Centrale d’allarme per attacchi informatici 1
OGGETTO - PHISHING SU BANCHE ITALIANE
Comunicazione del: 24/05/05
Identificativo 0008
Data Scoperta: 23/05/05 aggiornata: 24/05/05
Denominazione: Acquisizione per scopi illegali di dati personali di clienti di banche e
organizzazioni finanziarie attraverso false e-mail e siti internet contraffatti.
Tipologia: Frode on line
Risorse
minacciate:
Dati di accesso (user ID e password) dei clienti di Internet banking, numeri
di carta di credito, identità elettronica del cliente
INFORMAZIONI TECNICHE
Nota Sono stati rilevati attacchi di phishing mirati alla clientela di alcune banche
italiane. Si ritiene pertanto utile integrare la precedente segnalazione relativa
a questo tipo di frode, riportando di seguito la descrizione delle principali
caratteristiche di un attacco che è stato registrato in data 23/05/05.
Le e-mail di phishing sono state diffuse in modo molto massivo, ma sono
state singolarmente indirizzate alle potenziali vittime, in modo da
oltrepassare l’eventuale filtro anti-spam presente sul server di posta
elettronica del destinatario. Tali comunicazioni sono scritte in lingua inglese
e sono composte in formato HTML, sebbene appaiano come se fossero email
di testo. Né immagini, né logo della banca vengono infatti riportati. Il
collegamento inserito nella e-mail riporta il nome della banca oggetto
dell’attacco, sebbene tale nome non sia presente nel collegamento che viene
visualizzato nella barra del browser in basso a sinistra. Dal collegamento si
raggiunge il sito istituzionale della banca, sopra al quale si apre un pop-up
malevolo, in lingua italiana e con il logo della banca, che richiede di inserire
le voci: codice cliente, codice segreto, password dispositiva e doppie chiavi
di sicurezza. Sono stati rilevati e bloccati più attacchi preparati secondo
questo stesso schema, che differiscono per l’indirizzo del sito cui punta il
collegamento inserito nella e-mail di adescamento.
Giova inoltre ricordare che, nel contesto extra-nazionale, il phishing è un
fenomeno in continua evoluzione verso livelli di sofisticazione tecnologica
sempre più elevati. In aggiunta al proliferare di siti di phishing dai quali
viene scaricato nel computer della vittima uno spyware in grado di
effettuare key-logging (vd. alert n. 4), si segnala la presenza di tecniche di
compromissione dei server DNS, che vengono forzati ad attribuire al nome
reale di un sito affidabile un indirizzo IP che si riferisce ad un sito malevolo,
dirottando su quest’ultimo il traffico diretto al primo (pharming).
Centrale d’allarme per attacchi informatici 2
CONSIGLI
Per la protezione
e la prevenzione
Si riporta di seguito un’integrazione ai decaloghi diffusi con la precedente
segnalazione, da valutare per impostare ulteriori livelli di protezione
dell’identità elettronica dei clienti. Potrebbe risultare opportuno:
– Info/formare il call centre della banca sul supporto da fornire e sulle
procedure da comunicare alla clientela nel caso in cui si verifichi un
attacco di phishing.
− Identificare possibili attività per monitorare le operazioni dispositive dei
conti correnti online, in modo da evidenziare eventuali transazioni
anomale.
− Definire una procedura per aggiornare rapidamente il sito di homebanking
con l’informativa relativa all’attacco in corso.
RIMOZIONE
Ad integrazione di quanto già riportato in questa sezione nella segnalazione
precedente, si ritiene possa essere utile:
– Definire una procedura per bloccare gli account appartenenti ai clienti
che dichiarano di aver fornito i propri dati in seguito ad attacchi di
phishing.
– Comunicare repentinamente alla Polizia Postale e delle Comunicazioni i
dati in proprio possesso circa eventuali attacchi in corso, in modo da
consentire la chiusura dei siti di phishing.
REFERENZE
– Alert n. 3, disponibile sul sito
www.abilab.it, nella sezione Naviga ►
Sulle aree di approfondimento ► Centrale d'allarme per attacchi
informatici ► Documenti finali.
– Alert n. 4, disponibile sul sito
www.abilab.it, nella sezione Naviga ►
Sulle aree di approfondimento ► Centrale d'allarme per attacchi
informatici ► Documenti finali.
– Circolare tecnica ABI n. 2 sul phishing, disponibile sul sito
www.abilab.it, nella sezione Naviga ► Sulle aree di approfondimento
► Centrale d'allarme per attacchi informatici ► Documenti finali.
Modalità ibrida
