phishing: anatomia del fenomeno

Il Phishing: anatomia del fenomenoReati Informatici e Investigazioni Digitali 2a sess.

Padova, Sabato 27 Novembre 2010

www.denisfrati.it [email protected] [email protected]

http://www.denisfrati.it/

mailto:[email protected]


Il Phishing: Anatomia del fenomeno. Reati Informatici e Investigazioni Digitali 2a sess. Padova

La realizzazione di un attacco di phishing necessita di una struttura complessa perindividuare vittime e risorse ed accederealle stesse



Gli enti vittima sono ricercati tra quelli che non dispongono di sistemi di autenticazione forti per l'autorizzazione all'esecuzione degli ordini

one time password; sms;





Gli utenti vittima sono i destinatari dei messaggi di posta.Gli indirizzi possono essere: acquistati; raccolti in rete; creati; verificati;





L'invio delle mail, veicolo dell' “infezione”, avviene attraverso:➢ open relay, server di posta mal configurati;➢ host/reti compromessi (zombi, open wireless);➢ mailer script posizionati sui server compromessi;



Server compromesso

Script

Indirizzi mail

Corpo html mail

1 Struttura la mail 2 Spedisce la mail

Usando mail server presente

Lasciando traccia in mail log



Il KIT è composto dall'insieme di file (html, php, immagini, css,ecc..) costituenti la struttura del falso sito e le pagine di gestione delle credenziali. Può: verificare la forma/sintassi di credenziali e dati inseriti; inviare le credenziali via mail o scriverle su file locali o remoti; implementare la selezione dei visitatori (ip permessi in .htaccess); contenere parti offuscate; contenere inganni al criminale che acquista il kit;Solitamente viene uploadato in formato compresso (zip, tgz).

La sua presenza in sito rappresenta una risorsa per i buoni!





Il sito ospite può essere in:➢ hosting gratuito (es. Altervista);➢ hosting a basso costo (es. Yahoo);➢ Violato:

➢Acquistato da cracker;

➢Ricercato con motori

➢Violato

➢Piattaforme violate:



ZenCart InnovaStudio Joomla OsCommerce Easy Content Manager FreePBX/TrixBox ZeroBoard WordPress



La violazione delle piattaforme può avvenire:➢ Causa errate configurazioni: Accesso a file manager;





La violazione delle piattaforme può avvenire:➢ Causa errate configurazioni:

Accesso a pannelli di amministrazione;





La violazione delle piattaforme può avvenire:➢ Attraverso l'uso di exploit specifici:

➢ Php, perl, python;

➢ Ricercati in specifici database (OSVDB, National Vulnerability DataBase , SecurityFocus, Secunia, Explit DataBase);

➢ Automatizzati da bot script (bot irc);





Phisher to do list: individuato ente vittima; fatto raccolto indirizzi vittime; fatto trovato clone; fatto trovato server ospitante; fatto

caricare kit; decomprimerlo; testarlo; spedire le mail;

raccogliere le credenziali;





Modalità di lavoro prevista dal phisher





Le credenziali rubate possono essere: inviate via mail al criminale; scritte su server remoti scritte su file facenti parte del kit usate per login automatizzati







Il meccanismo rodato e funzionante



On the Light Side!

Gli utenti si accorgono della frode e denunciano presso sedi FFPP diverse

Q.Roma CC.Domodossola Com.to Casale Cp.CC Monza GdF Pisa CC.Jesolo

Le notizie di reato sono inoltrate alle rispettive Procure/Procure distrettualiSingoli fascicoli per singole denunce

Differenti procedimentiMancata percezione del disegno criminoso

Assenza di monitoraggio errata percezione vacuità dello accentrato gravità fenomeno sforzo investigativo





Se il nonno avesse le ruote .... (provocation)

Se la vittima si accorgesse tempestivamente dell'ammanco e sporgesse subito denuncia...Se non vi fosse carenza di personale FFPP con specifica preparazione a ricevere la denuncia... ......potrebbe essere possibile acquisire info utili Se vi fosse un monitoraggio ampio del fenomeno.…Se vi fosse un accentramento dei dati raccolti....Se fosse semplice unificare fascicoli e procedimenti si.... ......avrebbe la misura della gravità del fenomeno, evidenzierebbe l'ampio disegno criminoso, riconoscerebbero i gruppi operanti, individuerebbero le responsabilità per gli eventi.





Denunciare per:➢ Rendere evidente il fenomeno;➢ Individuare i responsabili;➢ Rendere possibile la restituzione del sottratto;➢ Disconoscere qualunque responsabilità;



Ritardi causati da:➢ Tardiva individuazione dell'ammanco;➢ Impossibilità primi accertamenti in fase denuncia;➢ Tempi burocratici;

Si scontrano con la dinamicità del fenomeno!!L'ente può integrare la denuncia con dati raccolti in proprio, secondo le procedure e le metodologie idonee!



Denunciare:➢ Presentando la mail per estrapolare il link presente e gli headers:

➢Copia della mail in formato digitale;

➢Stampa del codice sorgente della mail;

➢La stampa del messaggio non serve a nulla;

➢ Cronologia di navigazione (sovente il link della mail è un redirect, modificato più volte nell'arco del giorno o della settimana)

..... ma la vita non è un film ......





Quali reati? (confronto)

Art 640 ter Cp – frode informatica:“chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a se o ad altri un ingiusto profitto con altrui danno, ....”

Reato comune, tentativo configurabile, procedibile a qurela di parte.

Richiede:➢ Alterazione sistema informatico/telematico ➢ Intervento senza diritto su dati, informazioni, programmi contenuti su sistema

informatico/telematico








Art 640 Cp frode:“Chiunque, con artifizi o raggiri, inducendo taluno in errore, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito ....”

Reato comune, tentativo configurabile, procedibile a querela di parte.






Art. 167 D.Lgs.n.196/2003 (Codice in materia di protezione dei dati personali) Trattamento illecito di dati:"1. Salvo che il fatto costituisca piu' grave reato, chiunque, al fine di trarne per se' o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell'articolo 129, e' punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi.2. Salvo che il fatto costituisca piu' grave reato, chiunque, al fine di trarne per se' o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 17, 20, 21, 22, commi 8 e 11, 25, 26, 27 e 45, e' punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni."






Art. 617 quater Cp Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche“Chiunque fraudolentamente intercetta comunicazioni relative ad un sistema informatico o telematico o intercorrenti tra piu’ sistemi, ovvero le impedisce o le interrompe, e’ punito con la reclusione da sei mesi a quattro anni. Salvo che il fatto costituisca piu’ grave reato, la stessa pena si applica a chiunque rivela, mediante qualsiasi mezzo di informazione al pubblico, in tutto o in parte, il contenuto delle comunicazioni di cui al primo comma. I delitti di cui ai commi primo e secondo sono punibili a querela della persona offesa. Tuttavia si procede d’ufficio .....”







Art. 617 sexies Cp Falsificazione, alterazione o soppressione del contenuto di comunicazioni informatiche o telematiche:“Chiunque, al fine di procurare a se’ o ad altri un vantaggio o di arrecare ad altri un danno, forma falsamente ovvero altera o sopprime, in tutto o in parte, il contenuto, anche occasionalmente intercettato, di taluna delle comunicazioni relative ad un sistema informatico o telematico o intercorrenti tra piu’ sistemi, e’ punito, qualora ne faccia uso o lasci che altri ne facciano uso,.....”







Art. 615 ter Cp – Accesso abusivo ad un sistema informatico o telematico:“Chiunque, al fine di procurare a se’ o ad altri un vantaggio o di arrecare ad altri un danno, forma falsamente ovvero altera o sopprime, in tutto o in parte, il contenuto, anche occasionalmente intercettato, di taluna delle comunicazioni relative ad un sistema informatico o telematico o intercorrenti tra più sistemi, e’ punito, qualora ne faccia uso o lasci che altri ne facciano uso,.....”







Art. 615 quater Cp Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici“Chiunque, al fine di procurare a se’ o ad altri un profitto o di arrecare ad altri un danno, abusivamente si procura, riproduce, diffonde, comunica o consegna codici, parole chiave o altri mezzi idonei all’accesso ad un sistema informatico o telematico, protetto da misure di sicurezza, o comunque fornisce indicazioni o istruzioni idonee al predetto scopo, e’ punito...”







Art. 648 bis Cp Riciclaggio“Fuori dei casi di concorso nel reato, chiunque sostituisce o trasferisce denaro, beni o altre utilita’ provenienti da delitto non colposo, ovvero compie in relazione ad essi altre operazioni in modo da ostacolare l’identificazione della loro provenienza delittusa, e’ punito...”

Reato comune, procedibile d'ufficio.





Mi sento limitato!

L'attività investigativa soffre di alcuni limiti:➢Tempistiche e dinamicità dei criminali;➢Ubicazione extra territoriale degli host contenenti i file;➢Ubicazione extra territoriale dei server di posta;➢Cancellazione di file dagli host coinvolti (ISP e titolare sito/dominio);➢Vincoli normativi per l'acquisizione di dati;➢Vincoli normativi nell'uso delle shell remote;➢Tempi di conservazione dei log: Art. 132. D.L 196/2003: Conservazione di dati di

traffico per altre finalità: “1. Fermo restando quanto previsto dall'articolo 123, comma 2, i dati relativi al traffico telefonico sono conservati dal fornitore per ventiquattro mesi dalla data della comunicazione, per finalità di accertamento e repressione dei reati, mentre, per le medesime finalità, i dati relativi al traffico telematico, esclusi comunque i contenuti delle comunicazioni, sono conservati dal fornitore per dodici mesi dalla data della comunicazione. ....”





Help me!Art. 132. D.Lgs.n.196/2003 (Codice in materia di protezione dei dati personali) Conservazione di dati di traffico per altre finalità

“4ter. Il Ministro dell'interno o, su sua delega, i responsabili degli uffici centrali specialistici in materia informatica o telematica della Polizia di Stato, dell'Arma dei carabinieri e del Corpo della guardia di finanza, nonchè gli altri soggetti indicati nel comma 1 dell'articolo 226 delle norme di attuazione, di coordinamento e transitorie del codice di procedura penale, di cui al decreto legislativo 28 luglio 1989, n. 271, possono ordinare, anche in relazione alle eventuali richieste avanzate da autorità investigative straniere, ai fornitori e agli operatori di servizi informatici o telematici di conservare e proteggere, secondo le modalità indicate e per un periodo non superiore a novanta giorni, i dati relativi al traffico telematico, esclusi comunque i contenuti delle comunicazioni, ai fini dello svolgimento delle investigazioni preventive previste dal citato articolo 226 delle norme di cui al decreto legislativo n. 271 del 1989, ovvero per finalità di accertamento e repressione di specifici reati. Il provvedimento, prorogabile, per motivate esigenze, per una durata complessiva non superiore a sei mesi, può prevedere particolari modalità di custodia dei dati e l'eventuale indisponibilità dei dati stessi da parte dei fornitori e degli operatori di servizi informatici o telematici ovvero di terzi.”





Lavorando sul caso:

➢Analisi email:➢Header;➢Codice;

➢Instradamento verso il clone:➢Redirect;➢Alias;➢DNS Dinamico;

➢Sito server ospitante il clone:➢Localizzazione geografica;➢Identificazione piattaforma possibile vulnerabilità;→➢Individuazione dati di interesse (sorgenti, immagini, ecc..);➢Analisi dei sorgenti;



Email: HeadersFrom Tue Nov 2 06:08:21 2010Returnpath: <[email protected]>Envelopeto: [email protected]: Tue, 02 Nov 2010 03:42:17 +0100Received: from pippo.pluto.com.pl ([80.aa.bb.24])

by web5.seeyes.net with esmtp (Exim 4.69)(envelopefrom <[email protected]>)id 1PD6pA0004ZAEffor [email protected]; Tue, 02 Nov 2010 03:42:17 +0100

Received: from User ([82.xxx.yyy.138]) by pippo.pluto.com.pl with Microsoft SMTPSVC(6.0.3790.4675); Mon, 1 Nov 2010 22:33:35 +0100

From: "Cassa di Risparmio di Bolzano S.p.A."<[email protected]>Date: Mon, 1 Nov 2010 22.33.35 +0100MIMEVersion: 1.0ContentType: text/html;

charset="Windows1251"ContentTransferEncoding: 7bitXPriority: 3XMSMailPriority: NormalXMailer: Microsoft Outlook Express 6.00.2600.0000XMimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000MessageID: <[email protected]>XOriginalArrivalTime: 01 Nov 2010 21:33:36.0068 (UTC) FILETIME=[70CA1840:01CB7A0C]

Email: Codice corpo messaggio 1

<html><head><meta httpequiv="ContentType" content="text/html; charset=iso88591" /><title>bper</title></head><body>Il codice inserito e sospeso o bloccato per uno dei seguenti motivi: 

* il codice e inattivo da almeno 3 mesi e quindi e stato sospeso per garantirLe un elevato livello di sicurezza; Per ripristinare l’operativita attiva subito il servizio Home Banking.Clicca <a href="http://www.mehmetvehbibolak.k12.tr//images/sayfa/cosui.htm">qui</a> per accedere al servizio di attivazione Home Banking.© Cassa di Risparmio di Bolzano SpA</body></html>

Email: Codice corpo messaggio 2

<Script Language='Javascript'><!document.write(unescape('%3C%68%74%6D%6C%3E%0A%3C%68%65%61%64%3E%0A%20%20%20%20%20%20%3C%6D%65%74%61%20%68%74%74%70%2D%65%71%75%69%76%3D%22%63%6F%6E%74%65%6E%74%2D%74%79%70%65%22%20%63%6F%6E%74%65%6E%74%3D%22%74%65%78%74%2F%68%74%6D%6C%3B%20%63%68%61%72%73%65%74%3D%75%74%66%2D%38%22%20%2F%3E%0A%20%20%3C%74%69%74%6C%65%3E%42%61%6E%63%61%20%64%69%20%43%72%65%64%69%74%6F%20%43%6F%6F%70%65%72%61%74%69%76%6F%20%7C%20%4C%6F%67%69%6E%3C%2F%74%69%74%6C%65%3E%0A%20%0A%20%20%20%20%3C%6C%69%6E%6B%20%72%65%6C%3D%22%73%74%79%6C cut cut cut cut cut cut %20%0A%26%63%6F%70%79%3B%20%20%42%61%6E%63%68%65%20%64%69%20%43%72%65%64%69%74%6F%20%43%6F%6F%70%65%72%61%74%69%76%6F%20%0A%3C%2F%74%64%3E%0A%20%0A%3C%2F%66%69%65%6C%64%73%65%74%3E%0A%20%0A%20%20%0A%20%0A%3C%2F%54%41%42%4C%45%3E%20'));//></Script>

Il codice così offuscato può essere messo in chiaro:HTML/text/JavaSript Escaping/Encoding Script (http://scriptasylum.com/tutorials/encodedecode.html)



Email: Codice corpo messaggio 2.2

Il codice così offuscato può essere messo in chiaro:HTML/text/JavaSript Escaping/Encoding Script (http://scriptasylum.com/tutorials/encodedecode.html)



http://scriptasylum.com/tutorials/encode-decode.html



Instradamento verso il clone: Redirect





Instradamento verso il clone: Alias &Short Url



Instradamento verso il clone: DNS Dinamico

IP DINAMICOxxx.yyy.zzz.wwaxxx.yyy.zzz.wwbeee.fff.ggg.hhaeee.ttt.kkk.llb

iii.uuu.mmm.qqa Pc con Server Http – proponePagine clone

servizioDns dinamicoNome host:

banca.ispdns.com

ISP servizioDNS dinamico

DNS

banca.ispdns.com=

Ip del momento

Refresh DNS

Usercerco banca.ispdns.com

Vai all'indirizzo IP $IP=(ip del momento)

visualizzaclone

sul borwser

investigatore tracciaIP <> nome host clone

dato/ora



Sito server ospitante il clone: ➢Localizzazione geografica;

➢Da terminale Ping, WhoIs, Dns, Host;➢http://www.dnsstuff.com; ➢http://www.robtex.com;





Sito server ospitante il clone: ➢Identificazione piattaforma possibile vulnerabilità;

➢Lettura sorgenti;➢Particolari pagina (footer, titoli)➢Url brute forcing;➢Esplorazione directory





Sito server ospitante il clone: ➢Individuazione dati di interesse:

➢File di redirect;➢Shell remote;➢Kit di sorgenti;➢File di credenziali;➢File di log;➢Statistiche;➢Immagini;

Il fine ultimo è la raccolta di informazioni, del maggior numero di informazioni!➢Redirect > altri obbiettivi;➢Shell remote > individuazione informazioni, intervento sul phishing➢Kit > dove cercare le credenziali, a chi sono inviate➢Credenziali > interventi sugli account;➢Log > individuazione di chi opera ➢Statistiche > individuazione di shell remote





Sito server ospitante il clone: Individuazione dati di interesse – Redirect

Se il redirect seguito non è solo individuiamo nuovi cloni

Spesso sono modificati dai criminaliper più giorni.

Il loro monitoraggio costante porta a nuovi cloni





Sito server ospitante il clone: Individuazione dati di interesse – Shell remote





Sito server ospitante il clone: Individuazione dati di interesse – Shell remote

Spesso la sola visualizzazione della pagina porta ad individuare tempi (data/ora) in cui l'attacco è partito, la presenza di altri clone, di sorgenti ed i loro possibili nomi.Il loro utilizzo esteso è tuttavia di dubbia “sostenibilità” e liceità





Sito server ospitante il clone: Individuazione dati di interesse – Kit Sorgenti

Frequentemente il nome del file contenente il kitRispecchia quello di una delle directory in cui il clone è

Installato.E' quindi possibile tentare una sorta di brute forcing

finalizzato alla sua individuazione.





Sito server ospitante il clone: Individuazione dati di interesse – Credenziali

➢Consente il blocco degli account;➢L'identificazione delle probabili vittimeper querele di parte;➢Talvolta riporta l'indirizzo IP della vittima e .... Le prove di funzionamento svolte dal criminali …quindi > suo IP ;

L'individuazione è semplificata dall'individuazionee dall'analisi di Kit sorgenti e logs.

L'individuazione, acquisizione e gestione puòessere automatizzata.





Sito server ospitante il clone: Individuazione dati di interesse – Logs

In taluni casi si è verificata la possibilità di accederevia browser agli access logs (merito di Edgar, curatore di Edagar's Internet Tools http://www.edetools.blogspot.com/ ) del sito clone.Cio permette di individuare:

➢ip operanti in:➢Creazione e test clone;➢Download credenziali;

➢Presenza specifici file della struttura:

➢Contenitori di credenziali;➢Controllo e verifica;

➢Credenziali ricevute da remoto;➢Redirect di arrivo.





Sito server ospitante il clone: Individuazione dati di interesse – Statistiche





Sito server ospitante il clone: Individuazione dati di interesse – Immagini





Strumenti utili: Le dork con i motori di ricerca: consentono di individuare:➢Shell remote;➢Statistiche;➢Logs;➢Piattaforme web;

Gli operandi:➢insite;➢inurl;➢intitle;➢filetype;

Rappresentano una valida risorsa per l'investigatore, così come per il criminale

I termini di ricerca:➢Index of;➢upload;➢file manager;➢brute force;

➢powered by;➢upload;➢Termini specifici

piattaforma esaminata;





Strumenti utili: Strumenti di enumerazione file e directory (o che svolgano anche tale funzione):➢Wikto (su MS Win, non più mantenuto);➢Nikto;➢Dirbuster;➢httpdirenum;

Operano con liste di nomi file/directory note, che l'investigatore può customizzare in base ad esperienza e conoscenza della piattaforma in esame. Sono “rumorosi”





Strumenti utili: Strumenti di riconoscimento piattaforma web e dei temi/plugin utilizzati che potrebbero aver dato il fianco all'uso di exploit noti:➢WhatWeb;➢Cmsexplorer;

Molti sono strumenti tipici delle attività di pentesting ed hacking. (Fare riferimento al progetto OWASP)





Strumenti utili: Strumenti di acquisizione:➢HashBot (il Principe );➢Wget;➢Curl;





Strumenti utili: Strumenti di analisi log:➢Glogg

(log explorer);➢Grep;➢Awk;





Kit dimeticati/abbandonati .... una risorsa: L'analisi consente di individuare ➢la destinazione delle credenziali:➢Le mail box dei criminali; ➢Host remoti (intervento presso ISP e titolari);

➢Password di accesso a pagine specifiche;➢Metodiche di SKPing al controllo adottate dai criminali;➢Metodiche di controllo credenziali implementate;➢Indicazioni sulle entry da ricercare nei log

➢Host ospitanti i kit;➢IP operanti;

➢Elementi comuni che consentano di riconoscere l'operato dei diversi gruppi criminali e i realizzatori dei kit;





Muovendosi ai margini ....(Walking along the border of light side): Esiste una netta differenza tra ciò che materialmente/tecnicamente si può fare e ciò che lecitamente si può fare.Qual'è la scriminante?➢Raccogliere le informazioni affinché siano

valide nell'aula di tribunale?➢Raccogliere informazioni non valide in tribunale, ma utili allo svolgimento

delle indagini?➢Proteggere gli utenti del servizio?➢Incrinare la struttura criminale quando ISP, Manteiner e Titolari non

collaborano?➢Non creare danno e disservizio a titolari ed utenti di servizi/siti/server

violati?

Provocation





Muovendosi ai margini ....(Walking along the border of light side): L'accesso al sito/server controllato dal criminale consente di:➢Accedere al suo codice sorgente:

➢Determinare i tempi di creazione/modifica delle pagine;➢Modificare le pagine di gestione credenziali per riceverne copia;➢Individuare i destinatari;➢Individuare file contenenti credenziali;➢Inserire allert;

➢Acquisire le pagine installate o i kit compressi presenti;➢Ricercare i logs di accesso alle pagine web;➢Modificare il codice dei pannelli di gestione file per loggarne l'utilizzo;➢Modificare il codice delle shell remote usate dai criminali per loggarne

l'utilizzo determinando le operazioni da loro svolte;

Provocation





Proseguire gli accertamenti: Una volta determinati gli IP address da cui i criminali hanno operato o le mail box sulle quali si sono fatti inviare le credenziali cosa si può fare?1)Accertare la titolarità della connessione ad internet a cui era assegnato l'ip noto nel momento (data/ora) noto, senza scordarsi:➢Wireless non protetti; ➢Ulteriori sistemi compromessi; ➢Schede SIM intestate a terzi;

2)Accertamenti relativi alla registrazione ed agli accessi alla mail box (torna al punto precedente);3)Sequestro del contenuto del mail box e sua analisi;4)Accertamenti volti ad identificare i beneficiari di: ➢bonifici su conti correnti; ➢bonifici su carte ricaricabili; ➢ricarica credo schede SIM; ➢acquisti online;





Difesa passiva da parte dell'ente:

L'ente può mettere in atto ➢difese passive e procedurali, quali:

➢robuste forme di autorizzazione agli ordini;➢Risorse web riservate a soggetti trusted (es.immagini, loghi, animazioni,

easy skp); ➢Attività di monitoraggio volte a determinare l' attack spread:

➢Alias mail;➢Referer extra nazionali;➢Query risorse web (immagini, loghi, animazioni) extranazionali;

A cui si aggiungono i già implementati meccanismi di analisi dei pagamenti rispetto al profilo cliente e gli allert in base alla provenienza geografica dell'ordine di pagamento (non implementato da tutti)





Incident response & Digital forensic:

Il titolare del server compromesso utilizzato dai criminali➢Non può limitarsi a cancellare il kit;➢Non può applicare la patch, chiudere il bug senza reinstallare e bonificare➢Non può ripristinare un backup senza averlo verificato;

Pena il rischio di non liberare il sito/server dalla compromissione.L'analisi investigativa del sistema consentirà di:➢Determinare la metodica di compromissione;➢Determinare la vulnerabilità utilizzata, determinando la patch da applicare➢Determinare l'istante della compromissione, individuando un istante pre

compromissione di cui ripristinare il backup;➢Raccogliere dati utili all'individuazione dei responsabili;



Domande ??

Contatti:www.denisfrati.it [email protected]






phishing: anatomia del fenomeno

Technology