Detección temprana de phishing y malware


Los casos de phishing se suelen ver habitualmente como un problema que atañe en primera instancia a la víctima (al usuario) y obviamente también a la reputación de la entidad suplantada. Sin embargo, hay un tercer actor implicado que podría “hacer algo más” contra este tipo de incidentes. Hablamos de la compañía que aloja la página fraudulenta.





Desde S21sec hemos desarrollado una solución, que haciendo uso de tecnologías de crawling e indexación, es capaz de detectar casos de phishing y malware desde la parte del alojamiento, constituyendo un valor añadido de cara a los clientes finales (por ejemplo, entidades financieras). El objetivo es ser capaces de detectar los casos en la parte del alojamiento de manera automatizada y mucho antes de que el hosting reciba la solicitud de retirar el contenido fraudulento, reduciendo el impacto negativo del incidente sobre la reputación del cliente y minimizando cantidad de víctimas potenciales.

La solución actúa sobre los siguientes puntos:

- Detección de enlaces a logotipos bancarios: Las páginas de phishing contienen habitualmente enlaces a imágenes de logotipos bancarios alojados en los sitios webs oficiales de los bancos y cajas. Por lo tanto, si una página web alojada contiene un enlace a una imagen original de una entidad financiera, será considerada como sospechosa de caso de phishing y será indexada por el sistema. Los pasos que serán realizados son los siguientes:
Recolección de imágenes bancarias originales.

Cada imagen perteneciente a una web alojada, se compara con las imágenes bancarias originales.
Si la comparación resulta positiva para alguna de las imágenes, se indexa guardando la url de la imagen original (la de la página del banco en cuestión) considerándose como un caso potencial phishing.

- Detección de iframes: En ocasiones las páginas de phishing pueden hacer referencia a porciones de páginas web originales por medio de iframes. La forma de proceder en este caso es similar al caso anterior, analizando si algún iframe constituye un enlace hacia los sitios web de las entidades financieras.

- Detección de imágenes: una práctica habitual en las web de phishing es la de copiar las imágenes de los bancos para así mostrar una página lo más parecida a la original. Los pasos para detectar si una imagen en una web alojada es copia de una imagen bancaria original son los siguientes:
Recolección de imágenes bancarias originales.

Cada imagen perteneciente a una web alojada, se compara con las imágenes bancarias originales.

Si la comparación resulta positiva para alguna de las imágenes, se indexa guardando la url de la imagen original (la de la página del banco en cuestión) considerándose como un caso potencial phishing.

En cuanto a la cobertura, las pruebas realizadas arrojan datos del orden de cientos de miles de páginas recorridas al día (accediendo de forma externa). Volúmenes de procesamiento que obviamente se verían multiplicados si el sistema estuviese ubicado en las propias instalaciones de la compañía de alojamiento. Si el volumen creciera o los requisitos en el tiempo de detección se volvieran más exigentes, la escalabilidad del sistema hace que resulte muy sencillo adaptarse a esas nuevas necesidades añadiendo hardware.

Más información en:
http://blog.s21sec.com/ por Alberto Yoldi



Otras noticias de interés:

Liberada Nueva versión de CentOS 5.5
CentOS (Community ENTerprise Operating System) es un clon a nivel binario de la distribución Linux Red Hat Enterprise Linux RHEL, compilado por voluntarios a partir del código fuente liberado por Red Hat....
GNU/Linux empieza a atraer a los escritores de virus
La creciente popularidad de este sistema operativo hace que se convierta en objetivo de los virus....
Desbordamiento de búfer en shell32.dll de Windows XP
Se ha detectado la existencia de una vulnerabilidad de desbordamiento de búfer en Windows XP, que podrá ser explotada por usuarios maliciosos para elevar sus privilegios en los sistemas vulnerables. ...
Yahoo! corrige grave vulnerabilidad en su correo
Yahoo! ha solucionado un problema de seguridad que dejaba a los usuarios de su popular servicio de correo web, en riesgo de que sus credenciales de acceso y todo el contenido de sus cuentas fuera robado. ...
Opera niega haberse negado a parchar vulnerabilidad
Un error en la forma en que Opera maneja los graficos de vector escalabes (SVG) puede llevar a la ejecución de código arbitrario. Opera Software ha publicado una actualización para su navegador de escritorio con el fin de hacer frente a una vulner...
Intento de revival de los virus de macro
spam. El virus no representa ninguna evolución del concepto y no se le espera repercusión alguna, pero supone un renovado y discreto interés por este tipo de malware, prácticamente extinto desde finales de los 90. ...
Hemos convertido la tecnología en invisible
Microsoft se ha empeñado en acabar con la tiranía de los mandos a distancia y promete que con Kinect, antes conocido con el nombre en clave Project Natal, no los echaremos de menos. en entrevista a Mark Whitten, máximo responsable de Xbox Live y p...
Múltiples vulnerabilidades en Clam AntiVirus
Se ha anunciado la aparición de una nueva versión de ClamAV que solventa varias vulnerabilidades, algunas que podrían ser explotadas por un atacante remoto para ejecutar código arbitrario o saltarse restricciones de seguridad y otras que podrían...
Vulnerabilidades peligrosas de software permanecen por meses
Kaspersky Lab publicó el informe: Evaluando el nivel de amenaza de las vulnerabilidades de software, después de un análisis cuidadoso sobre la prevalencia de fallas de seguridad encontradas en varios programas en 2012. Usando datos de la red de se...
"Linux empieza a amenazar la supremacía de Microsoft"
El programa de código abierto ha sido abrazado como la plataforma oficial de miles de oficinas gubernamentales y de instituciones educativas en todo el mundo. Al menos, se trata de algo evidente para los alumnos de la Escuela Primaria Nooi...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • deteccion
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • malware
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • phishing
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • temprana
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra