Applicare la sicurezza online per proteggersi offline

Il post seguente è stato tradotto per gentile concessione di Trusteer

Trusteer, in quanto partecipante alla campagna “Get Safe Online” di questa settimana nel Regno Unito, ha avvertito che le chiamate telefoniche fraudolente stanno acquistando popolarità nella comunità criminale con lo scopo di commettere furti d’identità; e che tutti debbono stare in guardia per evitare di diventare vittime, online o offline. Un possibile uso di queste false chiamate “bancarie”, potrebbe essere quello di rubare informazioni d’identificazione personale tramite malware per dare credibilità ai truffatori, mentre vengono raccolte le informazioni mancanti per ‘far funzionare’ gli scam.

Il fenomeno del furto dei dati tramite il web, utilizzato con altri mezzi o contesti come gli attacchi di social engineering, è spesso trascurato. Trusteer ha scoperto che i dati raccolti tramite gli attacchi Man in the Browser possono essere utilizzati per scopi diversi dalle frodi delle transazioni automatizzate. La difesa contro la nuova ondata di attacchi ibridi richiede sia la tecnologia per rilevare il malware MitB che vigilanza da parte degli utenti dei servizi online.

La frode tradizionale tramite malware finanziario inizia identificando la banca e imparando come funzioni il loro servizio di online banking. Una volta che i truffatori abbiano compreso come funzionino i flussi di online banking e i processi di sicurezza, viene progettato uno schema della truffa e si configura l’attacco malware corrispondente (ad esempio, un MitB security training scam discusso nei precedenti post sul blog http://www.trusteer.com/blog). Infine, i clienti della banca vengono infettati dal malware e la frode inizia la sequenza di esecuzione.

Altre forme di frode finanziaria tramite malware funzionano in senso inverso: prima il malware viene inserito nelle macchine delle vittime e traccia le attività online e le credenziali bancarie, poi, i truffatori, utilizzano i dati delle credenziali pescate dai log del malware per accedere ai siti di online banking e perpetrare frodi. La ricerca di Trusteer ha perfino individuato truffatori vendere i log di Zeus sul mercato libero. Il prezzo corrente è compreso tra 60cents e 1$ per 1 GB.

Tuttavia, il problema con questo metodo è che, in molti casi, i dati raccolti dal malware non sono sufficienti per commettere la frode reale:

  • Le credenziali d’autenticazione, one time password (OTP), originariamente raccolte non sono più valide
  • Le banche richiedono il Transaction Signing per trasferire denaro
  • La banca richiede dati di autenticazione aggiuntivi al momento dell’autenticazione da un nuovo indirizzo IP

I truffatori, per ottenere i dati mancanti necessari a effettuare con successo una frode online, possono ricorrere ai servizi di operatori professionisti. Una pubblicità di un forum, scoperta da Trusteer, offre un servizio telefonico con operatori professionisti che parlano fluentemente inglese ed altre lingue europee e che possono impersonare voci maschili e femminili, così come voci anziane e giovani. Come per qualsiasi attività commerciale, il servizio mostra “gli orari di apertura” sia per gli orari lavorativi americani che europei. Il prezzo è piuttosto ragionevole, 10 $ a chiamata. Questi criminali offrivano chiamate a clienti privati, banche, negozi, uffici postali e ogni altra organizzazione in base alle esigenze specifiche dei clienti. Avevano anche i numeri di telefono nel caso le vittime avessero voluto richiamare, per qualsiasi motivo. Ulteriori verifiche di sicurezza da parte di Trusteer rivelano che il gruppo è operativo dal 2009.

Sebbene i reali script del chiamante non siano stati condivisi nella pubblicità del forum, possiamo immaginare che quelli utilizzati per raccogliere i dati mancanti debbano essere simili a:

Fase 1: Il chiamante instaura credibilità
Il chiamante utilizzerebbe i dati raccolti dal malware per guadagnare credibilità, ad esempio chiederà “Sei John Smith, che vive in (indirizzo), con il numero di carta di credito che termina con 2345?”

Fase 2: Il chiamante raccoglie i dati mancanti
Una volta che il chiamante ha instaurato credibilità, inizierà a raccogliere:

a) L’OTP dell’SMS: ad esempio “Abbiamo appena inviato un SMS con un’OTP in modo da poter stabilire che è John Smith, può leggermelo?”
b) Ogni altra informazione di autenticazione aggiuntiva, ad esempio: “Per verificare, può, per favore, darmi le ultime quattro cifre del SSN?”
c) È possibile anche convincere l’utente a generare un transaction signing code tramite un beneficiario fraudolento e informazioni relative all’importo, ad esempio: “Abbiamo bisogno di calibrare il lettore del vostro transaction signing, potrebbe, per favore, inserire i seguenti dati online e dirci cosa succede ”

Mentre l’attenzione di tutti è focalizzata su come proteggersi nel mondo ‘virtuale’, è ancora molto a rischio, qui, nel mondo ‘reale’. I truffatori si rivolgono ai servizi telefonici nel tentativo di indurre le persone a rivelare informazioni riservate, ingaggiando professionisti per impersonare i rappresentanti delle organizzazioni finanziarie. La triste verità è che, in realtà, utilizzare il social engineering al telefono è molto più facile di quanto si creda.

È piuttosto inquietante realizzare quanto sia professionale il marketing del gruppo. Sostiene di avere una vasta esperienza di lavoro con clienti, banche e negozi. Mette in luce anche il proprio know-how finanziario, vantandosi che nella maggior parte dei casi, i bonifici bancari e le transazioni vengono completati.

Alle singole persone Trusteer consiglia che:

  • si assicurino di utilizzare soluzioni antimalware aggiornate, in particolare quelle consigliate dalla propria banca, per impedire, in prima istanza, il furto di dati
  • considerino tutte le telefonate non richieste con cautela, a prescindere da qualsiasi informazione di validazione possa fornire il chiamante
  • usi numeri forniti dalla banca, non dal chiamante, per verificare l’autenticità del contatto.

Fonte: Apply Security Online to Protect Yourself Offline

Written by admin

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *