Antivirus e sicurezza

Con i nuovi attacchi… occhio al conto corrente!

09 Luglio 2015

In questi mesi è in atto una vera truffa per estorcere soldi, tanti soldi, dai conti correnti delle aziende sfruttando delle tecniche avanzate di social engineering e attacchi man in the middle.
L’attacco consiste nel carpire password di caselle mail di account di operatori che svolgono funzioni amministrative all’interno delle aziende, in sostanza addetti all’ufficio acquisti, recupero crediti o pagamenti vari tramite bonifici o conti online.

Dopo aver guadagnato l’accesso alle mail, i cyber-criminali studiano le varie conversazioni circa le modalità di accredito di bonifici o modalità di pagamenti, individuano l’interlocutore target delle aziende partner e ne carpiscono le password.
Analizzano tutti i dialoghi e nel momento più opportuno, ovvero quando gli interlocutori si mettono d’accordo per l’importo da versare, inviano una mail opportunamente formattata in cui si avvisa che l’IBAN o le coordinate bancarie sono cambiate e si sollecita il pagamento su un altro conto.

Attraverso questa tecnica sono stati rubati diversi milioni di dollari in tutto il mondo e sembra che a queste organizzazioni facciano capo decine di persone. Una vera e propria azienda del cyber-crimine. Questo attacco colpisce soprattutto aziende che effettuano operazioni nell’ordine di centinaia di migliaia di euro ed hanno rapporti con ditte estere.
 
Come funziona l’attacco  
Per comprendere meglio tecnicamente il tipo di attacco facciamo un semplice esempio:
l’azienda Pintel il cui dominio di posta è pintel.com si fornisce dalla azienda  Machab  il cui dominio è machab.it. L’operatore della Pintel Vichus, utilizza un account email vichus@pintel.com per comunicare con Cloud Paranai di machab.it. Cloud Paranai utilizza l’account di posta c.paranai@machab.it .
Nelle ultime email Victhus ha comunicato a Cloud che invierà la distinta del bonifico di 200.000 euro.

  1. L’hacker invia una mail, accuratamente progettata, all’indirizzo vichus@pintel.com con un allegato che contiene un virus. Tale mail ha un oggetto facilmente riconoscibile (e allettante) dall’utente per cui è invogliato ad aprirne il contenuto.
  2. L’utente apre l’allegato e il PC viene infettato. Il virus permette di recuperare le password della mail. Il malware utilizzato è un generico “ransomware” che viene rilevato dall’antivirus un momento dopo la cattura delle password.
  3. L’hacker ha potuto accedere e analizzare i messaggi di posta e il loro contenuto, ha scelto alcuni fornitori, tra i quali la machab e ha selezionato alcuni indirizzi mail da attaccare. Nel nostro caso c.paranai@machab.it.
  4. Con le stesse modalità di cui al punto 1 e 2, l’hacker ottiene accesso alla casella mail di c.paranai@machab.it per avere ulteriori informazioni sui dialoghi con il cliente.
  5. Viene effettuato un controllo sul dominio machab.it circa la presenza del record dns di tipo txt per la gestione dell’SPF, se il record non esiste allora registra il dominio fasullo machab-it.com.
  6. Poi, nel momento opportuno, si modifica il dominio aggiungendo un record mx per poter ricevere e spedire posta, si configura la casella mail c.paranai@machab-it.com, viene inoltrata dall’account c.paranai@machab-it.com l’ultima conversazione avvenuta alla mail appena creata. Tale passaggio viene fatto per rendere più vera la mail fasulla che successivamente sarà inviata.
  7. Si inietta la mail fasulla da c.paranai@machab-it.com, spacciandola per c.paranai@machab.it a vichtus@pintel.com in cui spiega e argomenta che le coordinate bancarie sono cambiate. Utilizza un documento accuratamente formattato con l'intestazione della azienda e le motivazioni per cui il conto è stato modificato. 
  8.  L’utente Victhus effettua il bonifico sulle coordinate appena modificate.


 

Come difendersi  


Esistono delle contromisure?
Attacchi mirati di questa portata sono davvero difficili da contenere per il semplice fatto che sfruttano l’errore umano. Provate a mettervi nei panni “vostri”… immaginate di ricevere una mail da un vostro cliente che vi chiede aiuto perché ha un errore sul server e che vi ha allegato pdf con la schermata dell’errore.
Chi non aprirebbe la mail? Quanti si insospettirebbero? Quanti penserebbero di essere al sicuro perché l’antivirus ha bloccato il trojan?
E’ evidente che dovremmo pensare a una soluzione che deve in qualche modo contenere l’arrivo della mail fasulla perfetta.
 
Utilizzare il protocollo SPF
Se ci concentriamo sul punto 5 illustrato in precedenza possiamo comprendere che l’hacker ha sfruttato la mancanza del controllo SPF per poter inviare una mail al destinatario, utilizzando un IP diverso dal server di posta.
 
Un esempio di log che dimostra come l’assenza di SPF “facilita” il recapito di email fasulle può essere il seguente:
       
Wed, 17 Jun 2015 22:42:31 -0700 (PDT)
Received-SPF: neutral (pintel.com: 1x.9.1.4 is neither permitted nor denied by best guess record for domain of c.parenai@machab.it) client-ip=1x.9.1.4;
Authentication-Results: mx.pintel.com;
       spf=neutral (google.com: 1x.9.1.4  is neither permitted nor denied by best guess record for domain of c.parenai@machab.com) smtp.mail=c.paranai@machab.com
Received: from ns3.hmmstmog.gr ([8.138.1×2.1y6]:43403)

 
L’IP 1x.9.1.4, è un indirizzo non abilitato a spedire per machab.com e la mail che è stata inviata, arriva dal domino machab-it.com con mittente cambiato c.parenai@machab.com.
Come prima configurazione dobbiamo assolutamente attivare l’SPF sia a livello di controllo sul server mail sia a livello del dns, aggiungendo un record txt del tipo:

+a:smtp.machab.it +ip4:1.1.1.1 –all

Attraverso questo record, il server mail che controlla il record SPF controlla l'IP di invio con gli IP abilitati e se coincidono allora accetta la posta.
 
Cifrare le connessioni
Altro accorgimento è attivare la connessione cifrata dal client al server.
Se il trojan fa sniffing della password che passa in chiaro, possiamo contenere questo attacco semplicemente cifrando la comunicazione con SSL o TLS.
Giova ricordare che le password della posta elettronica viaggiano sempre in chiaro a meno che non si prendano espliciti provvedimenti.
 
Limitare l’accesso al mailserver

Abilitare i servizi mail e webmail solo dalla rete locale.
In questo modo anche se trovata la password, l’hacker non ha modo di accedere alla mail perché tenterà di accedere dal di fuori della rete locale.
Sotto un esempio di log di accesso non autorizzato da internet in cui un programma automatico scarica le mail e gli allegati e li analizza:
 
[Thu 2015-06-18 00:00:00]  —– WorldClient 14.0.0 Avvio file di registro —–
[Thu 2015-06-18 04:03:18] [XY3G3XTEYA210] Sessione creata per c.parenai@machab.it da 17c.13.x2.20.
[Thu 2015-06-18 04:03:28] [XY3G3XTEYA210] BegRequest: View=2 View=Main
[Thu 2015-06-18 04:03:29] [XY3G3XTEYA210] EndRequest: View=2 View=Main (la richiesta ha impiegato 11.176845 secondi)
[Thu 2015-06-18 04:03:30] [XY3G3XTEYA210] BegRequest: View=0 Session=XY3G3XTEYA210&View=Menu
[Thu 2015-06-18 04:03:30] [XY3G3XTEYA210] BegRequest: View=16 Session=XY3G3XTEYA210&View=List
[Thu 2015-06-18 04:03:30] [XY3G3XTEYA210] EndRequest: View=0 Session=XY3G3XTEYA210&View=Menu (la richiesta ha impiegato 0.034657 secondi)
[Thu 2015-06-18 04:03:31] [XY3G3XTEYA210] EndRequest: View=16 Session=XY3G3XTEYA210&View=List (la richiesta ha impiegato 0.653020 secondi)
[Thu 2015-06-18 04:03:44] [XY3G3XTEYA210] BegRequest: View=17 Session=XY3G3XTEYA210&View=Message&Number=53102&Page=1
[Thu 2015-06-18 04:03:44] [XY3G3XTEYA210] EndRequest: View=17 Session=XY3G3XTEYA210&View=Message&Number=53102&Page=1 (la richiesta ha impiegato 0.456009 secondi)
[Thu 2015-06-18 04:03:49] [XY3G3XTEYA210] BegRequest: View=3 Session=XY3G3XTEYA210&View=Attachment&Number=53102&Part=1.2
[Thu 2015-06-18 04:03:49] [XY3G3XTEYA210] EndRequest: View=3 Session=XY3G3XTEYA210&View=Attachment&Number=53102&Part=1.2 (la richiesta ha impiegato 0.004735 secondi)
[Thu 2015-06-18 04:03:49] [XY3G3XTEYA210] BegRequest: View=3 Session=XY3G3XTEYA210&View=Attachment&Number=53102&FolderID
=0&Part=1.2&Filename=image001.jpg
[Thu 2015-06-18 04:03:49] [XY3G3XTEYA210] EndRequest: View=3 Session=XY3G3XTEYA210&View=Attachment&Number=53102&FolderID
=0&Part=1.2&Filename=image001.jpg (la richiesta ha impiegato 0.004771 secondi)
 
Se il server consentisse il controllo email solo dalla rete locale questa sessione non potrebbe esistere.
 
Policy aziendali
L’ultimo consiglio ma, forse, il più importante è attivare delle policy aziendali che garantiscono la comunicazione con mezzi di comunicazione diversi a seconda del contenuto.
Ad esempio è possibile stabilire con i clienti o fornitori che modifiche di coordinate bancarie devono obbligatoriamente avvenire via telefono e non via mail, o non solo via email.
In questo modo l’hacker è estromesso dalla conversazione per le informazioni riservate (sempre che non monitori anche il telefono ma è raro).
Infine, ci sono altre tecniche di attacco che sfruttano altri vettori o altre metodologie per estorcere il denaro ma il fine è lo stesso: mail che annuncia il cambio delle coordinate bancarie. Se stiamo attenti a questo tipo di comunicazione riusciamo a tenere “sott’occhio il conto”.

Se sei curioso e vuoi approfondire la conoscenza su questo tipo di attacchi, di seguito puoi trovare alcuni articoli interessanti: 
 
 
Autore
Vito Pietrapertosa
Commenti (0)

Lascia un commento

Il tuo indirizzo e-mail non verrà pubblicato, lo utilizzeremo solamente per inviarti la notifica della pubblicazione del tuo commento. Ti informiamo che tutti i commenti sono soggetti a moderazione da parte del nostro staff.