settembre 20, 2012
A Caccia dei Phishers!
Inizio il mio Post chiarendo chi sono i “Phishers“, in modo da rendere più semplice ed interessante la lettura. Si tratta di crimanali informatici che utilizzano numerose tecniche per attirare gli utenti sui propri siti “taroccati”.
Non riesco a spiegarmi bene il perché, ma è capitato che fin dai primi momenti dalla comparsa di Internet sia sempre esistito un atteggiamento stereotipato nei confronti di tutte le cose inerenti il World Wide Web. Questo atteggiamento è quello del considerare la rete poco più di un giocattolo, ed i virus da essa contenuti nel migliore dei casi sono ritenuti alla stregua di un gioco, nel peggiore dei casi come atti di teppismo. Tuttavia, la realtà è completamente diversa. Soprattutto ultimamente.
Ricordate il virus Cascade ed altri simili virus? Ah, tutti innocenti ed impreparati nei confronti di quello che stava per succedere. Ancora un paio di decenni e gli hackers avrebbero cominciato a rubare dati, ad infettare i computers con Trojans attraverso zombie networks , ed a manipolare conti bancari. Ed oggi siamo arrivati agli attacchi contro attacchi contro sistemi industriali, militari ed infrastrutturali. Ma che bei giocattoli!
Abbiamo bisogno di cancellare al più presto questo tipo di stereotipi. Sbagliate impressioni conferiscono al cybercrime una aura romantica, che attrae i giovani e crea numerosi nuovi aspiranti hackers. Non riesco riesco davvero ad immaginare né perchè sia interessante per loro né per quanti anni potrebbero finire in prigione.
Poi vi è un altro stereotipo: che il cybercrime paghi, e che i loro autori non vengano mai catturati. Romanticismo! Ok, è vero che molti anni fa in molte nazioni i crimini informatici non fossero spesso adeguatamente perseguiti; adesso però la situazione è mutata: i tutori della legge dispongono attualmente sia dell’esperienza sia delle conoscenze necessarie, hanno compiuto passi da gigante negli studi sui crimini informatici (una sorta di cyber CSI) ed hanno stretto buoni rapporti di lavoro con i professionisti (del settore), mettendosi così in condizione di risolvere un cybercrime dietro l’altro.
Siamo sempre disposti ad aiutare le forze dell’ordine nazionali ed internazionali quando ce lo richiedono. Sono certo che lo sviluppo di tale collaborazione sia fondamentale per il successo nella lotta contro il cybercrime, perché le compagnie che si occupano di sicurezza informatica sono quelle che possiedono le competenze necessarie.
Ora, lasciate che vi esponga un esempio di come funziona in Russia.
Proprio recentemente il Ministero russo degli Affari Interni (MVD) ed il Servizio di Sicurezza Federale (FSB), con la qualificata assistenza dei nostri esperti (Kasperky Lab) della Cybercrime Investigation Unit (CIU) hanno portato a termine con successo un caso criminale di phishing.
I colpevoli sono stati individuati e condannati, è stata garantita la giustizia ed è stato messo a segno un altro punto contro le fantasie romantiche sulla criminalità informatica. O almeno è quello che mi auguro!
Questo caso si sarebbe concluso come tanti altri, se non fosse stato per una circostanza: è stato il primo caso per phishing in Russia la cui inchiesta è stata portata a conclusione. All’inizio sembrava del tutto irrealistico sperare di risolvere un caso simile in tribunale, al massimo era lecito aspettarsi che fossero scoperti gli attori più bassi della gerarchia criminale.
La storia iniziò nella primavera del 2010, presentando tutte le caratteristiche di uno scenario classico di phising:
Una coppia di S.Pietroburgo aveva acquistato un malware Trojan di tipo Qhost attraverso canali criminali. Hanno iniziato ad infettare computers, utilizzando i Trojans per reindirizzare le vittime verso un sito fasullo. Lì, le vittime hanno rivelato involontariamente i codici per l’accesso ai propri conti correnti bancari. I cyber-criminali hanno quindi avuto accesso ai conti, ed incassato nel corso del tempo. Fino a quando non sono stati catturati.
Ciò che sorprende è che i criminali erano in grado di aggirare la doppia autenticazione (two factors authentication) e le notifiche al telefono cellulare tramite SMS – ed in diversi modi.
Ad esempio, è stata fatta alle vittime una chiamata apparentemente proveniente da una banca durante la quale è stato richiesto di inserire un codice testuale per “annullare un trasferimento erroneo”. Nel caso di alcune delle banche colpite, i criminali hanno creato sul falso sito web alcuni specifici campi fasulli per l’inserimento di dati da una tabella di differenti codici; i codici venivano richiesti diverse volte (notificando un errore nella precedente digitazione), ed in questo modo sono stati ottenuti molti codici utili per ulteriori operazioni.
L’inchiesta ha rivelato che più di 170 persone sono state vittime della truffa in Russia, con una perdita totale di 13 milioni di rubli (circa mezzo milione di dollari). Quella di sopra è la versione ufficiale. Diamo adesso un’occhiata a ciò che è veramente successo.
Questa storia non ha precedenti. In precedenza, si pensava che fosse impossibile in Russia presentare accuse penali in materia di phishing.
Per fortuna, è stato deciso che qualcosa doveva essere fatto per cambiare tutto questo, ed è qui che entriamo in gioco. Ci è stato chiesto di condurre la perizia tecnica e di fornire la nostra analisi. Il consorzio bancario ci ha fornito tutti i dati necessari per le ricerche ed è stato coinvolto in tutte le fasi, mentre il Centro per la Sicurezza Informatica del FSB ha condotto le indagini, affidando il caso al proprio miglior detective. Ha funzionato! E’ stato aperto un procedimento penale, ed il Comitato Investigativo della MVD ha formato una squadra.
Ad ogni modo, aprire un caso non equivale affatto a chiuderlo (in modo soddisfacente). La maggioranza delle indagini su reati informatici in Russia si dissolvono a causa della mancanza di competenze specifiche da parte degli addetti ai lavori. Ma, per risolvere questo caso, i detectives hanno frequentato un corso speciale di due mesi sulla sicurezza informatica, assistiti da noi e dal consorzio bancario durante tutte le fasi, al massimo delle nostre possibilità.
Quello che è necessario in un caso come questo, è rimanervi “dentro” fino a quando non approda in tribunale. Ma è proprio in questo senso che normalmente si è soliti compiere l’errore più grande – i detective sono lasciati senza sostegno, l’inchiesta ed il caso si sgretolano fino a finire in pezzi. Questa volta è stato tutto diverso: il nostro CIU era sempre a disposizione per eventuale sostegno – sono stati effettuati numerosi viaggi di lavoro, compilate migliaia di pagine per l’analisi tecnica delle indagini e vi è stata costante collaborazione.
Anche se un pò prolisso, il caso è stato portato a termine con successo. Ed anche se i cattivi hanno ricevuto solo multe e condanne sospese, lo sforzo è stato produttivo perché ha permesso di creare un precedente (i casi criminali di phishing possono e devono essere assistiti fino alla fine), e di dotare i detective di conoscenze e competenze adeguate con il nostro aiuto e con quello delle banche. Ed infine, quale miglior monito potrebbe essere rivolto al mondo sommerso dell’informatica ed alle più giovani generazioni affinchè smettano di impegnarsi in un gioco illegale, dannoso e pericoloso e – perché no – facciano un migliore uso delle proprie intelligenze, perseguendo scopi puliti, positivi ed innocui.