RSA ANTI-FRAUD COMMAND CENTER

GIUGNO 2007

Le frodi online stanno evolvendo. Phishing e pharming rappresentano uno dei più sofisticati e organizzati crimini

tecnologici che le organizzazioni che hanno attività online si trovano a dover affrontare. I criminali informatici hanno

nuovi strumenti a loro disposizione per perpetrare gli attacchi e sono in grado di adattarsi più rapidamente che mai.

L’Anti-Fraud Command Center (AFCC) di RSA è una struttura attiva 24 ore su 24, 7 giorni su 7 per individuare,

monitorare e rendere inoffensivi attacchi phishing, pharming e Trojan tentati ai danni di oltre 200 istituzioni di tutto il

mondo. AFCC ha sventato a oggi oltre 32.000 attacchi di phishing ed è una fonte di informazioni preziosa su questo

fenomeno e sulle altre emergenti minacce alla sicurezza.

Le informazioni contenute in questo documento sono tratte dal repository di AFCC. Ogni grafico include una breve analisi

del trend evidenziato fatta dagli esperti del centro di controllo anti-phishing di RSA.

I trend di Giugno 2007

Scoperto un “Phishing Kit” pronto all’uso

A inizio giugno, l’Anti Fraud Command Center di RSA ha scoperto l’esistenza di un nuovo tipo di phishing kit. Si tratta di

un kit costituito da un unico file che permette di mettere in piedi un sito di phishing completo su un server compromesso

con un semplice “doppio click”, in modo simile a un file di installazione .exe.

I tradizionali siti di phishing solitamente sono costituiti da diversi file installati su un server compromesso dove viene

ospitato l’attacco. I tipici file sono codici PHP, pagine HTML, immagini come il logo di una banca. I file devono essere

installati uno per uno nelle rispettive directory sul server controllato dal phisher. La procedura è abbastanza semplice, ma

bisogna accedere al server compromesso diverse volte e installare i file manualmente.

Il nuovo phishing kit pronto all’uso scoperto da RSA riduce il tempo e lo sforzo del phisher automatizzando il processo

d’installazione. Il kit è un unico file di codice PHP che deve essere lanciato sul server compromesso una sola volta e

automaticamente crea le relative directory e installa tutti i file che sono associati con il sito di phishing specifico. In pochi

secondi viene creato un sito di phishing completo e funzionante. Durante l’analisi del kit nei laboratori di RSA, ci sono

voluti appena 2 secondi per crearne uno!.

Nello specifico, il kit conteneva un certo numero di file PHP e HTML che l’AFCC ha da quel momento ritrovato in diversi

attacchi di phishing, tutti indirizzati alla stessa istituzione finanziaria. L’AFCC ha già bloccato gli attacchi così come

l’indirizzo email del phisher, che era stato scoperto nel codice PHP.

Una maggiore automazione degli attacchi di phishing

In un’ottica di automatizzare completamente il processo di installazione di un sito di phishing, il phishing kit pronto all’uso

costituisce un’ulteriore evoluzione nell’ambito delle frodi online. RSA calcola che usando kit come questo, i truffatori

saranno in grado di automatizzare ulteriormente il processo di compromissione dei server e di creare molti più siti di

phishing. Inoltre, i truffatori che usano il kit hanno bisogno di accedere solo una volta al server compromesso, cosa che

riduce di molto il rischio di essere identificati dai sistemi di sicurezza.

In aggiunta, ci sono al momento diversi metodi che consentono di ricercare automaticamente server vulnerabili ed

eseguire l’upload dei file senza attaccare il server stesso. RSA calcola che la potenziale combinazione di questi metodi -

individuazione e compromissione dei server vulnerabili con kit di phishing pronti all’uso – farà drasticamente diminuire il

lavoro necessario ai phisher per creare e lanciare nuovi attacchi.

1. I paesi più colpiti da attacchi di phishing alle istituzioni finanziarie

.

2. Trend degli attacchi mensili alle istituzioni finanziarie

4. Principali paesi ospitanti siti usati per gli attacchi

Il numero di banche USA colpite

continua ad essere il più elevato

(70% del totale). E’ poi il quinto

mese consecutivo che la Gran

Bretagna è in seconda

posizione, con un 9% del totale.

In generale, i primi sei posti

della classifica restano invariati.

Perù, Olanda e Sud Africa, che

sono entrate nella classifica a

maggio, continuano ad essere in

coda alla lista.

Contrariamente al trend rilevato in

aprile e maggio, il numero di

istituzioni finanziarie oggetto di

attacco è tornato ad aumentare e

giugno si è così posizionato come

il quarto mese con più attacchi

nell’ultimo anno. L’AFCC di RSA

ha inoltre individuato attacchi

contro 36 organizzazioni mai

attaccate prima d’ora.

Dopo la diminuzione che abbiamo

visto in marzo e aprile, la

percentuale di attacchi ospitati negli

Stati Uniti è aumentata nel mese di

maggio e leggermente anche in

giugno, con una percentuale pari al

59%. La Cina, che a maggio era al

secondo posto (con il 13% del

totale), è uscita dalla classifica dei

primi 10. Hong Kong è passato dalla

quinta posizione del mese scorso

alla seconda, che già aveva

occupato in aprile. Paesi

“tristemente noti” come Germania,

Gran Bretagna e Russia sono

sempre in classifica, mentre Taiwan

e Canada sono le new entry del

mese. L’Italia non è nella classifica

dei primi 10.

Technorati : Rsa, comunicati stampa, sicurezza informatica

Condividi