4 Caso di studio: “phishing ai danni di una società bancaria… 51
4.3 Applicazione dell’analisi dei rischi al caso di studio
Procediamo adesso all’analisi dei costi e al calcolo degli indici nel caso dell’attacco phishing alla Banca Intesa Fineco.
Iniziamo innanzitutto a dare una stima del
fattore di collusione FC
; esaminando le mail inviate si notano i falsi domini, registrati (anche nell’attacco a unicreditsbanca.com e a platinway.com) da una fittizia "Foundation Men On Line"di Amsterdam; da ciò si evince che dietro questi attacchi vi è una sorta di organizzazione criminale che conta un numero considerevole di membri, quindi possiamo dare una stima del fattore di collusione, assegnandogli un valore alto del
55%
. Calcoliamo ilfattore d’esposizione EF
FC assumendo che il livello d’esposizione (FC
) al rischio “phishing” in assenza di collusione sarebbe del65%
(perché comunque anche un solo attaccante potrebbe mettere in atto un attacco di questo tipo, anche se ovviamente la collusione di parecchie persone renderebbe l’attacco più fattibile e potente); quindi
EF
FC= EF + FC – (EF * FC)= 0,65 + 0,55 – (0,65 * 0,55)=84%.
In molti articoli viene affermato che la banca Fineco ha subito 3 attacchi di phishing nel 2005, quindi assegniamo ad
ARO
il valore3
; dal sito web della banca Fineco, possiamo rilevare che il capitale sociale ammonta a 202.292.987,49 €, quindi possiamo calcolare loSLE
= 202.292.987,49 * 0.84 =169.926.109 €
Dal momento che le banche sono restie a divulgare questo tipo di informazioni per non perdere la propria reputazione, non si sa con esattezza la percentuale o il numero di clienti che sono stati truffati, quindi possiamo solo dare una stima basandoci sulle informazioni reperite online: stimiamo quindi che 1/10 dei clienti hanno ricevuto le email e hanno “abboccato” (parlando di phishing questo è il termine adatto), ridimensioniamo la perdita:
SLE/10
=16.992.610
€.A questo punto possiamo calcolare la perdita annuale causata da questi attacchi:
ALE
= SLE * ARO = 16.992.610 * 3=50.977.833 €
che rappresenta la perdita economica che la banca ha (o avrebbe) dovuto sostenere per rimborsare i clienti frodati.Dopo aver studiato l’attacco, analizziamo le possibili contromisure che possono essere adottate dalla banca per fronteggiare il rischio di phishing:
1) effettuare dei controlli approfonditi sui
redirect
dei siti web;2) avvisare tempestivamente tutti i clienti di diffidare di qualunque email chieda di inserire codici segreti o informazioni personali e diffondere una cultura di internet;
3) aggiungere un ulteriore livello di autenticazione (con password differenziata) per l’esecuzione di operazioni dispositive tramite il servizio di home banking;
4) inserire dei codici di validazione sulla banda magnetica delle carte per autorizzare le transazioni di denaro;
Etichettatura delle contromisure
Contromisura 1:
• %SC: costi= 0.35, competenze= 0.65 %SC=50%
• %SCC= %SC * (1 – FC)= 23%
• Costo= 3.000 €
•
Contromisura 2:
• %SC: costi= 0.5, competenze= 0.8 %SC= 65%
• %SCC= %SC * (1 – FC)= 30%
• Costo= 2.500 €
•
Contromisura 3:
• %SC: costi= 0.85, competenze= 0.95 %SC= 90%
• %SCC= %SC * (1 – FC)= 41%
• Costo= 5.000 €
•
Contromisura 4:
• %SC: costi=1, competenze= 1 %SC= 100%
• %SCC= %SC * (1 – FC)= 45%
• Costo= 15.000 €
•
Dai calcoli effettuati, possiamo notare che la contromisura che presenta il ROSI più elevato è la 4, ovvero “inserire dei codici di validazione sulla banda magnetica delle carte per autorizzare le transazioni di denaro” .
Andiamo adesso a valutare il punto di vista degli attaccanti.
Il
guadagno
per gli attaccanti relativo all’attacco, qualora tutti gli utenti che hanno ricevuto l’email e che sono clienti della banca cadessero nella trappola, è stimato pari a16.000.000 €
circa; il costo che gli attaccanti devono sostenere per mettere in atto questo tipo di crimine è alquanto irrisorio: bastano dei PC, qualche programma più delle conoscenze di web scripting per creare dei siti web molto simili a quelli originali; possiamo stimare ilcosto
medio di unattacco
di phishing pari a5.000 €
.Per quanto riguarda il costo che gli attaccanti dovrebbero pagare nel caso fossero scoperti, dobbiamo innanzitutto esaminare gli aspetti legali del phishing.
Come sappiamo il fine del phisher è quello di carpire i dati personali degli utenti titolari di conti correnti bancari o postali on-line in modo da potersi introdurre telematicamente all’interno degli account dei malcapitati per sottrarre il denaro ivi presente.
La natura del phishing è senz’altro connessa alla truffa e alla frode informatica.
Recita la norma penale relativamente alla truffa «chiunque, con artifizi o raggiri, inducendo taluno in errore, procura a sé o ad altri un ingiusto profitto con altrui danno è punito con la reclusione da sei mesi a tre anni e con la multa da cinquantuno euro a milletrentadue euro» (art. 640, comma 1). Mentre per quanto riguarda la frode informatica, la norma istitutiva in merito, punisce chiunque
«intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico ad esso pertinenti, procura a sé o ad atri un ingiusto profitto con altrui danno». Il reato di frode informatica, come per quello di truffa, ha un identico trattamento sanzionatorio (da sei mesi a tre anni unitamente alla multa da 51 a 1032 euro).
Detto ciò, si può dire che esiste anche la possibilità giuridica del cumulo fra i due reati, perché, nella maggior parte dei casi il phishing costituisce un’attività criminale che viola le prescrizioni previste da entrambe le norme incriminatici.
A questo punto possiamo quantificare la pena economica a cui andrebbero incontro gli attaccanti (ovvero il
costo postAttacco
), stimandola mediamente pari a80.000 €
(incluse la perdita di reputazione, il mancato profitto ed eventuali multe).Per quanto riguarda invece la
percentuale di rischio
di essere scoperti (%RA
), i phisher, agendo esclusivamente attraverso internet, e utilizzando spesso tecniche di round robin DNS (dove i DNS cambiano l'IP del dominio a intervalli predefiniti ) per evitare l’individuazione del server, possono vantare una probabilità di individuazione estremamente bassa, ipotizziamo pari al25%
.Adesso passiamo al calcolo degli indicatori sulle contromisure:
Contromisura 1 -
effettuare dei controlli approfonditi sui redirect dei siti web:• %SCC= 23%
• %SAC= 1- %SCC = 77%
•
Contromisura 2 -
avvisare tempestivamente tutti i clienti di diffidare di qualunque email chieda di inserire codici segreti o informazioni personali:• %SCC= 30%
• %SAC= 1- %SCC = 70%
•
Contromisura 3 -
aggiungere un ulteriore livello di autenticazione (con password differenziata) per l’esecuzione di operazioni dispositive tramite il servizio di home banking:• %SCC= 41%
• %SAC= 1- %SCC = 59%
•
Contromisura 4 -
inserire dei codici di validazione sulla banda magnetica delle carte per autorizzare le transazioni di denaro:• %SCC= 45%
• %SAC= 1- %SCC = 55%
•
In ogni caso l’attaccante ha una rendita elevata dal momento che è “in palio”
un guadagno molto alto contro dei costi molto bassi; tuttavia il caso peggiore è dato dalla contromisura 4 che da il ROA più piccolo.
Come abbiamo potuto vedere esaminando questo esempio, il phishing è un attacco abbastanza semplice da realizzare, richiede la collusione di un cospicuo numero di criminali per avere maggior successo, è poco costoso da mettere in atto, e fornisce agli attaccanti un rendimento molto elevato con una minima percentuale di rischio; per questi motivi, è molto probabile che venga attuato dai criminali e bisogna adottare se necessario più di una contromisura in quanto il phishing può causare ingenti danni a chi ne è colpito.
Conclusioni
In questa trattazione è stata fatta una panoramica delle metodologie utilizzate per l’analisi e la gestione dei rischi all’interno di un contesto aziendale; in particolare, si è accennato al processo di
Information Security Risk Management
schematizzando le sue tre fasi:risk assessment
(valutazione dei rischi),risk mitigation
(mitigazione dei rischi) edevaluation and assessment
(valutazione dei risultati ottenuti nelle fasi precedenti).In seguito abbiamo analizzato i vari approcci per l’analisi dei rischi:
approccio qualitativo
(che può anche essere definito metodo soggettivo, dal momento che si propone di dare dei giudizi circa i possibili scenari d’attacco e le contromisure atte a limitare il livello di rischio),approccio quantitativo
(detto altresì approccio oggettivo, per il fatto che valuta oggettivamente e sulla base di indicatori matematici la convenienza di un determinato investimento in sicurezza) e infineapproccio ibrido
, il quale rappresenta un miscuglio dei primi due; in particolare, tra i vari indici quantitativi abbiamo introdotto un nuovo fattore per la misurazione dellacollusione
tra l’attaccante ed eventuali complici, abbiamo verificato l’influenza di quest’ultimo sugli altri indicatori: osservando, in particolare, come la presenza di collusione aumenti il rischio d’esposizione ad una certa minaccia e come alcuni attacchi, considerati a basso rischio, siano divenuti più fattibili a causa della collusione.Successivamente abbiamo descritto un noto metodo qualitativo, ovvero gli
attack trees
, usati per la rappresentazione ed individuazione di vari scenari d’attacco; si è visto come questi permettano l’individuazione delle vulnerabilità di un sistema e quindi delle contromisure più appropriate ad impedirne lo sfruttamento da parte di eventuali attaccanti.Infine, parlando degli attack tree nella doppia
visione difensore VS attaccante
abbiamo applicato a questi i vari indicatori calcolati in precedenza;quindi abbiamo messo a confronto, da un lato, il rendimento per l’azienda dall’adozione di una determinata contromisura (considerandone il costo, il successo in funzione della collusione e la perdita annuale causata dall’attacco che essa deve fronteggiare), e dall’altro, il guadagno stimato per l’attaccante dall’attacco (in
funzione del successo dell’attaccante nel violare la contromisura, dei costi per attuare l’attacco e anche del rischio a cui egli va incontro nel mettere in pratica l’attacco stesso).
Grazie all’uso di questa doppia visione, l’azienda sarà in grado di valutare meglio, per ogni attacco, in quali contromisure conviene investire (ovvero quelle che presentano il
ROSI
e ilROA
più elevati).Infine, è stato analizzato un
caso di studio
riguardante ilphishing
ai danni dell’impresa bancaria Fineco, dalla cui analisi è emerso che il phishing è un attacco molto frequente, che dà un elevato rendimento all’attaccante e se non viene fronteggiato può causare grossi danni ai clienti e di conseguenza alla banca vittima.Per quanto riguarda le
estensioni future
, è possibile approfondire le seguenti tematiche:• Introdurre il concetto di “retaliation” visto come una sorta di controesposizione all’attacco a discapito dell’attaccante (nel caso in cui, ad esempio, l’attaccante fosse un’azienda concorrente e ciò venisse a sapersi, essa sarebbe esposta ad un contrattacco da parte dell’azienda che prima era vittima);
• Studiare un modo che permetta di migliorare la stima della probabilità di rischio per l’attaccante di essere sorpreso nell’attacco e altresì effettuare uno studio che permetta di dare una stima precisa del valore economico corrispondente alla pena prevista per ogni tipologia d’attacco cui l’attaccante è soggetto (considerando gli aspetti legali di ogni attacco).
Riferimenti
1. Pamela Peretti. Security Risk Analysis, anno accademico 2004 - 2005.
2. Marco Cremonini and Patrizia Martini. Evaluating information security investments from attackers perspective: the return on attack (roa), June 2005.
3. Edward Borodzicz. Risk, Crisis & Security Management, June 2005.
4. Consoli Francesco. Sicurezza: analisi dei costi ed impatto sui processi aziendali, aprile 2004.
5. Zannone Nicola. Un’analisi simbolica per la verifica dei protocolli di autenticazione a stati finiti, anno accademico 2001- 2002.
6. Bruce Schneier. Modeling security threats, Dr. Dobb's Journal December 1999.
7. John Viega and Gary McGraw. Risk Analysis: Attack Trees and Other Tricks, August 2002.
8. www.criminologia.it.
9. www.anti-phishing.it.