Florida, nasce il crack'n'phish

L'ultima novità è il cracking di siti di banche e il re-indirizzamento del traffico degli utenti su spazi web fasulli, creati ad hoc per rubare dati. A Milano chiesto il rito immediato per i due arrestati a gennaio

Florida, nasce il crack'n'phishMiami (USA) - Capital City Bank, Wakulla Bank e Premier Bank sono i nomi di tre banche che entrano a pieno titolo nella nera storia del phishing: per la prima volta gli autori di una truffa ai danni degli utenti di web banking, sono riusciti nell'intento craccando i siti bancari. Una volta dentro hanno re-diretto gli utenti verso siti fasulli, dove questi hanno inconsapevolmente lasciato i propri dati, aprendo così la via alla sottrazione di denaro.

Questo nuovo episodio, riportato inizialmente da un blog americano, sta sollevando com'è comprensibile grande attenzione e viene vissuto come una dimostrazione dell'escalation nel mondo delle truffe web.

La cronaca riferisce che i criminali sono riusciti ad accedere ai due server che gestiscono i siti dei tre istituti di credito e che sono ospitati da un service provider locale, ElectroNet: una volta "dentro" non è stato difficile portare la URL ufficiale dei tre siti su spazi web che in tutto e per tutto assomigliavano alle home page ufficiali delle banche. "Questo nuovo scam - riporta il blog - è come il phishing ma senza il passaggio intermedio dell'email". L'unico aspetto "positivo", per così dire, di questa azione è il fatto che l'ISP coinvolto ha potuto accorgersi rapidamente del problema ed agire: pare che il re-direct sia andato avanti per circa un'ora.
Secondo Bob Breeden, cybercop del Dipartimento di polizia della Florida, questa è la prima volta che i phisher ricorrono ad un'azione del genere: "Hanno creato un modo per distruggere la sicurezza che dava il digitare l'indirizzo web della propria banca. Ora dobbiamo occuparcene e spiegarlo alla gente".

La facilità con cui l'azione compiuta in Florida può tradursi in ammanchi a ripetizione sui conti degli utenti, ricorda da vicino quanto sta succedendo anche ad utenti italiani a causa della diffusione di worm che fanno spoofing dell'utente su siti fraudolenti. Come racconta Anti-Phishing Italia, "quando digitiamo il nome di un dominio nel nostro browser, il protocollo IP interroga il DNS per conoscere il corrispondente indirizzo IP; ma prima di far questo controlla il file HOSTS per verificare la presenza di tale indirizzo: se è presente, si collega automaticamente. A sfruttare questa vulnerabilità per rubare i numeri dei conti correnti on-line ci ha pensato il worm PWS-Banker.y e le sue varianti, prendendo di mira importanti servizi di home banking tra cui Banca Intesa, Banca Lombarda, Csebanking, BYBank di BancaAntonveneta, Credito Cooperativo e Banca Sella".

Proprio su una ampia truffa condotta ai danni degli utenti italiani si sta muovendo la Procura di Milano che nelle scorse ore ha chiesto il giudizio con rito immediato per i due cittadini dell'est europeo che gli inquirenti ritengono parte di una delle maggiori organizzazioni internazionali dedite al phishing e che sono stati arrestati lo scorso gennaio.

Gli inquirenti ritengono che i due siano parte di una imponente organizzazione internazionale specializzata nelle truffe online. Un gruppo che aveva sviluppato una rete di società fittizie con cui ha cercato, talvolta riuscendoci, di raggirare utenti e utilizzarli come "financial manager": intestatari di conti correnti bancari che "prestano" il proprio conto per far transitare denaro che in molti casi non sanno essere frutto di frodi. Una tipologia di truffa già descritta nei dettagli da Punto Informatico e che sta conoscendo una notevole diffusione, spesso alimentata da trojan e keylogger realizzati ad hoc.

Gli arresti realizzati dal Gruppo Repressione Frodi della Guardia di Finanza di Milano si legano proprio a questa attività: dallo scorso dicembre i due erano infatti giunti in Italia, sostengono gli inquirenti, per aprire una serie di conti bancari e rastrellare i soldi derivanti dalla truffa. Denari che sarebbero poi stati trasportati fisicamente all'estero.

L'organizzazione scoperta dalle Fiamme Gialle, commentano ora gli esperti che hanno seguito il caso interpellati da Punto Informatico, indica anche i termini di una ulteriore evoluzione del phishing.

Una possibile soluzione contro le frodi bancarie che ne derivano sono le cosiddette One Time Password, o OTP, ossia quegli strumenti che cambiano password ad ogni transazione, magari a tempo e senza dare la possibilità all'utente di conoscere le password successive. Ci sono paesi, come l'Olanda, dove sono già molto diffusi.

Altra cosa che viene sottolineata è la necessità della collaborazione degli utenti. Se in Italia, come in molti altri paesi, sono attivi team delle forze dell'ordine dedicati a reprimere questo genere di truffe, ed è inutile quindi bombardarli di segnalazioni, l'utente può comunque segnalare, ad esempio a Netcraft, i siti sospetti con cui entra in contatto. Quella società, come ormai alcuni altri operatori web, mette a disposizione una Anti-Phishing Toolbar che può essere utilizzata anche dai meno esperti per evitare sorprese.

L'operazione di Milano è in sé una cosa rara, se si considera che il nostro paese è perlopiù una "sponda" per il riciclaggio delle cifre frodate, truffe per le quali gli autori possono attendersi condanne anche fino a tre anni di reclusione. Sono gli Stati Uniti, anche per il 2006, a conservare la "palma" di paese dal quale provengono la maggior parte di queste truffe: secondo i dati dell'Anti Phishing Working Group (APWG) riferiti a gennaio 2006, infatti, una parte consistente dei 17.877 diversi tentativi di truffa è originata proprio dagli USA.

Di interesse in questo senso che l'operazione del Gruppo Repressione Frodi abbia portato tra il maggio 2005 ed oggi alla chiusura della bellezza di 10mila siti e più che erano stati realizzati dai phisher per "dirottare" il traffico web delle proprie vittime. La questione non è secondaria: la "sopravvivenza" di quei siti nei giorni in cui viene spammata l'email truffaldina è decisiva per la riuscita della truffa stessa. Oggi mediamente, spiega APWG, un sito del genere rimane attivo per 5 giorni.
TAG: italia
47 Commenti alla Notizia Florida, nasce il crack'n'phish
Ordina
  • Per completezza l'articolo avrebbe dovuto citare le banche italiane che utilizzano sistemi di autenticazione più sicuri quali OTP o certificati client. Si poteva limitare l'indagine alle banche più grandi.

    Lo sapevate una OTP può essere inviata sul cellulare?

    A quando un articolo sul tema?
    non+autenticato

  • - Scritto da: Anonimo
    > Per completezza l'articolo avrebbe dovuto citare
    > le banche italiane che utilizzano sistemi di
    > autenticazione più sicuri quali OTP o certificati
    > client. Si poteva limitare l'indagine alle banche
    > più grandi.
    >
    > Lo sapevate una OTP può essere inviata sul
    > cellulare?
    >
    > A quando un articolo sul tema?

    ma tu sai cosa vuol dire OTP? e se lo sai mi dici che c'entra col phishing e come possa evitarlo (sempre che tu abbia capito cosa sia)?
    non+autenticato
  • Buffo.. visto che nell'articolo ti dicono che OTP sta per One Time Password,password ad uso singolo,una volta usata, addio,non serve piu,diverse banche danno gia delle carte (formato carta di credito) con un'elenco di codici da usare in sequenza ed ogni codice vale solo per un'operazione. Alcune alternative sono quelle di generare al volo il codice e di spedirlo tramite sms,ad esempio,all'utente.

    Sorride
    non+autenticato

  • - Scritto da: Anonimo
    > ma tu sai cosa vuol dire OTP? e se lo sai mi dici
    > che c'entra col phishing e come possa evitarlo
    > (sempre che tu abbia capito cosa sia)?

    Premesso che non sono l'autore del primo articolo, mi sento in dovere di rispondere.
    L'OTP (onte time password, ovvero password che si usano una volta sola) combatte il phishing perchè anche se il truffatore riesce a dirottarmi sul suo sito fake e mi ocnvince a lasciare la mia password, questa, poichè cambia ad ogni accesso, non gli serve a nulla.

    Il livello dei forum di PI è dimostrato dal post di questo troll dell'età mentale di dodici anni cha parla con tanta arroganza e mostra tutta la sua ignoranza, uccidendo la discussione che poteva nascere da uno dei pochi post intelligenti presenti sul forum.
    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > > ma tu sai cosa vuol dire OTP? e se lo sai mi
    > dici
    > > che c'entra col phishing e come possa evitarlo
    > > (sempre che tu abbia capito cosa sia)?
    >
    > Premesso che non sono l'autore del primo
    > articolo, mi sento in dovere di rispondere.
    > L'OTP (onte time password, ovvero password che si
    > usano una volta sola) combatte il phishing perchè
    > anche se il truffatore riesce a dirottarmi sul
    > suo sito fake e mi ocnvince a lasciare la mia
    > password, questa, poichè cambia ad ogni accesso,
    > non gli serve a nulla.
    >

    tanto per onorare la mia fama di arrogante, iniziate a leggervi questo:

    http://it.wikipedia.org/wiki/Phishing

    una volta letto dimmi una cosa: se mentre tu tenti di mandare una sicurissima OTP a quello che tu credi sia il sito della tua banca, ma in realta' e' il PC di un hacker rumeno (notoriamente specializzati e abili in questo tipo di operazioni), e questo mariuolo utilizza sia la OTP che i tuoi dati di connessione, fottutiti sempre con la tecnica del phishing, me lo dici quale grado di sicurezza ti danno ste cacchio di OTP???

    > Il livello dei forum di PI è dimostrato dal post
    > di questo troll dell'età mentale di dodici anni
    > cha parla con tanta arroganza e mostra tutta la
    > sua ignoranza, uccidendo la discussione che
    > poteva nascere da uno dei pochi post intelligenti
    > presenti sul forum.

    come vedi, it thread e' tutt'altro che terminato: tutto sta alle persone che lo conducono evitare di fare scenate da checchine offese e offrire invece risposte sensate e pertinenti
    non+autenticato

  • - Scritto da: Anonimo

    > una volta letto dimmi una cosa: se mentre tu
    > tenti di mandare una sicurissima OTP a quello che
    > tu credi sia il sito della tua banca, ma in
    > realta' e' il PC di un hacker rumeno
    > (notoriamente specializzati e abili in questo
    > tipo di operazioni), e questo mariuolo utilizza
    > sia la OTP che i tuoi dati di connessione,
    > fottutiti sempre con la tecnica del phishing, me
    > lo dici quale grado di sicurezza ti danno ste
    > cacchio di OTP???


    **il fatto che otp stia per one time password non vuol dire che sia UNA sola password....
    ma che la password, che cambia ad OGNI operazione, dura una sola volta ed in determinati casi (vedi dongle della RSA) cambia ogni minuto in automatico sul display della tua chiavetta.
    ad oggi, almeno per un pò, il phisher non riesce a fare man bassa di codici ed usarli in un tempo così limitato...

    la carta cui faceva riferimento qualcuno, non ricordo bene se tu o altri, è perdente, come hanno dimostrato i clienti inglesi, vittime di un phisher che faceva grattare (si, la carta è simile a un gratta e vinci -vaggsi banca di roma) una colonna intera di password...


    non+autenticato
  • O avrebbero potuto dire che sono acnora peggio di tanti altri... Ricordate le peripezie di Matteo Flora?

    http://www.lastknight.com/articoli/attacco-xss-pos.../

    http://punto-informatico.it/p.asp?i=52064&r=PI

    Mah!
    non+autenticato
  • cioe' come facevamo tutti tempo fa con le bbs - ogni banca si mette su una specie di e ogni utente si collega direttamente in connessione criptata
    e' la cosa + sicura e l'unica che mi convincerebbe a usare il mio pc x fare operazioni bancarie...
    non+autenticato

  • - Scritto da: Anonimo
    > cioe' come facevamo tutti tempo fa con le bbs -
    > ogni banca si mette su una specie di e ogni
    > utente si collega direttamente in connessione
    > criptata
    > e' la cosa + sicura e l'unica che mi
    > convincerebbe a usare il mio pc x fare operazioni
    > bancarie...

    Si' pero' a quel punto dovresti essere sicuro che chi ti risponde sia veramente la banca (cioe' che nessuno abbia manomesso il sistema telefonico).

    Piu' facile (talemnte banale che non si capisce perche' non venga fatto) sarebbe che le banche forniscano ai loro clienti la loro chiave pubblica di un sistema di indentificazione/criptazione e che tramite questa si faccia un autentificazione. Meglio ancora se la banca fornisse (compresa nel prezzo) un certificato anche al cliente.

  • - Scritto da: AnyFile
    >
    >
    > Si' pero' a quel punto dovresti essere sicuro che
    > chi ti risponde sia veramente la banca (cioe' che
    > nessuno abbia manomesso il sistema telefonico).

    be' io non ho detto che sia il sistema perfetto (che come saprai non esiste) ma sarai daccordo anche te che sia richieda un tantino di talento (e fatica) in piu' quindi le probabilita' di essere frodati diminuiscono di brutto

    >
    > Piu' facile (talemnte banale che non si capisce
    > perche' non venga fatto) sarebbe che le banche
    > forniscano ai loro clienti la loro chiave
    > pubblica di un sistema di
    > indentificazione/criptazione e che tramite questa
    > si faccia un autentificazione. Meglio ancora se
    > la banca fornisse (compresa nel prezzo) un
    > certificato anche al cliente.

    ti ripeto: per abbassare le probabilita' di frode la connessione deve essere la + diretta possibile xk piu' occhi vedono cosa passa e peggio e' - le chiavi virtuali cosi' come quelle reali - anche le + sofisticate - non devono assolutamente passare x le mani dei mariuoli senno prima o poi verranno duplicate e il layer TCP/IP e' troppo 'aperto' e quindi rende vulnerabile tutta la catena di sicurezza anche la meglio concepita.
    non+autenticato

  • - Scritto da: Anonimo
    >
    > verranno duplicate e il layer TCP/IP e' troppo
    > 'aperto' e quindi rende vulnerabile tutta la
    > catena di sicurezza anche la meglio concepita.

    Infatti, sapere che (almeno nelgi USA) alcune banche hanno deciso (per risparmiare) di collegare i loro bancomat tramite rete internet, mi lascia alcunquanto preoccupato ....

  • - Scritto da: AnyFile
    >
    >
    > Infatti, sapere che (almeno nelgi USA) alcune
    > banche hanno deciso (per risparmiare) di
    > collegare i loro bancomat tramite rete internet,
    > mi lascia alcunquanto preoccupato ....

    dopo l' 11/9/2001 io eviterei di prendere gli USA come punto di riferimento per problematiche di sicurezza... Deluso
    non+autenticato
  • Ca...!!! Come se scarichi un canzone. Complimenti!
    E per l'omicidio che? Una pacca sulla spalla e..."non farlo più"?
    Meno male che c'è Ubbani e compagnia che pensano al bene degli italiani. Solo qualcuno dovrebbe spiegargli che italiani sono coloro che vivono in italia, non i padroni delle case discografiche, delle banche, delle multinazionali, ecc
    non+autenticato
  • ma phish non è, che cos'è?
    non+autenticato

  • - Scritto da: Anonimo
    > ma phish non è, che cos'è?

    l'ospite?

    joe
    non+autenticato
  • come i celebri e prelibati piatti belli e pronti della findus, anche i siti bancari vengono fatti con lo scopo di essere clonati in 5 minuti

    Tools, template belli e pronti per il cantinaro di turno con lo skate sotto il braccio, pronto sempre ad andare contro il Sistema

    Poi quando il Sistema gli bussa alla porta della cantina, capisce che ha fatto l'ennesima cazzata, ed a quel punto capisce anzi realizza di essere neanche un CO.CO.CO.

    A quel punto capisce che con linux ha perso tempo e torna a windows. Almeno gli è utile per cercare lavoro.

    Che gente!!!
    non+autenticato
  • - Scritto da: Anonimo
    > come i celebri e prelibati piatti belli e pronti
    > della findus, anche i siti bancari vengono fatti
    > con lo scopo di essere clonati in 5 minuti
    >
    > Tools, template belli e pronti per il cantinaro
    > di turno con lo skate sotto il braccio, pronto
    > sempre ad andare contro il Sistema
    >
    > Poi quando il Sistema gli bussa alla porta della
    > cantina, capisce che ha fatto l'ennesima cazzata,
    > ed a quel punto capisce anzi realizza di essere
    > neanche un CO.CO.CO.
    >
    > A quel punto capisce che con linux ha perso tempo
    > e torna a windows. Almeno gli è utile per cercare
    > lavoro.

    Peccato però che in genere i siti delle banche non siano fatti da cantinari con lo skate sotto il braccio ma da aziende piene di markettari tirati a lucido con giacca e cravatta, buoni solo a vendere fumo.
    non+autenticato

  • - Scritto da: Anonimo
    > - Scritto da: Anonimo
    > > come i celebri e prelibati piatti belli e pronti
    > > della findus, anche i siti bancari vengono fatti
    > > con lo scopo di essere clonati in 5 minuti
    > >
    > > Tools, template belli e pronti per il cantinaro
    > > di turno con lo skate sotto il braccio, pronto
    > > sempre ad andare contro il Sistema
    > >
    > > Poi quando il Sistema gli bussa alla porta della
    > > cantina, capisce che ha fatto l'ennesima
    > cazzata,
    > > ed a quel punto capisce anzi realizza di essere
    > > neanche un CO.CO.CO.
    > >
    > > A quel punto capisce che con linux ha perso
    > tempo
    > > e torna a windows. Almeno gli è utile per
    > cercare
    > > lavoro.
    >
    > Peccato però che in genere i siti delle banche
    > non siano fatti da cantinari con lo skate sotto
    > il braccio ma da aziende piene di markettari
    > tirati a lucido con giacca e cravatta, buoni solo
    > a vendere fumo.

    non fatti, ma attaccati

    per il venditori di fumo ti quoto
    non+autenticato

  • - Scritto da: Anonimo
    >
    > Peccato però che in genere i siti delle banche
    > non siano fatti da cantinari con lo skate sotto
    > il braccio ma da aziende piene di markettari
    > tirati a lucido con giacca e cravatta, buoni solo
    > a vendere fumo.

    Oggi sono stati capaci di dirmi che il fatto che nella pagina che vedevo mancasse la possibilita' di scegliere un'opzione era colpa mia, che evidentemente il mio browser sbagliava a prendere la pagina dalla cache ...


    peccato che ovviamente io non ho le pagine della banca nella cache!!!!
    non+autenticato
  • Tu si che hai capito tutto sul cracking, un vero esperto! Guarda che un autentico cracker sguazza bene sia con Linux che con Windows, l'importante è raggiungere l'obbiettivo, sai cosa gliene frega del sistema operativo... Rotola dal ridere
    non+autenticato

  • - Scritto da: Anonimo
    > Tu si che hai capito tutto sul cracking, un vero
    > esperto! Guarda che un autentico cracker sguazza
    > bene sia con Linux

    >>>>che con Windows,


    HAHAHAHAHAHAHAHAHAHAHAHAHAHA

    >l'importante
    > è raggiungere l'obbiettivo, sai cosa gliene frega
    > del sistema operativo... Rotola dal ridere

    Fan Linux
    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > > Tu si che hai capito tutto sul cracking, un vero
    > > esperto! Guarda che un autentico cracker sguazza
    > > bene sia con Linux
    >
    > >>>>che con Windows,
    >
    >
    > HAHAHAHAHAHAHAHAHAHAHAHAHAHA
    >
    > >l'importante
    > > è raggiungere l'obbiettivo, sai cosa gliene
    > frega
    > > del sistema operativo... Rotola dal ridere
    >
    > Fan Linux

    Ecco!! L'hai appena ammesso!!
    Linux è il sistema operativo dei ladri, mentre Windows è il sistema operativo di tutti gli altri: impiegati, professionisti, studenti, lamer, utonti, casalinghe, mafiosi.
    non+autenticato
  • > Ecco!! L'hai appena ammesso!!
    > Linux è il sistema operativo dei ladri, mentre
    > Windows è il sistema operativo di tutti gli
    > altri: impiegati, professionisti, studenti,
    > lamer, utonti, casalinghe, mafiosi.

    Sono un utente Linux e desidererei sapere dalla redazione come devo comportarmi per procedere legalmente nei confronti di questo signore
    non+autenticato

  • - Scritto da: Anonimo
    > > Ecco!! L'hai appena ammesso!!
    > > Linux è il sistema operativo dei ladri, mentre
    > > Windows è il sistema operativo di tutti gli
    > > altri: impiegati, professionisti, studenti,
    > > lamer, utonti, casalinghe, mafiosi.
    >
    > Sono un utente Linux e desidererei sapere dalla
    > redazione come devo comportarmi per procedere
    > legalmente nei confronti di questo signore

    A bocca aperta
    non+autenticato
  • > Tools, template belli e pronti per il cantinaro
    > di turno con lo skate sotto il braccio, pronto
    > sempre ad andare contro il Sistema
    >

    spiegami ora cosa c'entra la cantina con lo skate e con il sistema...
    sono almeno 20 anni che non vedo piu' gli adesivi "skate is not a crime"
    ma forse hai solo 16 anni e guardi un sacco di tivvu'
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 8 discussioni)