FAQs - phishing

Le FAQ di GARR CERT

Typosquatting

Descrizione

Il typosquatting è un genere di attività fraudolenta attuata da alcuni anni. Chi "tende la trappola" del typosquatting confida nei possibili errori di digitazione che possono verificarsi durante l'apertura di connessioni remote. L'inganno viene attuato registrando nomi di dominio molto simili a nomi già in uso, per esempio:

domain name originale:

  • .cert.garr.it domain

name simili:

  • .cert.gar.it
  • .cert.garr.ir
  • .cer.garr.it

Chi opera queste registrazioni elabora un numero elevato di permutazioni del domain name, poi ne effettua delle registrazioni DNS con wildcard in modo che qualsiasi hostname venga risolto (generalmente in uno stesso indirizzo IP).

Il sistema a cui si viene diretti è una specie di honeypot in grado di rispondere ai tipi di client più comuni (www, webmail, ssh). E' disponibile una lista di alcuni domini vittime del typosquatting.

Scopo

Il typosquatting e' attuato per i seguenti scopi:

  • carpire credenziali di accesso (phishing) per ogni tipo di servizio (ssh, webmail ecc..)
  • indurre la navigazione su siti web malevoli
  • indurre al download di malware

Azioni di contrasto

Procedura di contestazione presso il Register: nic.it

Se vi accorgete che sono stati registrati nomi di dominio simili al vostro, quello che potete fare è compilare un modello di opposizione come questo:

Modello Indicativo di Opposizione (pdf)

Questo modello deve essere compilato, per ogni dominio da contestare, dal rappresentante legale del Vostro ente ed inviato al Registro, via fax (n. 0503153448) e via posta prioritaria (l'indirizzo del Registro è indicato nel modulo). La richiesta che invierete verrà analizzata dallo studio legale del Registro del ".it". Tale procedura Vi consentirà di rappresentare al Registro l'esistenza di un pregiudizio a causa della registrazione e/o assegnazione del nome a dominio riguardante il Vostro ente all'attuale Registrante. Con l'attivazione di tale procedura, l'attuale Registrante, pur rimanendo nella piena titolarità del nome a dominio, non può realizzare la modifica del Registrante del nome a dominio stesso, quindi cedere il dominio, se non a favore della parte che ha introdotto la procedura. Il dominio risulterà in sostanza momentaneamente "congelato". L'opposizione è condizione necessaria per l'introduzione della procedura di riassegnazione di un nome a dominio, quindi è il primo passo da fare. Dopo qualche giorno dall'invio della richiesta di contestazione, riceverete comunicazione da parte del Registro circa lo stato dell'opposizione sul nome a dominio che riguarda il Vostro ente.

- Segnalazione di attività illecita (phishing) presso l'host provider 

- Filtraggio a livello IP:

l'applicazione di filtri a livello IP o di typo-list che blocchino la risoluzione dei domini fasulli possono essere soluzioni tampone e applicabili solo su scala locale (gli utenti che si collegano da reti esterne non sono protetti).

- Utilizzo di tool residenti su client:

si tratta di strumenti ancora in fase di sviluppo http://blogs.techrepublic.com.com/security/?p=543 Microsoft URLtracer 
Informazione degli utenti circa l'esistenza della minaccia.

Informazioni dalla rete

Gli avvocati si danno al typosquatting
Typosquatting, domini, accesso agli atti
Accesso ai domini in typosquatting, sospensiva respinta


Come si può riconoscere una email di phishing?
Tratto dalla rubrica Risponde Cecchini - GARR News 5 - Dicembre 2011

Qualche mese fa, dei messaggi come quello mostrato qui sotto sono stati inviati ad un migliaio di nostri colleghi (al posto dei puntini c’era il nome dell’istituzione). Pensavo che nessuno avrebbe avuto problemi a classificarlo come una delle tante varianti di messaggi di phishing, eppure, almeno in 5 o 6 - e non stiamo parlando di abitanti delle foreste amazzoniche - hanno aperto il link e fornito i dati del loro account. Evidentemente c’è ancora molta strada da fare nell’educazione dei nostri utenti. Ecco alcune semplici regole per capire se il mail che state leggendo è un tentativo di phishing o no.

Sospettate sempre di richieste urgenti di informazioni finanziarie

A parte le vincite di milioni di euro o provvigioni favolose per il trasferimento di eredità di ricche vedove tramite il vostro conto corrente, un caso abbastanza comune è un mail da un vostro conoscente che vi scrive di trovarsi all’estero, di essere stato derubato e vi prega di spedirgli un po’ di soldi per potersi comprare il biglietto di ritorno. Ricordate che, a meno che il messaggio non sia firmato digitalmente, non c’è nessuna sicurezza sull’identità del mittente

Diffidate se ci sono link cliccabili.

Banche e altre organizzazioni commerciali, di solito, non inseriscono link nei loro messaggi. Se ci sono link, esaminateli con grande attenzione, tenendo conto che quello che vedete non è necessariamente l’indirizzo che si aprirà nel browser. Se posizionate il mouse sul link, in basso apparirà l’indirizzo reale (attenzione, non sempre funziona!). Verificate che inizi con ‘’https://’’ e che sia autentico, non, ad esempio, www.paypal.finto.tw o www.ebbay.it (cioè quasi uguale a quello vero), o addirittura numerico.

In ogni caso è sempre buona norma non cliccare sui link, ma digitarli direttamente nel browser. Se invece avete cliccato, controllate l’indirizzo che appare nella barra: inizia con https? è quello esatto? le informazioni nella finestra che si aprirà quando cliccate sul lucchettino o simbolo equivalente corrispondono a quello che vi aspettate?

Se ci sono form da riempire con vostre informazioni, si tratta quasi sicuramente di un tentativo di phishing.

Questo tipo di informazioni non viene mai legittimanente richiesto per mail, bensì collegandosi ai siti web ufficiali e con connessioni cifrate (l’indirizzo inizia con “https”). Altre considerazioni più ovvie:

  • il testo sembra uscito da google translate?
  • il mittente è plausibile? (nell’esempio di sopra, perché il “Webmail di sistema” ha come indirizzo kelseyb@bu.edu?) 
  • perché i nostri italianissimi system manager ci scrivono in inglese?

Infine, come regole generali, tenete aggiornato il browser e il client di posta se non usate webmail e abilitate sempre le protezioni antifrode.


Quali sono le più gravi debolezze di una VPN (Virtual Private Network)?
Tratto dalla rubrica Risponde Cecchini - GARR News 8 - Maggio 2013

Credo che praticamente tutti concordino sull’importanza, se non necessità, delle VPN: attenzione però ai loro punti deboli, per non cadere in errori da eccesso di confidenza.

Una VPN è un obiettivo molto appetitoso perché permette di accedere direttamente alla rete interna dell’organizzazione e se, come spesso accade, gli strumenti di intrusion detection sono esterni al server VPN, non sono in grado di verificarne il traffico cifrato. I principali tipi di VPN sono essenzialmente due: uno basato su IPSec e l’altro su SSL/TLS. Il primo opera al livello rete (livello 3 OSI), il secondo utilizza il TCP/IP; il primo richiede client specifici, il secondo un normale browser web.

Come al solito, l’anello più debole della catena è l’utente, il metodo con cui si autentica e come vengono conservate le credenziali di accesso. Chi si connette usa il proprio pc, che viene quasi sempre impiegato anche per altri usi: non è certo impossibile che ospiti un virus o un trojan, che così possono avere accesso alla rete interna dell’organizzazione. Passando al meccanismo di autenticazione, e questo ovviamente è un discorso molto più generale, se si continuano ad usare le classiche username e password, si è vulnerabili quanto meno, ma non solo, ad attacchi di phishing (COME SI PUÒ RICONOSCERE UNA EMAIL DI PHISING?). E ancora: dove e come sono conservate le credenziali di accesso? Qualche volta la configurazione del client permette lo scambio di dati simultaneo sia sulla rete interna privata, sia su quella pubblica (split tunnelling). Le prestazioni sono migliori, ma un attaccante dalla rete pubblica che riesca a compromettere la macchina otterrebbe un accesso immediato alla rete interna.

Per un’analisi dettagliata delle debolezze di una VPN IPSec, vi consoglio la lettura di questo documento [v.gd/DM1mEN]

Limitandosi adesso delle SSL VPN, uno dei loro punti di forza, che cioè non richiedono client specifici e quindi possono essere utilizzate anche da postazioni pubbliche, è anche la loro maggiore debolezza. Al rischio dei trojan, di cui ho già parlato, si aggiunge quello dei keylogger (COSA POSSO FARE PER NON CORRERE TROPPI RISCHI IN UN INTERNET CAFÉ?)e della mancata disconnessione: la sessione rimasta aperta può essere utilizzata da chi successivamente ha accesso fisico alla macchina. E ancora, se l’utente non verifica con attenzione le credenziali del server VPN a cui si sta collegando (e tutti sappiamo che spesso è così), sono possibili attacchi di tipo manin- the-middle, in cui cioè l’attaccante presenta un falso VPN gateway che gli permette di carpire le credenziali dell’utente o addirittura di intercettare tutto il suo traffico. Per un’analisi critica delle VPN SSL suggerisco l’articolo di Enders e Stewart: [v.gd/a44xju].

 

 

 


Quali sono le più gravi debolezze di una VPN (Virtual Private Network)?
Tratto dalla rubrica Risponde Cecchini - GARR News 8 - Maggio 2013

Credo che praticamente tutti concordino sull’importanza, se non necessità, delle VPN: attenzione però ai loro punti deboli, per non cadere in errori da eccesso di confidenza.

Una VPN è un obiettivo molto appetitoso perché permette di accedere direttamente alla rete interna dell’organizzazione e se, come spesso accade, gli strumenti di intrusion detection sono esterni al server VPN, non sono in grado di verificarne il traffico cifrato. I principali tipi di VPN sono essenzialmente due: uno basato su IPSec e l’altro su SSL/TLS. Il primo opera al livello rete (livello 3 OSI), il secondo utilizza il TCP/IP; il primo richiede client specifici, il secondo un normale browser web.

Come al solito, l’anello più debole della catena è l’utente, il metodo con cui si autentica e come vengono conservate le credenziali di accesso. Chi si connette usa il proprio pc, che viene quasi sempre impiegato anche per altri usi: non è certo impossibile che ospiti un virus o un trojan, che così possono avere accesso alla rete interna dell’organizzazione. Passando al meccanismo di autenticazione, e questo ovviamente è un discorso molto più generale, se si continuano ad usare le classiche username e password, si è vulnerabili quanto meno, ma non solo, ad attacchi di phishing (COME SI PUÒ RICONOSCERE UNA EMAIL DI PHISING?). E ancora: dove e come sono conservate le credenziali di accesso? Qualche volta la configurazione del client permette lo scambio di dati simultaneo sia sulla rete interna privata, sia su quella pubblica (split tunnelling). Le prestazioni sono migliori, ma un attaccante dalla rete pubblica che riesca a compromettere la macchina otterrebbe un accesso immediato alla rete interna.

Per un’analisi dettagliata delle debolezze di una VPN IPSec, vi consoglio la lettura di questo documento [v.gd/DM1mEN]

Limitandosi adesso delle SSL VPN, uno dei loro punti di forza, che cioè non richiedono client specifici e quindi possono essere utilizzate anche da postazioni pubbliche, è anche la loro maggiore debolezza. Al rischio dei trojan, di cui ho già parlato, si aggiunge quello dei keylogger (COSA POSSO FARE PER NON CORRERE TROPPI RISCHI IN UN INTERNET CAFÉ?)e della mancata disconnessione: la sessione rimasta aperta può essere utilizzata da chi successivamente ha accesso fisico alla macchina. E ancora, se l’utente non verifica con attenzione le credenziali del server VPN a cui si sta collegando (e tutti sappiamo che spesso è così), sono possibili attacchi di tipo manin- the-middle, in cui cioè l’attaccante presenta un falso VPN gateway che gli permette di carpire le credenziali dell’utente o addirittura di intercettare tutto il suo traffico. Per un’analisi critica delle VPN SSL suggerisco l’articolo di Enders e Stewart: [v.gd/a44xju].

 

 

 

Questo sito utilizza i cookie per migliorare servizi ed esperienza dei lettori. Se decidi di continuare la navigazione consideriamo che accetti il loro uso. Per maggiori informazioni sull'uso dei cookies e su come eliminarli leggi l'informativa estesa

Abbiamo modificato alcune delle nostre politiche per rispondere ai requisiti del nuovo Regolamento Europeo per la Protezione dei Dati Personali (GDPR). In particolare abbiamo aggiornato la Privacy Policy e la Cookie Policy per renderle più chiare e trasparenti e per introdurre i nuovi diritti che il Regolamento ti garantisce. Ti invitiamo a prenderne visione.

Informativa sulla privacy