Detección temprana de phishing y malware


Los casos de phishing se suelen ver habitualmente como un problema que atañe en primera instancia a la víctima (al usuario) y obviamente también a la reputación de la entidad suplantada. Sin embargo, hay un tercer actor implicado que podría “hacer algo más” contra este tipo de incidentes. Hablamos de la compañía que aloja la página fraudulenta.





Desde S21sec hemos desarrollado una solución, que haciendo uso de tecnologías de crawling e indexación, es capaz de detectar casos de phishing y malware desde la parte del alojamiento, constituyendo un valor añadido de cara a los clientes finales (por ejemplo, entidades financieras). El objetivo es ser capaces de detectar los casos en la parte del alojamiento de manera automatizada y mucho antes de que el hosting reciba la solicitud de retirar el contenido fraudulento, reduciendo el impacto negativo del incidente sobre la reputación del cliente y minimizando cantidad de víctimas potenciales.

La solución actúa sobre los siguientes puntos:

- Detección de enlaces a logotipos bancarios: Las páginas de phishing contienen habitualmente enlaces a imágenes de logotipos bancarios alojados en los sitios webs oficiales de los bancos y cajas. Por lo tanto, si una página web alojada contiene un enlace a una imagen original de una entidad financiera, será considerada como sospechosa de caso de phishing y será indexada por el sistema. Los pasos que serán realizados son los siguientes:
Recolección de imágenes bancarias originales.

Cada imagen perteneciente a una web alojada, se compara con las imágenes bancarias originales.
Si la comparación resulta positiva para alguna de las imágenes, se indexa guardando la url de la imagen original (la de la página del banco en cuestión) considerándose como un caso potencial phishing.

- Detección de iframes: En ocasiones las páginas de phishing pueden hacer referencia a porciones de páginas web originales por medio de iframes. La forma de proceder en este caso es similar al caso anterior, analizando si algún iframe constituye un enlace hacia los sitios web de las entidades financieras.

- Detección de imágenes: una práctica habitual en las web de phishing es la de copiar las imágenes de los bancos para así mostrar una página lo más parecida a la original. Los pasos para detectar si una imagen en una web alojada es copia de una imagen bancaria original son los siguientes:
Recolección de imágenes bancarias originales.

Cada imagen perteneciente a una web alojada, se compara con las imágenes bancarias originales.

Si la comparación resulta positiva para alguna de las imágenes, se indexa guardando la url de la imagen original (la de la página del banco en cuestión) considerándose como un caso potencial phishing.

En cuanto a la cobertura, las pruebas realizadas arrojan datos del orden de cientos de miles de páginas recorridas al día (accediendo de forma externa). Volúmenes de procesamiento que obviamente se verían multiplicados si el sistema estuviese ubicado en las propias instalaciones de la compañía de alojamiento. Si el volumen creciera o los requisitos en el tiempo de detección se volvieran más exigentes, la escalabilidad del sistema hace que resulte muy sencillo adaptarse a esas nuevas necesidades añadiendo hardware.

Más información en:
http://blog.s21sec.com/ por Alberto Yoldi



Otras noticias de interés:

Los cibercriminales podrían dar con la ubicación de usuarios de routers vulnerables
Kaspersky se hace eco del hallazgo de un hacker que asegura que, utilizando una vulnerabilidad en los routers, se puede rastrear la situación exacta de un usuario que esté en línea mediante una conexión inalámbrica....
Revelación de información sensible en Joomla
Se han publicado dos fallos de seguridad en Joomla! que podrían permitir a un atacante tener acceso a información sensible....
Internet Explorer expone componentes instalados
Una vulnerabilidad en el Internet Explorer 6.0 de Microsoft, permite a terceros comprobar los componentes instalados en la computadora del usuario, a través de documentos HTML construidos maliciosamente (requiere el acceso a un sitio web)....
Localizando (físicamente) routers inalámbricos a partir del identificador emitido (BSSID)
Una simpática empresa denominada Skyhook lleva años pagando a gente para que realice wardriving en su nombre por todos los Estados Unidos. ...
Icaza: OOXML es un estándar soberbio
Unas declaraciones del que fuera máximo responsable de GNOME se contradicen con lo que cualquiera podría pensar de un desarrollador de Linux tan conocido. Miguel de Icaza ensalza el formato de Microsoft, que por el momento no es un estándar ISO....
Parcheada vulnerabilidad Zero Day de IE
Microsoft ha publicado un aviso de seguridad con una actualización de emergencia para reparar un grave bug de Internet Explorer que aún quedaba por parchear. Se trata de una vulnerabilidad de día cero (Zero Day) que afecta a las versiones 6, 7 y 8...
Intentan Eliminar Internet Libre - Ayer Napster, hoy Madster.
Nueva e importante victoria judicial para la industria discográfica que contempla embelesada como empiezan a caer uno a uno los programa de intercambio de archivos demandados....
Descubren una falla de seguridad en Facebook
Una falla de seguridad en la aplicación de Facebook para dispositivos con Android fue identificada por investigadores argentinos del Programa de Seguridad TIC de la Fundación Sadosky. Identificada en mayo y reparada por la compañía tras ser notif...
Virus: engranajes de una cadena criminal
Los virus se convierten en engranajes de una cadena criminal donde las grandes empresas son la víctima más débil....
Evaluación del nivel de amenaza de las vulnerabilidades en programas
Los programas vulnerables son la forma más utilizada para lanzar ataques y robar información confidencial. Los exploits o códigos maliciosos que aprovechan las vulnerabilidades en programas populares para infectar el sistema, se usan en programas ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • deteccion
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • malware
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • phishing
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • temprana
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra