venerdì 14 giugno 2013

Gli hacker sono davvero un rischio reale per le banche ?

E' appena uscita una notizia secondo me importantissima ma che, ancora secondo me, passerà del tutto inosservata.

Hacking attacks present a bigger risk to the operation of UK banks than problems caused by the ongoing eurozone crisis, according to a senior Bank of England director.

Andrew Haldane, the Bank of England's director of financial stability, told parliament's Treasury Select Committee that representatives of Britain's top banks are telling him that cyber attacks have become their biggest threat over recent months.

Rileggere lentamente, un paio di volte.

Impossibile esprimerlo in modo più chiaro e più diretto.

giovedì 6 giugno 2013

Phishing in siti fidati

Lasciatemi dire che è una piccola soddisfazione...nonché un altro esempio di sfera di cristallo.

Pochi giorni fa hanno accettato un nostro lavoro ad una importante conferenza internazionale di sicurezza informatica:

we developed a methodology for detecting fraudulent pages within trusted sites, that is, pages created by attackers within web sites of trusted organizations and placed at URLs at which no page is supposed (by the administrators of those sites) to exist. 
...
The problem is highly relevant for many reasons, including: HTTPS does not provide any defense in this respect (the fraudulent pages are hosted on sites that, from HTTPS point of view, are authenticated and with content integrity);

Pochi minuti fa, un grande Internet provider inglese, probabilmente il più grande provider al mondo, ha pubblicato un blog post in cui informa che sul sito della Polizia della Malesia è in corso un attacco di phishing proprio del genere indicato nel nostro studio (problema che non molti stanno studiando).

In altre parole, l'attacco è strutturato in questo modo:
  1. Inserimento fraudolento di una pagina identica a quella di PayPal nel sito della Polizia della Malesia.
  2. Campagna di phishing in cui si tenta di portare utenti all'URL creato al punto precedente.
  3. Gli utenti che arrivano a quell'URL vedono un sito completamente fidato dal punto di vista SSL, e probabilmente anche dal punto di vista di molti filtri anti-phishing (il sito della polizia della Malesia non può che essere considerato fidato). Ergo, inseriscono le proprie credenziali PayPal senza sospettare nulla...