phishing attacks

20-04-2011
PHISHING
E
FURTO
DI
IDENTITÀ
phishing
2
e-mologia:
unione
di
due
parole:
• password
e
fishing
=
pesca
di
password
• phreaking
=
uso
di
frequenze
per
manipolare
un
sistema
telefonico
(USA
anni
Cinquanta)
• pharming
=
reindirizzamento
dell'utente
su
un
indirizzo
IP
diverso
(o
su
una
pagina
web
“clone”)
rispeKo
a
quello
voluto
e
digitato
1
20-04-2011
definizione
del
fenomeno
3
• nella
forma:
il
phishing
è
una
tecnica
di
social
engineering
(ovvero
una
metodologia
di
comportamento
sociale
indirizzata
a
carpire
informazioni
personali
oppure
abitudini
e
s-li
di
vita)
• nel
contenuto:
quali
sono
modalità/obieQvi
dei
phishing
a5acks?
le
modalità
dei
phishing
a5acks
4
• invio
di
e‐mail
per
indurre
l'utente
a
conneKersi
ad
una
pagina
web
• phishing
Voip
(invio
di
e‐mail
contenente
un
numero
di
telefono)
• invio
di
offerte
di
lavoro
(uso
del
c.c.b.
della
viQma)
• trojan,
maleware,
key
logger
• uso
di
un
URL
noto
• reindirizzamento
verso
un
URL
ignoto,
ges-to
dal
phisher
2
20-04-2011
fase
1
‐
la
e‐mail
esca
5
fase
2
–
l’inserimento
delle
credenziali
6
3
20-04-2011
7
fase
1
‐
la
e‐mail
esca
(altra
modalità)
8
• modalità
=
trojan
• faKore
di
novità
=
non
si
richiedere
di
visitare
il
sito
web
del
gruppo,
ma
si
invitano
le
potenziali
viQme
ad
effeKuare
il
download
del
“paccheKo
di
sicurezza
Poste
Internet
Security
2008”
4
20-04-2011
mail‐esca
9
fase
2
–
alterazione
del
funzionamento
10
del
sistema
informa-co
• cliccando
sul
link
proposto
si
effeKua
il
download
del
file
posteavs.exe
• il
file,
se
eseguito,
provoca
l'alterazione
del
file
HOSTS
presente
nel
computer
colpito.
5
20-04-2011
problemi
lega-
alla
repressione
dei
phishing
a5acks
11
• localizzazione
dei
server
dai
cui
partono
le
e‐mail
o
che
contengono
i
si-
web
clone
• limitata
permanenza
on‐line
del
phishing
site
• mancanza
di
norme
ad
hoc
– v.
ordinamento
US
• Virginia
>
ha
inserito
il
phishing
nel
Computer
Crimes
Act
• New
York
• California
>
AnC‐phishing
Act
obieQvi
dei
phishing
a5acks
1.
portare
l'utente
a
fornire
da-
o
informazioni
personali
che
riguardano:
1. credenziali
di
auten-cazione
per
accedere
ad
aree
informa-che
esclusive
o
a
servizi
finanziari/bancari
2. numeri
di
carte
di
credito
o
pagamento
3. user
ID
e
password
(in
generale)
2.
raccogliere
o
pescare
i
da-
riserva-
del
soggeKo
utente
o
fruitore
del
servizio
3.
u-lizzare
i
da-
così
consegui-
per
accedere
ai
servizi
on‐line,
assumendo
“virtualmente”
l'iden-tà
del
legiQmo
-tolare
∨
struKura
trifasica
6
20-04-2011
fase
1
(mail
esca)
13
Art.
494
c.p.
SosCtuzione
di
persona.
Chiunque,
al
fine
di
procurare
a
sé
o
ad
altri
un
vantaggio
o
di
recare
ad
altri
un
danno,
induce
taluno
in
errore,
sosCtuendo
illegiNmamente
la
propria
all'altrui
persona,
o
a5ribuendo
a
sé
o
ad
altri
un
falso
nome,
o
un
falso
stato,
ovvero
una
qualità
a
cui
la
legge
a5ribuisce
effeN
giuridici,
è
punito,
se
il
fa5o
non
cosCtuisce
un
altro
deli5o
contro
la
fede
pubblica
con
la
reclusione
fino
a
un
anno.
fase
1
(mail
esca)
/
fase
2
(raccolta
dei
da-)
14
Art.
624
c.p.
Furto.
Chiunque
s'impossessa
della
cosa
mobile
altrui,
so5raendola
a
chi
la
deCene,
al
fine
di
trarne
profi5o
per
sé
o
per
altri,
è
punito
con
la
reclusione
da
sei
mesi
a
tre
anni
e
con
la
multa
da
euro
154
a
euro
516.
• applicabile?
• problema
del
furto
di
iden-tà
digitale
7
20-04-2011
fase
1
(mail
esca)
/
fase
3
(uso
dei
da-)
15
Art.
640
c.p.
Truffa.
Chiunque,
con
arCfizi
o
raggiri,
inducendo
taluno
in
errore,
procura
a
sé
o
ad
altri
un
ingiusto
profi5o
con
altrui
danno,
è
punito
con
la
reclusione
da
sei
mesi
a
tre
anni
e
con
la
multa
da
euro
51
a
euro
1.032.
fase
1
(mail
esca)
/
fase
3
(uso
dei
da-)
16
• condoKa
>
ar-fici
o
raggiri
(>
invio
di
e‐mail
avente
look
and
feel
del
sito
is-tuzionale)
• evento
intermedio
>
«induce
taluno
in
errore»
– chi
riceve
l'e‐mail
(>
fase
1)
è
indoKo
in
errore
– con
la
condoKa
di
inserimento
on‐line
dei
da-
raccol-
(>
fase
3),
l'agente
“trae
in
inganno”
il
sistema
informa-co
• collaborazione
ar-ficiosa
con
la
viQma
– aKo
di
disposizione
patrimoniale
– sussiste?
>
v.
fase
3
• evento
di
danno
e
profiKo
8
20-04-2011
fase
1
(mail
esca)
/
fase
3
(uso
dei
da-)
17
Art.
640‐ter
c.p.
Frode
informaCca.
Chiunque,
alterando
in
qualsiasi
modo
il
funzionamento
di
un
sistema
informaCco
o
telemaCco
o
intervenendo
senza
diri5o
con
qualsiasi
modalità
su
daC,
informazioni
o
programmi
contenuC
in
un
sistema
informaCco
o
telemaCco
o
ad
esso
perCnenC,
procura
a
sé
o
ad
altri
un
ingiusto
profi5o
con
altrui
danno,
è
punito
con
la
reclusione
da
sei
mesi
a
tre
anni
e
con
la
multa
da
euro
51
a
euro
1.032.
nel
caso
del
phishing
le
procedure
informa-che
vengono
aQvate
in
modo
tecnicamente
regolare,
ma
l’aQvazione
non
è
conforme
alla
volontà
del
soggeKo
che
ne
è
-tolare
(>
intervento
senza
diriKo?)
fase
1
(mail
esca)
/
fase
3
(uso
dei
da-)
18
 invio
dell'e‐mail
(fase
1):
 mero
invio
>
non
cos-tuisce
“alterazione
del
funzionamento
di
un
sistema
informa-co
o
telema-co”
 invio
di
un'e‐mail
contenente
un
so]ware
autoinstallante
>
potrebbe
cos-tuire
un'“alterazione
del
funzionamento
di
un
sistema
informa-co
o
telema-co”
>
v.
art.
615
quinquies
cp
 uso
delle
informazioni
raccolte
(fase
3):
 art.
640
ter
cp
 “alterazione
del
funzionamento
del
sistema
informa-co”?
 “intervento
senza
diriKo”?
9
20-04-2011
fase
2
(raccolta
dei
da-)
19
Art.
615‐quater.
Detenzione
e
diffusione
abusiva
di
codici
di
accesso
a
sistemi
informaCci
o
telemaCci.
Chiunque,
al
fine
di
procurare
a
sé
o
ad
altri
un
profi5o
o
di
arrecare
ad
altri
un
danno,
abusivamente
si
procura,
riproduce,
diffonde,
comunica
o
consegna
codici,
parole
chiave
o
altri
mezzi
idonei
all'accesso
ad
un
sistema
informaCco
o
telemaCco,
prote5o
da
misure
di
sicurezza,
o
comunque
fornisce
indicazioni
o
istruzioni
idonee
al
prede5o
scopo,
è
punito
con
la
reclusione
sino
ad
un
anno
e
con
la
multa
sino
a
euro
5.164.
fase
3
(uso
dei
da-)
20
Art.
615‐ter.
Accesso
abusivo
ad
un
sistema
informaCco
o
telemaCco.
Chiunque
abusivamente
si
introduce
in
un
sistema
informaCco
o
telemaCco
prote5o
da
misure
di
sicurezza
ovvero
vi
si
manCene
contro
la
volontà
espressa
o
tacita
di
chi
ha
il
diri5o
di
escluderlo,
è
punito
con
la
reclusione
fino
a
tre
anni.
• condoKa
-pica
>
fase
3
>
sussiste?
• querela
>
chi
è
il
soggeKo
passivo?
– es.:
il
phisher
accede
al
sistema
informa-co
dell'is-tuto
di
credito
– è
plausibile
ritenere
che
il
sistema
informa-co
dell'is-tuto
possa
ospitare,
al
suo
interno,
una
pluralità
di
aree
riservate
10
20-04-2011
fase
3
(uso
dei
da-)
21
Art.
12,
D.L.
n.
143/1991,
poi
L.
n.
197/1991
>
ora
Art.
55,
comma
9,
D.
Lgs.
n.
231/2007.
Chiunque,
al
fine
di
trarne
profi5o
per
sé
o
per
altri,
indebitamente
uClizza,
non
essendone
Ctolare,
carte
di
credito
o
di
pagamento,
ovvero
qualsiasi
altro
documento
analogo
che
abiliC
al
prelievo
di
denaro
contante
o
all'acquisto
di
beni
o
alla
prestazione
di
servizi,
è
punito
con
la
reclusione
da
uno
a
cinque
anni
e
con
la
multa
da
310
a
1.550
euro.
Alla
stessa
pena
soggiace
chi,
al
fine
di
trarne
profi5o
per
sé
o
per
altri,
falsifica
o
altera
carte
di
credito
o
di
pagamento
o
qualsiasi
altro
documento
analogo
che
abiliC
al
prelievo
di
denaro
contante
o
all'acquisto
di
beni
o
alla
prestazione
di
servizi,
ovvero
possiede,
cede
o
acquisisce
tali
carte
o
documenC
di
provenienza
illecita
o
comunque
falsificaC
o
alteraC,
nonché
ordini
di
pagamento
prodoN
con
essi.
riepilogo
22
• art.
624
c.p.
(?)
• art.
494
c.p.
• art.
640
c.p.
(?)
• • • • • art.
640
ter
c.p.
art.
615
ter
c.p.
ora
art.
55,
comma
9
D.
Lgs.
n.
231/2007
art.
615
quater
c.p.
art.
167
D.
Lgs.
n.
196/2003
11
20-04-2011
orientamen-
giurisprudenziali
23
• Tribunale
di
Catania
2003
– furto
(arK.
624
e
625,
n.
4)
– Cass.,
sez.
V,
sent.
24.11.2003,
n.
4576
>
frode
informa-ca
• GIP
Milano,
28.7.2006
– frode
informa-ca
(art.
640
ter)
+
detenzione
di
codici
di
accesso
(art.
615
quater)
+
diffusione
di
programmi
aQ
o
direQ
al
danneggiamento
informa-co
(art.
615
quinquies)
– riciclaggio
(art.
648
bis)
• Tribunale
Milano,
15.10.2007
(>
smishing)
– sos-tuzione
di
persona
(art.
494)
– truffa
(art.
640)
– uso
indebito
di
carte
di
credito
(art.
12
D.L.
n.
143/1991)
orientamen-
giurisprudenziali
24
• Tribunale
Milano,
19.10.2008
– sos-tuzione
di
persona
(art.
494)
– detenzione
di
codici
di
accesso
(art.
615
quater)
– truffa
(art.
640)
>
rileKura
dell’interpretazione
tradizionale
• GIP
Palermo
2009
– riciclaggio
(art.
648
bis)
• Cass.,
sent.
n.
9891/2011
– frode
informa-ca
(art.
640
ter)
>
«l'abusivo
uClizzo
di
codici
informaCci
di
terzi
(“intervento
senza
diri5o”)
–
comunque
o5enuC
e
dei
quali
si
è
entraC
in
possesso
all'insaputa
o
contro
la
volontà
del
legiNmo
possessore
(“con
qualsiasi
modalità”)
–
è
idoneo
ad
integrare
la
faNspecie
di
cui
all'art.
640
ter
c.p.
ove
quei
codici
siano
uClizzaC
per
intervenire
senza
diri5o
su
daC,
informazioni
o
programmi
contenuC
in
un
sistema
informaCco
o
telemaCco,
al
fine
di
procurare
a
sé
od
altri
un
ingiusto
profi5o».
12
20-04-2011
loKa
al
furto
di
iden-tà
digitale
25
• episodi
allarman-
– agosto
2009
>
gli
hacker
soKraggono
i
da-
di
130
milioni
di
carte
di
credito,
trafugandoli
ad
una
società
di
transazioni
eleKroniche
(Heartlando
Paymant
System)
>
da-
carpi-
dalla
7‐Eleven
– novembre
2007
>
furto
di
da-
di
4,2
milioni
di
-tolari
di
carte
di
credito
in
danno
di
Hannaford
Brothers
– nel
2004,
negli
USA,
oltre
9
milioni
di
persone
sono
rimaste
viQma
del
“furto
di
iden-tà”
• risposte
di
is-tuzioni
private
(>
Bankitalia)
• risposte
norma-ve
– Decisione
Quadro
2001/413/GAI
del
28
maggio
2001
rela-va
alla
loKa
contro
le
frodi
e
le
falsificazioni
di
mezzi
di
pagamento
diversi
dai
contan-
– DireQva
2008/48/CE
del
23
aprile
2008
rela-va
ai
contraQ
di
credito
ai
consumatori
– D.
Lgs.
n.
141/2010
– Schema
di
D.
Lgs.
di
modifica
del
D.
Lgs.
n.
141/2010
(AC
n.
321)
–
4.1.2011
loKa
al
furto
di
iden-tà
digitale
26
• risposte
di
is-tuzioni
private
>
Bankitalia,
5.2.2010
– interviene
ai
sensi
dell’art.
6,
comma
5,
leK.
b)
D.
Lgs.
n.
231/2007
– indici
sintoma-ci
di
possibili
frodi
informa-che
• apertura
di
ccb
che,
dopo
un
periodo
iniziale
di
inaQvità,
risultano
alimenta-
con
bonifici
frequen-
• prelievi
a
mezzo
contante
ovvero
trasferimento
dei
fondi
subito
dopo
l’accredito
• uso
di
ccb
solo
per
rappor-
della
stessa
specie
(>
bonifici)
• aQvazione
di
più
carte
prepagate
in
poco
tempo
• ricariche
di
carte
prepagate
seguite
da
immediato
prelievo
• trasferimento
da
o
verso
l’estero
(operazioni
frequen-
o
di
importo
significa-vo)
• bonifici
esegui-
da
più
soggeQ
a
favore
di
un
unico
beneficiario
13
20-04-2011
loKa
al
furto
di
iden-tà
digitale
27
• risposte
norma-ve
(comunitarie)
>
la
Raccomandazione
Parlamento
Europeo
del
26.3.2009
suggerisce
di:
– affrontare
la
ques-one
del
“furto
d'iden-tà”
e
frode
a
livello
dell'Unione
europea
in
collaborazione
con
• fornitori
di
Internet
• organizzazioni
degli
uten-
• autorità
di
polizia
che
si
occupano
della
cibercriminalità
(>
per
le
quali
dovrebbe
essere
prevista
una
specifica
formazione)
– incoraggiare
la
cooperazione
fra
pubblico
e
privato
• rafforzamento
della
cooperazione
>
«coregolamentazione
e
dell'autoregolamentazione
come
alternaCve
efficaci
o
strumenC
complementari
alla
legislazione
tradizionale»
– creazione
di
piaKaforme
di
allarme
(a
livello
europeo)
– campagne
di
sensibilizzazione
e
di
prevenzione
loKa
al
furto
di
iden-tà
digitale
28
• risposte
norma-ve
(nazionali)
• DDL
(A.S.
n.
507)
del
13
maggio
2008
–
«Disposizioni
in
materia
di
prevenzione
delle
frodi
nel
se5ore
del
credito
al
consumo,
dei
pagamenC
dilazionaC
o
differiC
e
del
se5ore
assicuraCvo»
• approvato
dal
Senato
il
16.9.2009
• esame
in
commissione
alla
Camera
(A.C.
n.
2699)
iniziato
il
9.3.2010
• DDL
(A.S.
n.
1869)
del
11.11.2009
–
«Modifiche
al
codice
penale
e
al
codice
di
procedura
penale
per
favorire
il
contrasto
al
furto
d’idenCtà»
• introduzione
dell’art.
494
bis
cp
• schema
di
D.
Lgs.
2011
14
20-04-2011
loKa
al
furto
di
iden-tà
digitale
29
• DDL
(A.S.
n.
1869)
del
11.11.2009
>
art.
494
bis
cp
(Frode
con
falsa
iden-tà)
Chiunque
indebitamente
acquisisca,
in
qualsiasi
forma,
daC
idenCficaCvi
personali,
codici
di
accesso
o
credenziali
riservate
o
in
qualsiasi
modo
formi,
ricostruisca
o
diffonda
informazioni
individuali
relaCve
a
persone
fisiche
o
giuridiche
al
fine
di
organizzare
aNvità
fraudolente
mediante
assunzione
abusiva
dell’idenCtà
altrui
o
di
una
idenCtà
fiNzia
funzionale
alla
formazione
di
un
rapporto
contra5uale
di
qualsiasi
genere,
anche
a5raverso
l’invio
massivo
di
corrispondenza
informaCca
ingannevole,
è
punito,
salvo
che
il
fa5o
cosCtuisca
più
grave
reato,
con
la
reclusione
da
uno
a
cinque
anni
e
con
la
multa
fino
a
10.000
euro.
Chiunque,
o5enuC
abusivamente
i
daC
idenCficaCvi
personali
di
cui
al
primo
comma
o
comunque
avvalendosi
di
falsa
o
contraffa5a
documentazione
di
idenCtà,
concluda,
sosCtuendosi
ad
altri,
rapporC
contra5uali
ovvero
di
mutuo,
locazione
o
locazione
finanziaria,
ovvero
contraN
bancari,
assicuraCvi
o
societari,
finanziari
di
invesCmento
o
di
finanziamento
per
l’acquisto,
l’abbonamento
o
il
pagamento
di
beni
o
servizi,
è
punito,
salvo
che
il
fa5o
cosCtuisca
più
grave
reato,
con
la
reclusione
da
due
a
sei
anni
e
con
la
multa
da
euro
15.000
a
25.000.
loKa
al
furto
di
iden-tà
digitale
• schema
di
D.
Lgs.
2011
• raCo
dell’intervento
novellis-co
30
– «necessità
di
introdurre
una
normaCva
in
grado
di
depotenziare,
a
monte,
il
verCginoso
aumento
delle
frodi
crediCzie
correlate
alla
faNspecie
di
furto
di
idenCtà.
Tale
aspe5o
assume
parCcolare
rilievo
in
un
contesto,
quale
quello
a5uale,
contrassegnato
dall’esigenza
di
contenere
l’aumento
dei
tassi
di
interesse
praCcaC
dal
se5ore
bancario
e
crediCzio…»
– maggior
livello
di
prevenzione
contro
il
furto
di
iden-tà
=
riduzione
dei
tassi
di
interesse
pra-ca-
• fonte
>
delega
contenuta
nella
legge
comunitaria
2009
(art.
13,
comma
1,
leK.
d‐ter)
L.
n.
96/2010)
• altri
progeQ
simili
>
DDL
Camera
n.
2699
15
20-04-2011
loKa
al
furto
di
iden-tà
digitale
31
Art.
30
bis
(Definizioni)
Ai
fini
del
presente
decreto
legislaCvo
per
furto
di
idenCtà
si
intende:
1) l’impersonificazione
totale:
appropriazione
indebita
dell’idenCtà
di
un
altro
sogge5o
mediante
l’uClizzo
dei
suoi
daC
personali.
L’impersonificazione
può
riguardare
un
sogge5o
realmente
esistente,
un
sogge5o
inesistente
o
un
sogge5o
defunto;
2) l’impersonificazione
parziale:
occultamento
parziale
della
propria
idenCtà
a5raverso
l’uClizzo
di
daC
anagrafici
falsi
e
di
recapiC
veri;
3) la
dichiarazione
di
cara5eri
falsi:
uClizzo
di
daC
anagrafici
e
recapiC
veri
e
cara5eri
falsi,
quesC
ulCmi
relaCvi,
a
Ctolo
indicaCvo,
all’aNvità
lavoraCva,
allo
sCpendio,
al
bilancio
societario.
loKa
al
furto
di
iden-tà
digitale
32
• sistema
di
prevenzione
incentrato
sulla
connessione
tra
banche
da-
>
ges-to
dal
Ministero
dell’Economia
• archivio
informa-co
pubblico/privato
– componente
“pubblica”
dell’archivio
>
permeKe
di
verificare:
• la
validità
dei
documen-
di
iden-tà
(>
Mininistero
dell’Interno)
• i
da-
anagrafici
o
di
residenza
• la
posizione
fiscale,
contribu-va,
reddituale
(>
Agenzia
delle
Entrate,
INPS,
INAIL,
INPDAP)
– componente
“privata”
dell’archivio
>
informazioni
provenien-
da
operatori
economici
(banche,
intermediari
finanziari,
fornitori
di
servizi
di
comunicazione
eleKronica,
fornitori
di
servizi
ad
accesso
condizionato,
gestori
di
sistemi
di
informazioni
credi-zie)
16
20-04-2011
loKa
al
furto
di
iden-tà
digitale
33
• segnalazione
di
casi
sospeQ
• alla
Consap
può
essere
chiesto
il
riscontro
dei
da-
contenu-
nella
documentazione
fornita
dalle
persone
fisiche
che
richiedono
una
dilazione
o
un
differimento
di
pagamento,
un
finanziamento
o
altra
analoga
facilitazione
finanziaria
• problema
del
rispeKo
della
norma-va
sui
da-
personali
– -tolare
del
traKamento
=
Ministero
dell’Economia
– responsabile
del
traKamento
=
Consap
spa
(ente
gestore
dell'archivio
informa-zzato)
17