SIM effettuando una chiamata ad un numero verde “dinamico”. Funzionalità - Caratteristiche • Strong Authentication a due fattori mediante terminale mobile (e relativa SIM). • Indipendente dalla tipologia di terminale e di operatore (soluzione clientless). • Nessun costo legato alla transazione: la chiamata viene abbattuta una volta riconosciuto il numero chiamante. • Provisioning semplificato: è sufficiente conoscere i numeri di telefono degli utenti. • Facilmente integrabile in servizi preesistenti (tramite interfacce WebServices). • Possibilità di analisi delle transazioni di autenticazione mediante profilatura degli utenti ed utilizzo delle tecniche di “anomaly detection” per rilevare tentativi di attacco.
Call Drop: User Experience Centro Servizi (Banca) Internet 1. Richiesta Servizio via connessione Web (USERNAME, PSW STATICA) 2. Richiesta di effettuare una chiamata al numero “12348345234” 4. OK/NO 3. Chiamata a “12348345234” Rete Telefonica
Nel man in the middle attack l'attaccante è in grado di in grado di osservare e intercettare il transito dei messaggi tra le due vittime e può quindi leggere, inserire o modificare il contenuto dei messaggi medesimi, senza che nessuna delle due vittime sia in grado di sapere se il collegamento sia stato compromesso. L’attacco “man in the middle” Credenziali (USERNAME, PASSW) Fase di autenticazione Bonifico a favore di Rossi Mario € 500 Bonifico a favore di Mr. Phisher € 150.000 Conferma transazione! Codice Dispositivo (PIN, OTP, tec.) L’utilizzo di soluzioni di Strong Authentication senza “canale di ritorno” (OTP Token, Call Drop) non costituisce una garanzia di sicurezza sufficiente a fronte di attacchi di tipo man in the middle!
Contrastare l’attacco “man in the middle” L’efficace contrasto a tecniche di attacco tipo “man-in-the-middle” può essere garantito solo attraverso una modalità sicura di “feedback” all’utente, che possa confermargli l’integrità dei dati della transazione bancaria da questi attivata. Tale feedback può essere trasmesso attraverso: • un canale alternativo a quello Web, • oppure attraverso il canale Web, ma in una modalità sicura, non visualizzabile né compromissibile da terzi.
Polo Principale Polo Alternativo Internet Il “canale alternativo” Prima autenticazione Autenticazione e autorizzazione dell’operazione dispositiva Centro servizi La soluzione prevede un meccanismo di “autenticazione forte” con richiesta esplicita di autorizzazione (riportando gli estremi dell’operazione dispositiva) attraverso un “canale alternativo”, ovvero la rete cellulare.
PASSWORD 2°) La Banca invia sul cellulare dell’utente un SMS che riassume la transazione e contiene la OTP dispositiva Come funziona la soluzione di “Mobile OTP” Servizi online Banca xxxx Servizi Online:richiesta conferma operazione di Bonifico al cc n: 012345 di 20,00 EURO. Per eseguire l’operazione digitare la password: AF2GH772 1°) Il correntista imposta la richiesta di Bonifico via INTERNET. Il software applicativo chiede di digitare la password che perverrà via SMS al fine di confermare l’operazione dispositiva 4°) Il software applicativo verifica la validità della Password: se corrisponde l’operazione viene confermata, altrimenti viene rifiutata 3°) Il correntista utilizza la Password arrivata attraverso il “canale alternativo” per confermare l’operazione
I vantaggi del canale alternativo • Nessuna necessità per il cliente di portare con sé un oggetto aggiuntivo (mentre il cellulare è ormai un’appendice delle persone…) • Provisioning e gestione del servizio estremamente semplificati rispetto alla distribuzione di Token alla clientela • Nessun problema di allineamento e di sincronismo tra componenti Client e Server. • L’SMS inviato al cliente contiene i dati salienti della transazione, consentendo di verificare che le informazioni inviate via web alla banca siano arrivate integre alla banca stessa (utile anche per contrastare gli attacchi “man-in-the-middle”)
Strong Authentication “SC@CCO” SC@CCO è una innovativa piattaforma di autenticazione – sviluppata e brevettata dai laboratori del gruppo TI - che consente la strong authentication degli utenti, utilizzando il terminale mobile come token di sicurezza. La piattaforma utilizza la metodologia “Challenge-Response” unitamente ad un supporto di tipo grafico ed ad uno specifico software installato sul terminale mobile dell’utente.
Sc@cco per la fase dispositiva dell’Internet Banking From: Aliceanca Bonifico; Beneficiario: Bianchi Paolo, Importo: 2,500, CC: 661***, Causale: Premio Assicurazione. Per confermare: 13456 Anti-Phishing 13456 3 From: Aliceanca Bonifico; Beneficiario: Bianchi Paolo, Importo: 2,500, CC: 661***, Causale: Premio Assicurazione. Per confermare: 13456 2 1