Il post seguente è stato tradotto per gentile concessione di Trusteer

Trusteer, in quanto partecipante alla campagna “Get Safe Online” di questa settimana nel Regno Unito, ha avvertito che le chiamate telefoniche fraudolente stanno acquistando popolarità nella comunità criminale con lo scopo di commettere furti d’identità; e che tutti debbono stare in guardia per evitare di diventare vittime, online o offline. Un possibile uso di queste false chiamate “bancarie”, potrebbe essere quello di rubare informazioni d’identificazione personale tramite malware per dare credibilità ai truffatori, mentre vengono raccolte le informazioni mancanti per ‘far funzionare’ gli scam.

Il fenomeno del furto dei dati tramite il web, utilizzato con altri mezzi o contesti come gli attacchi di social engineering, è spesso trascurato. Trusteer ha scoperto che i dati raccolti tramite gli attacchi Man in the Browser possono essere utilizzati per scopi diversi dalle frodi delle transazioni automatizzate. La difesa contro la nuova ondata di attacchi ibridi richiede sia la tecnologia per rilevare il malware MitB che vigilanza da parte degli utenti dei servizi online.

La frode tradizionale tramite malware finanziario inizia identificando la banca e imparando come funzioni il loro servizio di online banking. Una volta che i truffatori abbiano compreso come funzionino i flussi di online banking e i processi di sicurezza, viene progettato uno schema della truffa e si configura l’attacco malware corrispondente (ad esempio, un MitB security training scam discusso nei precedenti post sul blog http://www.trusteer.com/blog). Infine, i clienti della banca vengono infettati dal malware e la frode inizia la sequenza di esecuzione.

Altre forme di frode finanziaria tramite malware funzionano in senso inverso: prima il malware viene inserito nelle macchine delle vittime e traccia le attività online e le credenziali bancarie, poi, i truffatori, utilizzano i dati delle credenziali pescate dai log del malware per accedere ai siti di online banking e perpetrare frodi. La ricerca di Trusteer ha perfino individuato truffatori vendere i log di Zeus sul mercato libero. Il prezzo corrente è compreso tra 60cents e 1$ per 1 GB.

Tuttavia, il problema con questo metodo è che, in molti casi, i dati raccolti dal malware non sono sufficienti per commettere la frode reale:

• Le credenziali d’autenticazione, one time password (OTP), originariamente raccolte non sono più valide
• Le banche richiedono il Transaction Signing per trasferire denaro
• La banca richiede dati di autenticazione aggiuntivi al momento dell’autenticazione da un nuovo indirizzo IP

I truffatori, per ottenere i dati mancanti necessari a effettuare con successo una frode online, possono ricorrere ai servizi di operatori professionisti. Una pubblicità di un forum, scoperta da Trusteer, offre un servizio telefonico con operatori professionisti che parlano fluentemente inglese ed altre lingue europee e che possono impersonare voci maschili e femminili, così come voci anziane e giovani. Come per qualsiasi attività commerciale, il servizio mostra “gli orari di apertura” sia per gli orari lavorativi americani che europei. Il prezzo è piuttosto ragionevole, 10 $ a chiamata. Questi criminali offrivano chiamate a clienti privati, banche, negozi, uffici postali e ogni altra organizzazione in base alle esigenze specifiche dei clienti. Avevano anche i numeri di telefono nel caso le vittime avessero voluto richiamare, per qualsiasi motivo. Ulteriori verifiche di sicurezza da parte di Trusteer rivelano che il gruppo è operativo dal 2009.

Sebbene i reali script del chiamante non siano stati condivisi nella pubblicità del forum, possiamo immaginare che quelli utilizzati per raccogliere i dati mancanti debbano essere simili a:

Fase 1: Il chiamante instaura credibilità
Il chiamante utilizzerebbe i dati raccolti dal malware per guadagnare credibilità, ad esempio chiederà “Sei John Smith, che vive in (indirizzo), con il numero di carta di credito che termina con 2345?”

Fase 2: Il chiamante raccoglie i dati mancanti
Una volta che il chiamante ha instaurato credibilità, inizierà a raccogliere:

a) L’OTP dell’SMS: ad esempio “Abbiamo appena inviato un SMS con un’OTP in modo da poter stabilire che è John Smith, può leggermelo?”
b) Ogni altra informazione di autenticazione aggiuntiva, ad esempio: “Per verificare, può, per favore, darmi le ultime quattro cifre del SSN?”
c) È possibile anche convincere l’utente a generare un transaction signing code tramite un beneficiario fraudolento e informazioni relative all’importo, ad esempio: “Abbiamo bisogno di calibrare il lettore del vostro transaction signing, potrebbe, per favore, inserire i seguenti dati online e dirci cosa succede ”

Mentre l’attenzione di tutti è focalizzata su come proteggersi nel mondo ‘virtuale’, è ancora molto a rischio, qui, nel mondo ‘reale’. I truffatori si rivolgono ai servizi telefonici nel tentativo di indurre le persone a rivelare informazioni riservate, ingaggiando professionisti per impersonare i rappresentanti delle organizzazioni finanziarie. La triste verità è che, in realtà, utilizzare il social engineering al telefono è molto più facile di quanto si creda.

È piuttosto inquietante realizzare quanto sia professionale il marketing del gruppo. Sostiene di avere una vasta esperienza di lavoro con clienti, banche e negozi. Mette in luce anche il proprio know-how finanziario, vantandosi che nella maggior parte dei casi, i bonifici bancari e le transazioni vengono completati.

Alle singole persone Trusteer consiglia che:

• si assicurino di utilizzare soluzioni antimalware aggiornate, in particolare quelle consigliate dalla propria banca, per impedire, in prima istanza, il furto di dati
• considerino tutte le telefonate non richieste con cautela, a prescindere da qualsiasi informazione di validazione possa fornire il chiamante
• usi numeri forniti dalla banca, non dal chiamante, per verificare l’autenticità del contatto.

Fonte: Apply Security Online to Protect Yourself Offline
As part of this week’s ‘Get Safe Online’ campaign in the United Kingdom, Trusteer have issued a warning that fraudulent phone calls are increasing in popularity amongst the criminal community to commit ID theft and that everyone needs to be on their guard to avoid falling victim – on or offline. One possible use for these bogus ‘bank’ calls is to utilise personal identification information stolen using malware to give fraudsters credibility as they collect the missing information required to ‘pull off’ their scams.

The phenomenon of stealing data using one channel such as the web and using it in a different channel or context such as social engineering attacks is often overlooked. Trusteer has found that data collected by Man in the Browser attacks can be used for other purposes than automated transaction fraud. Defending against the new wave of hybrid attacks requires both technology to detect MitB malware and vigilance from the users of online services.

Traditional financial malware fraud starts off by identifying the targeted bank and learning how their online banking service functions. Once fraudsters understand the online banking flows and security processes, a fraudulent scheme is designed and the corresponding malware attack is configured (e.g. a MitB security training scam discussed in previous blog posts http://www.trusteer.com/blog). Lastly, bank clients are infected with the malware and fraud starts its execution sequence.

Other forms of financial malware fraud work in reverse – First malware is placed on victims’ machines and malware logs online activity and banking credentials, fraudsters use credential data fished from malware logs to access online banking sites and perpetrate fraud. Trusteer Research has even identified fraudsters selling Zeus malware logs in the open market – the going price is between 1$ to 60cents per 1GB.

However, the problem with this method is, in many cases, the data collected by the malware is insufficient to commit the actual fraud:

• The one time password (OTP) authentication credentials originally collected are no longer valid
• Banks require Transaction Signing to transfer money
• Additional authentication data is required by the bank when logging in from a new IP address

‘Professional caller services can be used by fraudsters to obtain the missing data required to complete a successful online fraud. A forum advertisement, discovered by Trusteer, offers a phone service with professional callers, fluent in English and European languages, who can impersonate male and female, as well as old and young voices. As with any business the service states its regular ‘operating hours’ as available during American and European working hours. The price is a rather reasonable 10$ per call. These criminals were offering calls to private customers, banks, shops, post offices and any other organisations according to the customers’ specific requirements. They’ll even prepare the phone numbers to accept calls in case victims should want to call back for any reason. Trusteer’s additional security verification reveals that the group has been operational since 2009.

Although the actual caller’s scripts are not shared in the forum advertisement we can imagine scripts used to collect the missing data would look something like:

Step 1: Caller Establishing Credibility

The caller would use data collected by the malware to gain credibility, for example the caller will ask “Are you John Smith, living at their address, with credit card number ending in 2345?”

Step 2: Caller Collect Missing Data

Once the caller has established credibility, they will go on to collect:

a) The SMS OTP – for example “We have just sent you an SMS with an OTP so we can make sure you are John Smith, can you please read it for me?”

b) Collect any other additional authentication information, for example “For verification, can you please give me the last four digits of your SSN?”

c) They can even get the user to generate a transaction signing code with fraudulent payee and amount information, for example “We need to calibrate your transaction signing reader so could you please enter the following details online and then tell us what happens.”

While everyone’s attention is focused on protecting themselves in the ‘virtual’ world, they’re still very much at risk back here in the ‘real’ world. Fraudsters are turning to phone call services in an endeavour to trick people into disclosing their confidential information, sourcing professional callers to impersonate representatives from financial organisations. The sad truth is that it is actually far easier to perpetrate social engineering over the phone than many realise.

It’s rather disturbing how professional the group’s marketing is. It claims to have extensive experience working with bank customers, banks and shops. It even highlights their financial expertise, bragging that in the majority of cases they complete bank transfers and transactions.

For individuals, Trusteer advises they:

• make sure to use up-to-date anti-malware solutions, especially any recommended by their bank, to prevent data theft in the first instance;
• treat all unsolicited phone calls with caution, irrespective of any validation information the caller may offer;
• use contact numbers provided by the bank, not the caller, to verify the authenticity of the contact.

Source: Apply Security Online to Protect Yourself Offline