Español | English
rss facebook linkedin Twitter

¿Heurística en la detección de Phishing?


Hace unos días me encontré un interesante artículo en el que se realizaba un análisis sobre diferentes herramientas de detección de Phishing, algunas mediante listas negras y otras que iban más allá, utilizando como valor añadido métodos heurísticos para la detección de webs fraudulentas.

Según el estudio, el uso de métodos heurísticos para determinar si un sitio es Phishing permite hacer la detección en el mismo momento en el que se intenta acceder al website, sin necesidad de que haya aparecido en una lista negra de URLs alimentada por las empresas de seguridad. Por contra, el uso de listas negras necesita la confirmación por parte del proveedor de la lista o de asociados, lo que supone que el tiempo en el que existe riesgo sea mayor.

Otro de los aspectos interesantes que trata el estudio es la rapidez con la que las campañas de Phishing finalizan. El 66% lo hacen antes de pasadas 24 horas, con lo que las barras Anti-Phishing han de ser alimentadas muy rápidamente para evitar ataques, algo que tratan de suplir los fabricantes que utilizan la heurística como valor añadido.

Entonces, ¿por qué solamente dos de las ocho listas negras usan heurísticas como valor añadido? Según el estudio, uno de los productos analizados detectó el 70% de webs fraudulentas desde el primer momento de la campaña (hora cero), lo que evitó gran cantidad de ataques de Phishing.

De momento los fabricantes no se inclinan por esa rama debido a la gran cantidad de falsos positivos que ofrecen, a pesar de que estos se achacan a alos ocho competidores. Además, los defraudadores conocen los métodos que se usan para la detección rápida mediante métodos heurísticos, basada en el contendido del sitio web, firmas de URL y HTML, etc., De este modo pueden despistar o evitar la detección de webs fraudulentas, lo que haría inefectiva la heurística.

Sin embargo, dados los datos que se presentan en el estudio me entra la duda de si hay algo más que hace que todavía no sea muy utilizada la correlación de reglas para detección de Phishing. O si los fabricantes que lo utilizan saben algo nuevo, ya que las reglas de métodos heurísticos, si son conocidas por los defraudadores, no deberían permitir tan pronta detección de Phishing.

Aquí os dejo un enlace con el artículo:
http://www.ceas.cc/papers-2009/ceas2009-paper-32.pdf

Miguel López-Negrete
S21sec labs

(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login