phishing attacks
Transcript
phishing attacks
20-04-2011 PHISHING E FURTO DI IDENTITÀ phishing 2 e-mologia: unione di due parole: • password e fishing = pesca di password • phreaking = uso di frequenze per manipolare un sistema telefonico (USA anni Cinquanta) • pharming = reindirizzamento dell'utente su un indirizzo IP diverso (o su una pagina web “clone”) rispeKo a quello voluto e digitato 1 20-04-2011 definizione del fenomeno 3 • nella forma: il phishing è una tecnica di social engineering (ovvero una metodologia di comportamento sociale indirizzata a carpire informazioni personali oppure abitudini e s-li di vita) • nel contenuto: quali sono modalità/obieQvi dei phishing a5acks? le modalità dei phishing a5acks 4 • invio di e‐mail per indurre l'utente a conneKersi ad una pagina web • phishing Voip (invio di e‐mail contenente un numero di telefono) • invio di offerte di lavoro (uso del c.c.b. della viQma) • trojan, maleware, key logger • uso di un URL noto • reindirizzamento verso un URL ignoto, ges-to dal phisher 2 20-04-2011 fase 1 ‐ la e‐mail esca 5 fase 2 – l’inserimento delle credenziali 6 3 20-04-2011 7 fase 1 ‐ la e‐mail esca (altra modalità) 8 • modalità = trojan • faKore di novità = non si richiedere di visitare il sito web del gruppo, ma si invitano le potenziali viQme ad effeKuare il download del “paccheKo di sicurezza Poste Internet Security 2008” 4 20-04-2011 mail‐esca 9 fase 2 – alterazione del funzionamento 10 del sistema informa-co • cliccando sul link proposto si effeKua il download del file posteavs.exe • il file, se eseguito, provoca l'alterazione del file HOSTS presente nel computer colpito. 5 20-04-2011 problemi lega- alla repressione dei phishing a5acks 11 • localizzazione dei server dai cui partono le e‐mail o che contengono i si- web clone • limitata permanenza on‐line del phishing site • mancanza di norme ad hoc – v. ordinamento US • Virginia > ha inserito il phishing nel Computer Crimes Act • New York • California > AnC‐phishing Act obieQvi dei phishing a5acks 1. portare l'utente a fornire da- o informazioni personali che riguardano: 1. credenziali di auten-cazione per accedere ad aree informa-che esclusive o a servizi finanziari/bancari 2. numeri di carte di credito o pagamento 3. user ID e password (in generale) 2. raccogliere o pescare i da- riserva- del soggeKo utente o fruitore del servizio 3. u-lizzare i da- così consegui- per accedere ai servizi on‐line, assumendo “virtualmente” l'iden-tà del legiQmo -tolare ∨ struKura trifasica 6 20-04-2011 fase 1 (mail esca) 13 Art. 494 c.p. SosCtuzione di persona. Chiunque, al fine di procurare a sé o ad altri un vantaggio o di recare ad altri un danno, induce taluno in errore, sosCtuendo illegiNmamente la propria all'altrui persona, o a5ribuendo a sé o ad altri un falso nome, o un falso stato, ovvero una qualità a cui la legge a5ribuisce effeN giuridici, è punito, se il fa5o non cosCtuisce un altro deli5o contro la fede pubblica con la reclusione fino a un anno. fase 1 (mail esca) / fase 2 (raccolta dei da-) 14 Art. 624 c.p. Furto. Chiunque s'impossessa della cosa mobile altrui, so5raendola a chi la deCene, al fine di trarne profi5o per sé o per altri, è punito con la reclusione da sei mesi a tre anni e con la multa da euro 154 a euro 516. • applicabile? • problema del furto di iden-tà digitale 7 20-04-2011 fase 1 (mail esca) / fase 3 (uso dei da-) 15 Art. 640 c.p. Truffa. Chiunque, con arCfizi o raggiri, inducendo taluno in errore, procura a sé o ad altri un ingiusto profi5o con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da euro 51 a euro 1.032. fase 1 (mail esca) / fase 3 (uso dei da-) 16 • condoKa > ar-fici o raggiri (> invio di e‐mail avente look and feel del sito is-tuzionale) • evento intermedio > «induce taluno in errore» – chi riceve l'e‐mail (> fase 1) è indoKo in errore – con la condoKa di inserimento on‐line dei da- raccol- (> fase 3), l'agente “trae in inganno” il sistema informa-co • collaborazione ar-ficiosa con la viQma – aKo di disposizione patrimoniale – sussiste? > v. fase 3 • evento di danno e profiKo 8 20-04-2011 fase 1 (mail esca) / fase 3 (uso dei da-) 17 Art. 640‐ter c.p. Frode informaCca. Chiunque, alterando in qualsiasi modo il funzionamento di un sistema informaCco o telemaCco o intervenendo senza diri5o con qualsiasi modalità su daC, informazioni o programmi contenuC in un sistema informaCco o telemaCco o ad esso perCnenC, procura a sé o ad altri un ingiusto profi5o con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da euro 51 a euro 1.032. nel caso del phishing le procedure informa-che vengono aQvate in modo tecnicamente regolare, ma l’aQvazione non è conforme alla volontà del soggeKo che ne è -tolare (> intervento senza diriKo?) fase 1 (mail esca) / fase 3 (uso dei da-) 18 invio dell'e‐mail (fase 1): mero invio > non cos-tuisce “alterazione del funzionamento di un sistema informa-co o telema-co” invio di un'e‐mail contenente un so]ware autoinstallante > potrebbe cos-tuire un'“alterazione del funzionamento di un sistema informa-co o telema-co” > v. art. 615 quinquies cp uso delle informazioni raccolte (fase 3): art. 640 ter cp “alterazione del funzionamento del sistema informa-co”? “intervento senza diriKo”? 9 20-04-2011 fase 2 (raccolta dei da-) 19 Art. 615‐quater. Detenzione e diffusione abusiva di codici di accesso a sistemi informaCci o telemaCci. Chiunque, al fine di procurare a sé o ad altri un profi5o o di arrecare ad altri un danno, abusivamente si procura, riproduce, diffonde, comunica o consegna codici, parole chiave o altri mezzi idonei all'accesso ad un sistema informaCco o telemaCco, prote5o da misure di sicurezza, o comunque fornisce indicazioni o istruzioni idonee al prede5o scopo, è punito con la reclusione sino ad un anno e con la multa sino a euro 5.164. fase 3 (uso dei da-) 20 Art. 615‐ter. Accesso abusivo ad un sistema informaCco o telemaCco. Chiunque abusivamente si introduce in un sistema informaCco o telemaCco prote5o da misure di sicurezza ovvero vi si manCene contro la volontà espressa o tacita di chi ha il diri5o di escluderlo, è punito con la reclusione fino a tre anni. • condoKa -pica > fase 3 > sussiste? • querela > chi è il soggeKo passivo? – es.: il phisher accede al sistema informa-co dell'is-tuto di credito – è plausibile ritenere che il sistema informa-co dell'is-tuto possa ospitare, al suo interno, una pluralità di aree riservate 10 20-04-2011 fase 3 (uso dei da-) 21 Art. 12, D.L. n. 143/1991, poi L. n. 197/1991 > ora Art. 55, comma 9, D. Lgs. n. 231/2007. Chiunque, al fine di trarne profi5o per sé o per altri, indebitamente uClizza, non essendone Ctolare, carte di credito o di pagamento, ovvero qualsiasi altro documento analogo che abiliC al prelievo di denaro contante o all'acquisto di beni o alla prestazione di servizi, è punito con la reclusione da uno a cinque anni e con la multa da 310 a 1.550 euro. Alla stessa pena soggiace chi, al fine di trarne profi5o per sé o per altri, falsifica o altera carte di credito o di pagamento o qualsiasi altro documento analogo che abiliC al prelievo di denaro contante o all'acquisto di beni o alla prestazione di servizi, ovvero possiede, cede o acquisisce tali carte o documenC di provenienza illecita o comunque falsificaC o alteraC, nonché ordini di pagamento prodoN con essi. riepilogo 22 • art. 624 c.p. (?) • art. 494 c.p. • art. 640 c.p. (?) • • • • • art. 640 ter c.p. art. 615 ter c.p. ora art. 55, comma 9 D. Lgs. n. 231/2007 art. 615 quater c.p. art. 167 D. Lgs. n. 196/2003 11 20-04-2011 orientamen- giurisprudenziali 23 • Tribunale di Catania 2003 – furto (arK. 624 e 625, n. 4) – Cass., sez. V, sent. 24.11.2003, n. 4576 > frode informa-ca • GIP Milano, 28.7.2006 – frode informa-ca (art. 640 ter) + detenzione di codici di accesso (art. 615 quater) + diffusione di programmi aQ o direQ al danneggiamento informa-co (art. 615 quinquies) – riciclaggio (art. 648 bis) • Tribunale Milano, 15.10.2007 (> smishing) – sos-tuzione di persona (art. 494) – truffa (art. 640) – uso indebito di carte di credito (art. 12 D.L. n. 143/1991) orientamen- giurisprudenziali 24 • Tribunale Milano, 19.10.2008 – sos-tuzione di persona (art. 494) – detenzione di codici di accesso (art. 615 quater) – truffa (art. 640) > rileKura dell’interpretazione tradizionale • GIP Palermo 2009 – riciclaggio (art. 648 bis) • Cass., sent. n. 9891/2011 – frode informa-ca (art. 640 ter) > «l'abusivo uClizzo di codici informaCci di terzi (“intervento senza diri5o”) – comunque o5enuC e dei quali si è entraC in possesso all'insaputa o contro la volontà del legiNmo possessore (“con qualsiasi modalità”) – è idoneo ad integrare la faNspecie di cui all'art. 640 ter c.p. ove quei codici siano uClizzaC per intervenire senza diri5o su daC, informazioni o programmi contenuC in un sistema informaCco o telemaCco, al fine di procurare a sé od altri un ingiusto profi5o». 12 20-04-2011 loKa al furto di iden-tà digitale 25 • episodi allarman- – agosto 2009 > gli hacker soKraggono i da- di 130 milioni di carte di credito, trafugandoli ad una società di transazioni eleKroniche (Heartlando Paymant System) > da- carpi- dalla 7‐Eleven – novembre 2007 > furto di da- di 4,2 milioni di -tolari di carte di credito in danno di Hannaford Brothers – nel 2004, negli USA, oltre 9 milioni di persone sono rimaste viQma del “furto di iden-tà” • risposte di is-tuzioni private (> Bankitalia) • risposte norma-ve – Decisione Quadro 2001/413/GAI del 28 maggio 2001 rela-va alla loKa contro le frodi e le falsificazioni di mezzi di pagamento diversi dai contan- – DireQva 2008/48/CE del 23 aprile 2008 rela-va ai contraQ di credito ai consumatori – D. Lgs. n. 141/2010 – Schema di D. Lgs. di modifica del D. Lgs. n. 141/2010 (AC n. 321) – 4.1.2011 loKa al furto di iden-tà digitale 26 • risposte di is-tuzioni private > Bankitalia, 5.2.2010 – interviene ai sensi dell’art. 6, comma 5, leK. b) D. Lgs. n. 231/2007 – indici sintoma-ci di possibili frodi informa-che • apertura di ccb che, dopo un periodo iniziale di inaQvità, risultano alimenta- con bonifici frequen- • prelievi a mezzo contante ovvero trasferimento dei fondi subito dopo l’accredito • uso di ccb solo per rappor- della stessa specie (> bonifici) • aQvazione di più carte prepagate in poco tempo • ricariche di carte prepagate seguite da immediato prelievo • trasferimento da o verso l’estero (operazioni frequen- o di importo significa-vo) • bonifici esegui- da più soggeQ a favore di un unico beneficiario 13 20-04-2011 loKa al furto di iden-tà digitale 27 • risposte norma-ve (comunitarie) > la Raccomandazione Parlamento Europeo del 26.3.2009 suggerisce di: – affrontare la ques-one del “furto d'iden-tà” e frode a livello dell'Unione europea in collaborazione con • fornitori di Internet • organizzazioni degli uten- • autorità di polizia che si occupano della cibercriminalità (> per le quali dovrebbe essere prevista una specifica formazione) – incoraggiare la cooperazione fra pubblico e privato • rafforzamento della cooperazione > «coregolamentazione e dell'autoregolamentazione come alternaCve efficaci o strumenC complementari alla legislazione tradizionale» – creazione di piaKaforme di allarme (a livello europeo) – campagne di sensibilizzazione e di prevenzione loKa al furto di iden-tà digitale 28 • risposte norma-ve (nazionali) • DDL (A.S. n. 507) del 13 maggio 2008 – «Disposizioni in materia di prevenzione delle frodi nel se5ore del credito al consumo, dei pagamenC dilazionaC o differiC e del se5ore assicuraCvo» • approvato dal Senato il 16.9.2009 • esame in commissione alla Camera (A.C. n. 2699) iniziato il 9.3.2010 • DDL (A.S. n. 1869) del 11.11.2009 – «Modifiche al codice penale e al codice di procedura penale per favorire il contrasto al furto d’idenCtà» • introduzione dell’art. 494 bis cp • schema di D. Lgs. 2011 14 20-04-2011 loKa al furto di iden-tà digitale 29 • DDL (A.S. n. 1869) del 11.11.2009 > art. 494 bis cp (Frode con falsa iden-tà) Chiunque indebitamente acquisisca, in qualsiasi forma, daC idenCficaCvi personali, codici di accesso o credenziali riservate o in qualsiasi modo formi, ricostruisca o diffonda informazioni individuali relaCve a persone fisiche o giuridiche al fine di organizzare aNvità fraudolente mediante assunzione abusiva dell’idenCtà altrui o di una idenCtà fiNzia funzionale alla formazione di un rapporto contra5uale di qualsiasi genere, anche a5raverso l’invio massivo di corrispondenza informaCca ingannevole, è punito, salvo che il fa5o cosCtuisca più grave reato, con la reclusione da uno a cinque anni e con la multa fino a 10.000 euro. Chiunque, o5enuC abusivamente i daC idenCficaCvi personali di cui al primo comma o comunque avvalendosi di falsa o contraffa5a documentazione di idenCtà, concluda, sosCtuendosi ad altri, rapporC contra5uali ovvero di mutuo, locazione o locazione finanziaria, ovvero contraN bancari, assicuraCvi o societari, finanziari di invesCmento o di finanziamento per l’acquisto, l’abbonamento o il pagamento di beni o servizi, è punito, salvo che il fa5o cosCtuisca più grave reato, con la reclusione da due a sei anni e con la multa da euro 15.000 a 25.000. loKa al furto di iden-tà digitale • schema di D. Lgs. 2011 • raCo dell’intervento novellis-co 30 – «necessità di introdurre una normaCva in grado di depotenziare, a monte, il verCginoso aumento delle frodi crediCzie correlate alla faNspecie di furto di idenCtà. Tale aspe5o assume parCcolare rilievo in un contesto, quale quello a5uale, contrassegnato dall’esigenza di contenere l’aumento dei tassi di interesse praCcaC dal se5ore bancario e crediCzio…» – maggior livello di prevenzione contro il furto di iden-tà = riduzione dei tassi di interesse pra-ca- • fonte > delega contenuta nella legge comunitaria 2009 (art. 13, comma 1, leK. d‐ter) L. n. 96/2010) • altri progeQ simili > DDL Camera n. 2699 15 20-04-2011 loKa al furto di iden-tà digitale 31 Art. 30 bis (Definizioni) Ai fini del presente decreto legislaCvo per furto di idenCtà si intende: 1) l’impersonificazione totale: appropriazione indebita dell’idenCtà di un altro sogge5o mediante l’uClizzo dei suoi daC personali. L’impersonificazione può riguardare un sogge5o realmente esistente, un sogge5o inesistente o un sogge5o defunto; 2) l’impersonificazione parziale: occultamento parziale della propria idenCtà a5raverso l’uClizzo di daC anagrafici falsi e di recapiC veri; 3) la dichiarazione di cara5eri falsi: uClizzo di daC anagrafici e recapiC veri e cara5eri falsi, quesC ulCmi relaCvi, a Ctolo indicaCvo, all’aNvità lavoraCva, allo sCpendio, al bilancio societario. loKa al furto di iden-tà digitale 32 • sistema di prevenzione incentrato sulla connessione tra banche da- > ges-to dal Ministero dell’Economia • archivio informa-co pubblico/privato – componente “pubblica” dell’archivio > permeKe di verificare: • la validità dei documen- di iden-tà (> Mininistero dell’Interno) • i da- anagrafici o di residenza • la posizione fiscale, contribu-va, reddituale (> Agenzia delle Entrate, INPS, INAIL, INPDAP) – componente “privata” dell’archivio > informazioni provenien- da operatori economici (banche, intermediari finanziari, fornitori di servizi di comunicazione eleKronica, fornitori di servizi ad accesso condizionato, gestori di sistemi di informazioni credi-zie) 16 20-04-2011 loKa al furto di iden-tà digitale 33 • segnalazione di casi sospeQ • alla Consap può essere chiesto il riscontro dei da- contenu- nella documentazione fornita dalle persone fisiche che richiedono una dilazione o un differimento di pagamento, un finanziamento o altra analoga facilitazione finanziaria • problema del rispeKo della norma-va sui da- personali – -tolare del traKamento = Ministero dell’Economia – responsabile del traKamento = Consap spa (ente gestore dell'archivio informa-zzato) 17