PHISHING E DINTORNI - PowerPoint PPT Presentation

About This Presentation
Title:

PHISHING E DINTORNI

Description:

... la Polizia Postale e delle Telecomunicazioni www.poliziadistato.it CONTROMISURE Lato client www.netcraft.com www.antiphishing.it Internet Explorer 7 Patch Outlook ... – PowerPoint PPT presentation

Number of Views:70
Avg rating:3.0/5.0
Slides: 14
Provided by: BANCAANT
Category:

less

Transcript and Presenter's Notes

Title: PHISHING E DINTORNI


1
PHISHINGE DINTORNI
  • Marco Recchia, CISA
  • Banca Antonveneta
  • marco.recchia_at_antonveneta.it
  • Vallombrosa 7 ottobre 2005

2
IL FENOMENO
  • Attacco esterno ai sistemi destinati a offrire
    prodotti e/o servizi alla clientela
  • Obiettivo dellattacco è far cadere il cliente in
    una trappola affinchè rilevi le proprie
    credenziali di accesso al servizio
  • La trappola è solitamente costruita a mezzo di
    mail apparentemente provenienti dal fornitore del
    servizio che inducono con una scusa il cliente a
    recarsi su un sito dove dovrà fornire le proprie
    credenziali di accesso
  • Il resto è intuitivo.

3
IL FENOMENO
  • Mail con errori di battitura o grammaticali,
    costrutti non italiani, apparentemente tradotte
    da lingue straniere con strumenti automatici
  • Indirizzo di provenienza falso
  • Sito a cui si viene indirizzati mascherato e
    individuabile con difficoltà

4
IL FENOMENO
  • Attacco non mirato sulluniverso dei clienti del
    servizio
  • Aspetti consolatori
  • Procurarsi un elenco di indirizzi e-mail è facile
    ma evidentemente non è agevole individuare tra
    questi i fruitori di un particolare servizio
  • Le misure di sicurezza poste a protezione di
    archivi anagrafici e server di autenticazione si
    sono rivelate fin qui valide

5
Aspetti legali
  • Il cliente è contrattualmente responsabile della
    custodia dei mezzi di autenticazione forniti
  • Linea di difesa adottata dai fornitori di servizi
  • Crea problemi nello svolgimento di indagini il
    cliente difficilmente ammette di essere cascato
    in una trappola
  • I fornitori di servizi potranno sempre appellarsi
    a questo principio senza che venga considerata la
    robustezza dei meccanismi di autenticazione
    forniti?

6
PROBLEMATICHE TECNICHE
  • PROCESSO DI RICONOSCIMENTO
  • Finalizzato alla verifica delle titolarità dei
    diritti di un soggetto
  • VISIVO TRA DUE SOGGETTI FISICI
  • Numerose modalità per accertare lidentità
  • TRA DUE SOGGETTI FISICI ATTRAVERSO UN CANALE DI
    COMUNICAZIONE
  • Riduce le modalità adottabili e richiede
    accorgimenti particolari
  • TRA UN SISTEMA INFORMATICO E UN SOGGETTO
  • Richiede di ridisegnare il processo di
    riconoscimento

7
PROBLEMATICHE TECNICHE
  • PROCESSO DI RICONOSCIMENTO TRA UN SISTEMA
    INFORMATICO E UN SOGGETTO
  • REGISTRAZIONE del soggetto, riconosciuto con
    modalità tradizionali ed attribuzione di un
    IDENTIFICATIVO e di STRUMENTI DI AUTENTICAZIONE
  • IDENTIFICAZIONE del soggetto da parte del sistema
    informatico a mezzo dellIDENTIFICATIVO
  • AUTENTICAZIONE del soggetto da parte del sistema
    informatico attraverso STRUMENTI DI
    AUTENTICAZIONE

8
PROBLEMATICHE TECNICHE
  • Le criticità maggiori risiedono nel processo di
    autenticazione
  • La soluzione ideale sarebbe instaurare un
    processo di autenticazione reciproca tra il
    soggetto e il sistema con strumenti di strong
    authentication
  • Considerazioni di varia natura limitano
    lapplicabilità di un simile concetto

9
CONTROMISURE
  • ANALISI DEI RISCHI!!
  • ORGANIZZATIVE
  • Informativa alla clientela
  • Aumentare i controlli manuali sui flussi delle
    disposizioni a scapito della velocità di
    esecuzione delle stesse
  • APPLICATIVE
  • Controlli sui massimali delle operazioni
    dispositive
  • Assoggettare le disposizioni ad un ulteriore
    autenticazione
  • TECNOLOGICHE
  • Aumentare il livello di protezione del processo
    di autenticazione e garantire lautenticazione
    dei soggetti

10
CONTROMISURE
  • NELLEMERGENZA
  • Contattare la Polizia Postale e delle
    Telecomunicazioni
  • www.poliziadistato.it

11
CONTROMISURE
  • Lato client
  • www.netcraft.com
  • www.antiphishing.it
  • Internet Explorer 7
  • Patch Outlook

12
  • Quanto durerà?
  • Per quanto tempo saremo sicuri adottando strong
    authentication?
  • Riusciremo a far capire ai vertici aziendali ed
    alla clientela la necessità delle misure di
    sicurezza?

13
  • Ci aspetta, come sempre, molto lavoro da fare.

GRAZIE PER LATTENZIONE!!
Write a Comment
User Comments (0)
About PowerShow.com