Español | English
rss facebook linkedin Twitter

Detección temprana de phishing y malware

Los casos de phishing se suelen ver habitualmente como un problema que atañe en primera instancia a la víctima (al usuario) y obviamente también a la reputación de la entidad suplantada. Sin embargo, hay un tercer actor implicado que podría “hacer algo más” contra este tipo de incidentes. Hablamos de la compañía que aloja la página “fraudulenta”.

Desde S21sec hemos desarrollado una solución, que haciendo uso de tecnologías de crawling e indexación, es capaz de detectar casos de phishing y malware desde la parte del alojamiento, constituyendo un valor añadido de cara a los clientes finales (por ejemplo, entidades financieras). El objetivo es ser capaces de detectar los casos en la parte del alojamiento de manera automatizada y mucho antes de que el hosting reciba la solicitud de retirar el contenido fraudulento, reduciendo el impacto negativo del incidente sobre la reputación del cliente y minimizando cantidad de víctimas potenciales.

La solución actúa sobre los siguientes puntos:

- Detección de enlaces a logotipos bancarios: Las páginas de phishing contienen habitualmente enlaces a imágenes de logotipos bancarios alojados en los sitios webs oficiales de los bancos y cajas. Por lo tanto, si una página web alojada contiene un enlace a una imagen original de una entidad financiera, será considerada como sospechosa de caso de phishing y será indexada por el sistema. Los pasos que serán realizados son los siguientes:
  • Recolección de imágenes bancarias originales.
  • Cada imagen perteneciente a una web alojada, se compara con las imágenes bancarias originales.
  • Si la comparación resulta positiva para alguna de las imágenes, se indexa guardando la url de la imagen original (la de la página del banco en cuestión) considerándose como un caso potencial phishing.
- Detección de iframes: En ocasiones las páginas de phishing pueden hacer referencia a porciones de páginas web originales por medio de iframes. La forma de proceder en este caso es similar al caso anterior, analizando si algún iframe constituye un enlace hacia los sitios web de las entidades financieras.

- Detección de imágenes: una práctica habitual en las web de phishing es la de copiar las imágenes de los bancos para así mostrar una página lo más parecida a la original. Los pasos para detectar si una imagen en una web alojada es copia de una imagen bancaria original son los siguientes:
  • Recolección de imágenes bancarias originales.
  • Cada imagen perteneciente a una web alojada, se compara con las imágenes bancarias originales.
  • Si la comparación resulta positiva para alguna de las imágenes, se indexa guardando la url de la imagen original (la de la página del banco en cuestión) considerándose como un caso potencial phishing.
En cuanto a la cobertura, las pruebas realizadas arrojan datos del orden de cientos de miles de páginas recorridas al día (accediendo de forma externa). Volúmenes de procesamiento que obviamente se verían multiplicados si el sistema estuviese ubicado en las propias instalaciones de la compañía de alojamiento. Si el volumen creciera o los requisitos en el tiempo de detección se volvieran más exigentes, la escalabilidad del sistema hace que resulte muy sencillo adaptarse a esas nuevas necesidades añadiendo hardware.

La presentación eficaz de los casos potenciales constituye otra de las prioridades del proyecto. Los incidentes se presentan de forma intuitiva y clasificados según el tipo de incidente, bajo una plataforma que permite filtrado y facilita el análisis de los positivos.

Esta sería la página de resultados:


Y aquí un ejemplo de un positivo detectado por la herramienta:


En el siguiente post se analizará la segunda parte del proyecto, una solución similar para detectar malware.

Alberto Yoldi
S21sec e-crime

(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login