Il phishing come lo conosciamo e
cioe' la falsa pagina di Banca od Azienda, con fake login ad account per accedere al conto online potrebbe avere sempre meno rilevanza nei casi di furto di denaro online.
Cio'
non vuole comunque dire che le mails di phishing sono destinate a sparire, ma piuttosto ad evolvere modificando i loro contenuti con link maggiormente malevoli.
Vediamo alcuni dettagli anche alla luce
della recente pubblicazione (June 26, 2012) di un report McAfee e Guardian Analytics.
McAfee e Guardian Analytics hanno infatti proposto un report che indaga sull
'evoluzione del furto da conti bancari online attraverso l'utilizzo di procedure altamente automatizzate ed in grado, a quanto pare, di bypassare le protezioni anche di tipo hardware (chip in unione a PIN code di accesso)
Si tratterebbe di azioni fraudolente portate avanti con
l'utilizzo di malware (SpyEye and Zeus) ed impiegando
codici altamente sofisticati per il riconoscimento dei conti bancari di piu' alto valore da colpire,
trasferendo somme in denaro calcolate in percentuale sull'importo presente sul conto bancario.
Si e' ad esempio rilevato l'uso di una
percentuale fissa del 3% oppure del movimento dal conto colpito ad un conto o carta prepagata per
un valore relativamente piccolo, pari a 500 EURO per ogni transazione fraudolenta.
E' chiaro che il sistema utilizzato tende ad
evitare allarmi diffusi nascondendosi dietro i relativamente bassi importi sottratti.
In genere una volta che le vittime tentano di accedere al loro conto, le credenziali vengono acquisite attraverso un attacco di “man-in-the-browser-style” che propone un messaggio a video di “sistema in manutenzione" mentre gli attaccanti trasferiscono i fondi sul loro conto.
Alcuni degli utenti interessati sono stati definiti come "high rollers" (da cui il nome del rapporto McAfee e Guardian Analytics:'Dissecting Operation High Roller') , con una media di disponibilita' sul loro conto che va da 250.000 a 500.000 EURO mentre i trasferimenti effettuati dai 'ladri' informatici hanno interessato transazioni sia a livello nazionale che a livello internazionale tramite un trasferimento con codici IBAN.
La cosa veramente innovativa parrebbe comunque essere la possibilita' di bypassare il sistema di autenticazione tramite SmartCard e accesso tramite PIN code.
Normalmente, l'utilizzatore di una smart card la inserisce nel dispositivo di lettura e digita un PIN a fronte del quale il Sistema della Banca genera un token digitale.
Token che lo script malware e' in grado di acquisire ed elaborare, mentre l'utente rimane in attesa davanti ad un messaggio a video che informa di aspettare lo 'sblocco' della transazione.
Altra novita' e' l'automazione Server-side delle procedure di trasferimento delle somme in denaro con utilizzo di cloud-based server ("server-side") anziche' di codici pre-caricati come parte del malware downloadato sul PC delle vittime (computer "client-side").
Assistiamo cioe' all'utilizzo di un alto livello di automazione che cattura le one-time password, controlla saldo del conto, avvia le operazioni, e cerca su un database dedicato un account 'aggiornato ed attivo' dove trasferire il denaro, il tutto senza la partecipazione attiva dei ladri informatici.
Inoltre il malware sarebbe anche in grado di filtrare eventuali mail di conferma dell'avventa transazione, impedire la stampa dei report del conto , e modificare i valori delle transazioni visualizzate in base a quanto la vittima si aspetta di vedere.
Il report McAfee - Guardian Analytics analizza nel dettaglio alcune diverse strategie di attacco iniziando da una tipologia definita come
“Attacco standard”
E' interessante analizzarne i principali passaggi che riassumono in pratica come si sviluppa un attacco che vede sempre come base una mail di phishing ma che poi evolve piuttosto in un attacco definibile 'malware' .
Ecco le principali fasi :
-
Ricezione da parte dell'utente Internet di una mail di phishing con link a pagina contente codice malevolo o ulteriori links (spesso in maniera automatica) ad altre pagine / siti con exploits ecc....
-
Se l'utente segue il link in mail, possibile attivazione dell'exploit (
Black Hole kit ecc ) che a fronte di una eventuale vulnerabilita' del browser della vittima, cerchera' di sfruttarla per per comprometterne il computer.
-
Ulteriore installazione da parte dello script exploit di un Trojan Downloader che a sua volta installera'
SpyEye o Zeus od altro malware dedicato….... sul dispositivo della vittima.
A questo punto
se l'utente accede a servizi bancari online dal computer infetto :
-
Il malware verifica alcuni parametri, come ad esempio il tipo di conto ed saldi contabili.
-
Se i parametri sono quelli che il malware sta cercando, lo stesso contatta il server di comando e controllo e scarica codice appropriato allo specifico bersaglio Banca.
-
Lo script iniettato prende il controllo della sessione e contatta il server per ottenere istruzioni specifiche.
Si puo' trattare esempio
di una simulazione di messaggio di errore che viene attivato dopo che la vittima ha effettuato il login (es. come la vittima effettua il login, puo' essere chiesto di rispondere ad una domanda di sicurezza e viene proposto il messaggio di errore. Questo crea il ritardo che consente al software malevolo di eseguire la transazione al posto del reale utente della banca.)
A questo punto la vittima non ha effettivamente autenticato ma e' bloccata con un messaggio "please wait" per il tempo necessario ad eseguire la transazione da parte dei ladri informatici.
Seguiranno ulteriori operazioni nascoste da parte del malware anche a seconda che la Banca richieda ulteriori codici di autenticazione della transazione.
Inoltre il malware rimarra' residente nella memoria del computer e potra' alterare il report generato dalla banca, filtrare eventuali mails di conferma ecc.....
Una variante di questo tipo di attacco
vede la novita' dell'utilizzo di servers sui quali vengono installati i softwares che gestiscono le transazioni fraudolente.
Sono stati individuati sino a
60 cloud-based server malevoli per gestire le transazioni al posto di gestirle dalla macchina compromessa dell'utente.
La maggior parte dei
server maligni sono ospitati da provider definiti bulletproof ISPs (Internet Service Provider a 'prova di proiettile”); si tratta cioe'
di fornitori di servizi locati in paesi in cui spesso non e' in vigore una legislazione od accordi internazionali per perseguire le frodi su Internet.
Una ulteriore variante documentata dal report vede
una azione ibrida da parte dei malfattori con impiego di procedure sia automatiche che manuali a supporto dell'attivita fraudolenta di accesso al conto preso di mira.
Dalla lettura del report e da quanto esposto su
post pare comunque evidente che:
1)
Anche se alcuni parlano di una '…..fine dl phishing........' in realta',
anche se con forme diverse la pratica delle mails fraudolente riconducibili a Banche, aziende ecc... (phishing) rimane ben attiva e presente online.
Se ricordiamo, infatti, come si sviluppano questi attacchi, il report indica chiaramente che
l'azione preliminare e' sempre “ …...... L'invio di una mail di phishing con link a pagina contente codice malevolo o ulteriori links …..”
2)
E' da notare come a seguito della fake mail ci sia sempre una compromissione del computer attraverso piu' o men noti codici malware (KIT BlackHole ecc.....) che sfruttano vulnerabilita' vecchie, non correttamente patchate, o nuove …....
Se vediamo come attualmente lo spam malware e' diffuso (vedi ad esempio il ricorrente caso della mail (tutto sommato di phishing) con link a file zip con malware che sta colpendo utenti IT) possiamo pensare che una parte di questi codici malevoli sia costituita da trojan downloader che potrebbero al limite scaricare su PC colpito software orientato al furto online.
Il report completo McAfee - Guardian Analytics (in lingua inglese)
e' scaricabile da qui
Edgar