Sneaky Phishing rompe la doppia autenticazione SMS

Sneaky Phishing vs 2FA

I ricercatori del Certfa Lab hanno individuato una campagna di sneaky phishing,  che potremmo tradurre genericamente come il phishing “subdolo”, che e’ in grado di compromettere i sistemi di protezione di accesso ai servizi on-line basati sulla doppia autenticazione con SMS.

Come abbiamo gia descritto in un recente articolo, anche i migliori sistemi di autenticazione online , tramite il 2FA, ossia il sistema di autenticazione a doppio fattore, soprattutto quello per cui interagiamo con il servizio a cui vogliamo collegarci tramite il doppio uso di Login+SMS codice, e’ ormai a rischio, motivo per cui sono nate le chiavette come la Yubikey o, piu’ recentemente, la Titan Security Key di Google.

Ma oggi purtroppo nuovi pericoli affliggono la gestione di accesso tramite SMS, infatti sono arrivate nuove tipologie di attacco informatico che possono invalidare il livello di sicurezza di questo sistema.

Oggi parleremo della truffa chiamata “Sneaky phishing”. Prima di questo nuovo attacco informatico, l’autenticazione a due fattori (two-factor authentication) era considerata il sistema di protezione più sicuro per proteggere i propri account, soprattutto quelli per l’accesso ai servizi di home banking, e proprio l’autenticazione basata su SMS negli ultimi tempi è stata colpita da vari attacchi “man-in-the-middle” e “man-in-the-browser”, nonché da frodi nello scambio di SIM di famosi provider di telefonia mobile.

L’attacco Sneaky phishing è stato creato attorno alla vecchia idea di inviare un falso allarme di accesso non autorizzato ad un account vittima, utilizzando un indirizzo generico ma dall’aspetto plausibile, come ad esempio:
” notifications.mailservices@gmail.com ”

L’inganno iniziale di questo attacco , che quindi sfrutta in partenza la tecnica del Phishing , sfrutta il fatto che Google, ma anche Yahoo e tutti gli altri grandi nomi di Internet, inviano spesso avvisi di sicurezza per informare i proprio utenti di un accesso sospetto ai rispettivi account da computer o dispositivi diversi da quelli utilizzati normalmente .

All’interno di questi messaggi possono trovarsi diverse altre tecniche di cattura dei dati di accesso per la violazione di un’account, quali ad esempio:

  • pagine e file di phishing ospitate su sites.google.com, un sottodominio di Google
  • invio dell’avviso e-mail come immagine cliccabile dell’add-on Screenshot di Firefox, piuttosto che come URL in modo da bypassare i sistemi di anti-phishing
  • tracciamento di chi ha aperto le e-mail incorporando un minuscolo pixel 1×1 cosiddetto “beacon” che viene ospitato e monitorato da un sito web esterno

…..etc……etc……..

Presumibilmente è stato così per la maggior parte dei loro bersagli, nella pratica i criminali hanno utilizzato una pagina web di phishing costruita ad hoc che imitava l’accesso 2FA del fornitore del servizio on-line utilizzato dalle vittime per dirottarle usando le tecniche di Phishing viste sopra.

COME DIFENDERSI ??

I sistemi di autenticazione a due o più fattori rimangono ancora i più efficaci sistemi per proteggere i propri account on-line, ma quanto successo , e si e’ dimostrato, con questa campagna di sneaky phishing conferma che l’SMS non è più l’opzione migliore per effettuare la verifica di accesso. Google, ad esempio, non la propone più ai suoi nuovi utenti, a meno che non sia stata impostata su vecchi account Gmail, ma spinge perche’ vengano usati sistemi di token hardware FIDO U2F, in quanto può essere bypassato solo accedendo fisicamente alla secure key.

Qualcuno potra’ obiettare che anche il token puo’ essere violato, se ad esempio viene perso o rubato ed a quel punto l’ultimo baluardo rimarrebbe la “robustezza” della nostra password…..si torna sempre li….l’errore umano.

Ma almeno percentualmente il sistema a doppio fattore gestito con un token hardware rimane, al momento, il sistema piu’ efficace di protezione dei nostri dati.

Torniamo adesso a parlare di quelli che possono essere degli utili consigli per difendersi :

  • prima di tutto, nel momento in cui riceviamo una e-mail, a prima vista lecita, dove ci viene richiesta un’autenticazione, verifichiamone sempre la provenienza e il contesto e poniamoci velocemente alcune domande: 1) Ho cambiato qualche parametro nei settaggi del mio account? 2) Sto creando un account o mi sono registrato ad un nuovo servizio? Se la risposta sara’ “niente di tutto questo” Allora lnon rimane che cestinarla immediatamente, poiche’ si trattera’ sicuramente di una e-mail potenzialmente pericolosa;
  • disabilitiamo il caricamento in automatico delle immagini. Molti fornitori di webmail offrono questo tipo di funzionalità, sfruttiamola;
  • se pensiamo di utilizzare applicazioni di terze parti per l’autenticazione, verificatene sempre la provenienza, usate soltanto URL/store ufficiali per i vostri download;
  • nel caso in cui, a maggior ragione, la sicurezza sia qualcosa di imprescindibile (in ambito personale o lavorativo), valutate l’idea di utilizzare dei token fisici come quelli descritti qui

Quello che bisogna ricordarsi sempre e’ che il Business del crimine e’ sempre pronto e molto spesso un passo avanti a tutti e chi ci lavora si allena quotidianamente…….fatelo anche voi 😉

Esiste una difesa efficace per l’OSINT?

Open Source-INTelligence

Open Source Intelligence

La Open Source INTelligence, acronimo OSINT (in italiano: “Intelligence delle fonti libere”), è l’attività di raccolta d’informazioni mediante la consultazione di fonti di pubblico accesso.

Cit.
“… OSINT is information that has been deliberately discovered, discriminated, distilled, and disseminated to a select audience, generally the commander and his/her immediate staff, in order to address a specific question. …”

Non ci fermeremo ad analizzare come funziona l’OSINT, per questo argomento ci sono decine di libri e centinaia di articoli che dettagliano le tante, tantissime tecniche (discipline) che compongono questa interessante metodologia.

Dunque la domanda e’ COME POSSIAMO DIFENDERCI?

Certamente il primo consiglio e’ quello di selezionare sempre con attenzione che cosa decidiamo “volontariamente” di condividere con il mondo, su quali social, con quali metodologie ed allo stesso tempo rimanere sempre aggiornati sui continui cambiamenti dei regolamenti dei social network a cui diamo con tanta gioia e facilita’ il controllo dei nostri ricordi, poiche’ alla fine e’ questo che ci muove, la “comodita’ ” di avere in un posto  foto/pensieri “momenti” unici che SPERIAMO rimarranno’ per sempre perche’ ci fidiamo che quei social rimarranno a lungo e si prenderanno cura delle “nostre cose”.

Andiamo avanti……come sopra indicato bisogna partire facendo un controllo attento, continuo ed accurato sulle Impostazioni Privacy del proprio utente nei vari Social Network;

Possiamo contare anche su una serie di servizi come HaveIBeenPwned, Google Alert, Talkwalk Alerts, Mention o MeltWater che permettono di avere sotto controllo la propria identità in rete.

In questo gia ricco arsenale possiamo introdurre un’ottimo sistema, il suo nome e’

OPERATIVE-FRAMEWORK

OF e’ un tool scritto in python che ci permette di fare cose davvero interessanti come, per esempio,

  • trovare domini registrati da una specifica mail
  • trovare attivita’ illecite  promosse da uno specifico utente
  • scoprire siti e-commerce truffaldini

….. e molte altre operazioni d’investigazione.

Il progetto e’ disponibile, in due versioni, su Github

  1. Operative Framework
  2. Operative Framework-HD

Le operazioni d’installazione e di configurazione sono ben descritte nelle pagine del progetto di Github, riportate sui link qui sopra. Una volta installati i pacchetti il loro uso e’ simile a quello di Metasploit, ad esempio con il comando “use” possiamo selezionare uno dei tanti moduli preinstallati:

$ use core/modules/email_to_domain

per poter vedere tutte le opzioni necessarie ad eseguire questa operazione bastera’ dare il seguente comando:

$ show_options

invece con il comando “set” possiamo configurare le variabili richieste per il funzionamento del modulo e “run” per lanciare il tutto.

Operative Framework

Operative Framework

Anche l’Operative Framework e’ solo una delle tante possibili armi nel bagaglio dell’OSINT, al punto che potremmo dedicare un’intera rivista elencando ogni singolo strumento a nostra disposizione, dunque con questo articolo ci stiamo soltanto limitando a dare uno sguardo a quei tool che sono fondamentali nella cassetta degli attrezzi di un’investigatore digitale.

Una raccolta di (quasi) tutti i tools disponibili in rete è data da https://osintframework.com, progetto a cui ogni giorno vengono aggiunti nuovi servizi.

IL WIFI TI SPIA ANCHE IN CASA

Wifi_Room_Photo

Wifi Rooms Spy Photo

 

CONTROLLATI H24

Non ci facciamo neppure caso ma oramai viviamo tutti come in ammollo in un denso e fitto mare “Elettromagnetico” continuo H24 e su frequenze diverse; proviamo a pensarci:

  • ci sono i telefonini 3G/4G/5G
  • ci sono le frequenze Radio, quelle Satellitari
  • ci sono le frequenze dei router domestici 2.4 – 5 GHz …. etc

tutte queste interferenze ruotano attorno a noi H24 / 365 giorni

Ma in questo articolo non parleremo delle potenzialita’ dannose di tutto questo, ma dobbiamo tenere presente che, li dove un dottore puo’ vedere danni per la salute, un hacker ci puo’ vedere delle potenzialita’ di controllo, come ad esempio spiare che cosa fanno le persone dentro le loro 4 mura.

Infatti, a differenza degli occhiali truffa degli anni 70/80, che promettevano di poter spiare le persone sotto i loro vestiti, le onde elettromagnetiche dei nostri device casalinghi, e non, che sfruttano le frequenze tra 2.4 – 5 GHz, possono davvero permettere di “vedere” dentro le case, poiche’ case ed uffici ne sono totalmente saturi (anche se noi non le possiamo vedere).

Basti pensare che i movimenti delle persone sono in grado di distorcere i campi elettromagnetici , riflettendo e rifrangendo le onde radio; questo tipo di studi sta diventando cosi importante a tal punto che ci sono ad oggi gia diversi gruppi di ricercatori che hanno portato avanti diversi progetti, con modelli di analisi delle variazioni e perturbazioni dei campi elettromagnetici delle frequenze usate dagli hot-spot casalinghi che permettono di vedere cosa succede dentro una casa, cosi come in una radiografia.

SPIATI IN AZIENDA – Per tenere sotto controllo il movimento degli impiegati non servono telecamere, bastano un paio di router Wi-Fi

Quello che ne sta venendo fuori e’ davvero sorprendente.

Un gruppo di ricerca dell’Universita’ della California (Santa Barbara), guidato da Yanzi Zhu, e’ riuscito a determinare la posizione delle persone presenti all’interno di una stanza, e registrarne i movimenti, basandosi semplicemente sul segnale di una rete WIFI “vista da fuori”, ossia senza essersi prima loggati.
Il tutto utilizzando un semplice telefono Android con installato il software creato dai ricercatori.

Tutto questo, tecnicamente perche’ le onde elettromagnetiche in generale, e quelle degli apparati wifi in particolare, passano attraverso determinati tipi di solidi e non altri.
In particolare muri e pareti, che non contengono metallo o tubi con acqua, risultano essere in pratica particolarmente  “trasparenti”.

I corpi umani, fatti per il 70% di acqua, bloccano il passaggio delle onde radio, riflettendole, un po’
come quando vengono usati i radar. Questo genera un’immagine delle persone che si muovono, come silhouette
in una specie di ecografia tridimensionale, in tempo reale.

Per avere una “telemetria” quasi perfetta, che permetta di seguire tutti i corpi in movimento, non basta una sola fonte ma considerando che in ogni edificio moderno possiamo trovare N campi wifi dei router casalinghi attorno a noi, o dei ripetitori di segnale, li dove la casa e’ piu’ grande di un normale appartamento, potremmo sicuramente riuscire ad avere una immagine piu’ dettagliata che ci permettera’ di posizionare tutti i corpi nello spazio.

Quindi per concludere, se almeno di notte non dovete lavorare o scaricare serie tv, spegnete il wifi, fara’ bene alla salute e sara’ comunque piu’ sicuro.

Facebook Bug Bounty

Facebook Bug-Bounty

Forse non molti sanno che in un periodo cosi proficuo per attacchi hacking di ogni tipo, i colossi del web, tra cui Facebook, hanno istituito interessanti premi per chiunque voglia testare la sicurezza dei loro sistemi, ed affiliati quali:

 

  • Instagram
  • Internet.org/Free Basics
  • Oculus
  • Onavo
  • Progetti open source di Facebook (ad es. osquery)
  • WhatsApp

 

Migliori spiegazioni le potete trovare alla seguente pagina https://www.facebook.com/whitehat
che riporta in modo chiaro quali sono le regole e le modalita’ di svolgimento del “Programma” WHITEHAT

Nella pratica, possiamo dire che i responsabili della sicurezza di Facebook, Instagram e compagnia bella hanno deciso che il miglior modo per verificare il loro buon operato e’ quello di lasciare “carta bianca” a tutti coloro (hacker, whitehat, pirati informatici …) che sono interessati a bucare uno dei due miliardi di account dei loro social.

La ricompensa base e’ di 500 $ ma ben piu’ alta e’ la posta se qualcuno dovesse trovare bug ben piu’ importanti come degli zero-day.

Per exploit di alto impatto , la ricompensa dovrebbe essere di, 40.000 $ se, per impadronirsi dell’account, l’attacco non richiedera’ la ben che minima interazione del proprietario, Si scende invece a 25.000 $ se l’attacco e’ in grado di andare a segno con l’interazione da parte del proprietario dell’account (magari anche solo con un click sul link sbagliato ricevuto via mail…..phishing a go-go).

Buona caccia…..

#FacebookBugBounty

Penetretion Tester Information Gathering

Information-Gathering

Information-Gathering

Una “nuova” tipologia di specialisti si sta gia’ facendo sempre piu’ strada all’interno delle aziende e delle case dei privati, interessati ad aumentare il loro livello di sicurezza, i Penetration Tester (PT).

Ogni PT deve aver ben chiaro e seguire una serie di attivita’ per raggiungere lo scopo finale.
Le “FASI” del PT sono le seguenti :

  • Information Gathering;
  • Vulnerability Assessment;
  • Exploitation;
  • Privilege Escalation;
  • Maintaining Access;
  • Reporting;

Oggi, in questo primo articolo sul PT inizieremo a spiegare i concetti dell’ Information Gathering.

L’Information Gathering o raccolta delle informazioni permette all’attaccante di acquisire dati utili, dall’architettura della piattaforma, ai servizi offerti, ecc. L’analisi di questi dati porterà alla scelta di come condurre il passo successivo.

Analisi di un caso reale

Ci troviamo ad operare da remoto per verificare il livello di sicurezza di una grande azienda. L’analisi viene svolta, a fronte di un’ accordo con il committente (non dimenticate mai l’importanza di un contratto ben dettagliato e firmato dal committente per evitare future noie legali), da parte del PT. In base alla quantità d’ informazioni disponibili s’ identificano diversi scenari. Questa tipologia di scenario viene definita “Black Box” poiche’ non presuppone alcuna conoscenza dell’infrastruttura oggetto di analisi, tutte le informazioni dovranno quindi essere ricavate prima di iniziare i vari test.

Per diversificarci questa volta ci affideremo non alla solita Kali Linux ma ad un’altro sistema improntato al PT come BackBox Linux, una distribuzione orientata al PT. Il vantaggio derivante dall’uso di uno strumento simile è nell’avere un sistema operativo altrettanto completo di tools, flessibile ed ottimizzato per condurre vari test di sicurezza.

Information Gathering

L’attività di PT inizia come gia’ detto con la raccolta delle informazioni, partendo dall’url del sito aziendale del committente è possibile risalire all’indirizzo IP del server (informazione essenziale per iniziare la nostra analisi):

$ host www.nomesito.it
www.nomesito.it has address 150.xxx.xxx.10

oppure

$ nslookup
set q=any
nomesito.it

o ancora un semplice #whois permette di effettuare delle query al fine di ottenere informazioni riguardo la registrazione del dominio.

$ whois www.nomesito.it

Ovviamente questi sono soltanto alcuni esempi, di tool da riga di comando ne esistono diversi (#dig, #dnsenum …) ma non e’ possibile citarli tutti, ognuno potra’ cercarsi il preferito.

Ottenuta questa informazione ci serviremo di un’ulteriore tool Maltego, è un tool sviluppato dalla società Paterva, che offre la possibilità di raccogliere informazioni tramite la consultazione di dati pubblicamente accessibili e raggrupparle,  in formato grafico. Tramite questo strumento si è in grado di raccogliere informazioni da:

  • Siti web
  • Comunicazioni web (social network, wiki, blog, …)
  • Dati pubblici (conferenze stampa, rapporti dei governi, dati demografici, …)
  • Osservazioni dirette (dati geolocalizzati, conversazioni radio, foto satellitari, …)
  • Professionisti ed accademici (simposi, conferenze, pubblicazioni scientifiche, associazioni professionali, …)

Viene utilizzata un’architettura client/server per la raccolta dei dati e per determinare le relazioni fra di essi.

Un’ulteriore ed interessantissimo tool e’ TheHarvester

TheHarvester  è utilizzato per raccogliere info su domini, indirizzi email e documenti con metadata inerenti il target della nostra ricerca. Harvester si basa su un suo algoritmo di ricerca in grado di interrogare i maggiori motori di ricerca conosciuti, facendo sì che l’attaccante non visiti direttamente il target. Dunque il target sarà ignaro delle nostre attività.
Un piccolo esempio potrebbe essere questo qui sotto ma ricordatevi di leggere sempre gli “help” per poter conoscere tutte le opzioni che si possono utilizzare.

theharvester -d miosito.it -l 500 -b all

Ultimo tool di questo articolo, non certo per importanza o per potenza sara’ Dmitry.

Dmitry (Deepmagic Information Gathering Tool), questo tool  è un whois potentissimo che lavora esclusivamente da riga di comando , è scritto in C e ha la capacità di darci su di un determinato host , tantissime informazioni , tutte raccolte ed estratte in base alle nostre richieste , effettuate tramite l’inserimento in Shell di alcune opzioni (leggete sempre l’help).

dmitry -winsepffb -o miosito.txt www.miosito.it

…come detto questo e’ solo un esempio in cui sono state unite insieme diverse opzioni ed il risultato verra’ salvato in un file .txt.

Per tutto il resto non resta che fare tanta tanta pratica……a presto !!!