¿Por qué en Antiphishing.com.ar identificamos phishing tan rápido?
Es bastante común que nos consulten cómo desde Antiphishing.com.ar encontramos sitios de Phishing de forma temprana y cómo llevamos adelante el proceso de seguimiento y baja. Este post tiene como objetivo aclarar algunas consideraciones respecto a estas consultas.
Es importante descacar que en este caso solo nos centraremos en identificar casos de sitios falsos sin correos elecrónicos e incluso antes de que el delincuente comience a propagarlos públicamente.
Desde Google hace tiempo han llevado adelante las políticas referidas a Certificate Transparency de los certificados digitales, lo cual desde ElevenPaths han profundizado y en cual nos basámos para encontrar sitios HTTPS recien registrados.
Primero, StreamingPhish es una herramienta que identifica posibles sitios de phishing mediante la extracción de datos en certificados recientemente registrados. Con esta herramienta es posible descubrir sitios de phishing antes de que esten listos para ser publicados hacia las víctimas. Además, es posible identificar el sitio falso recien registrado y hasta horas después de registrar el certificado digital. Luego, de este primer descubrimiento, a veces, es posible encontrar más de un sitio alojado en mismo servidor y en otros directorios del mismo.
Por ejemplo, en este caso se encontró un sitio HTTPS masterconsultas-secure[.]com y, a partir de este se pudo encontrar su homólogo secure-masterconsultas.com[.]com.
Una vez identificados los sitios, es posible rastrear el registro del dominio y de los DNS y, a partir de ahí, reportar el incidente a la entidad registrante, quien en última instancia será el responsable del bloqueo definitivo y eliminación del registro de DNS y/o del sitio web falso.
Por ejemplo, en este caso masterconsultas-secure[.]com tiene sus DNS registrados en una empresa denomida "MOCHAHOST", el cual dio de baja los sitios dañinos después de varios intercambios con ellos:
Este procedimiento fue el llevado a cabo por ejemplo, para descubrir de forma temprana el siguiente sitio falso de Apple. El dominio posteriormente fue dado de baja en pocos minutos.
La economía de phishing tiene muchos y pequeños delincuentes con poca o ninguna habilidad previa. Estos jugadores aprenden de delincuentes más grandes que venden kits e infraestructurax orientadas al cibercrimen. En la parte superior de la cadena hay algunos profesionales que producen kits cada vez más sofisticados para la venta o los utilizan para sus propios fines más específicos.
Afortunadamente, cada vez hay más herramientas disponibles que permiten acceder a los datos de registro de los sitios y los certificados digitales y permiten detectar nuevos sitios sospechosos. Estos proyectos, incluyen Phishing Catcher, StinkyPhish y StreamingPhish que a su vez emplean Certstream, una base de datos en tiempo real de los registros de transparencia de certificados de las principales autoridades certificadoras (CA).
Algunos otros recursos que se pueden utilizar:
Es importante descacar que en este caso solo nos centraremos en identificar casos de sitios falsos sin correos elecrónicos e incluso antes de que el delincuente comience a propagarlos públicamente.
Desde Google hace tiempo han llevado adelante las políticas referidas a Certificate Transparency de los certificados digitales, lo cual desde ElevenPaths han profundizado y en cual nos basámos para encontrar sitios HTTPS recien registrados.
Primero, StreamingPhish es una herramienta que identifica posibles sitios de phishing mediante la extracción de datos en certificados recientemente registrados. Con esta herramienta es posible descubrir sitios de phishing antes de que esten listos para ser publicados hacia las víctimas. Además, es posible identificar el sitio falso recien registrado y hasta horas después de registrar el certificado digital. Luego, de este primer descubrimiento, a veces, es posible encontrar más de un sitio alojado en mismo servidor y en otros directorios del mismo.
Por ejemplo, en este caso se encontró un sitio HTTPS masterconsultas-secure[.]com y, a partir de este se pudo encontrar su homólogo secure-masterconsultas.com[.]com.
Por ejemplo, en este caso masterconsultas-secure[.]com tiene sus DNS registrados en una empresa denomida "MOCHAHOST", el cual dio de baja los sitios dañinos después de varios intercambios con ellos:
La economía de phishing tiene muchos y pequeños delincuentes con poca o ninguna habilidad previa. Estos jugadores aprenden de delincuentes más grandes que venden kits e infraestructurax orientadas al cibercrimen. En la parte superior de la cadena hay algunos profesionales que producen kits cada vez más sofisticados para la venta o los utilizan para sus propios fines más específicos.
Afortunadamente, cada vez hay más herramientas disponibles que permiten acceder a los datos de registro de los sitios y los certificados digitales y permiten detectar nuevos sitios sospechosos. Estos proyectos, incluyen Phishing Catcher, StinkyPhish y StreamingPhish que a su vez emplean Certstream, una base de datos en tiempo real de los registros de transparencia de certificados de las principales autoridades certificadoras (CA).
Algunos otros recursos que se pueden utilizar:
- Certificate Transparency Log
- x0rz Phishing Catcher, permite detectar sitios de Phishing en tiempo rea
- Calidog Security, creadores de Certstream
- Phishing Regex Resource, lista de palabras comunes en sitios de phishing creada por SwiftOnSecurity.
- PhishTank, listado de sitios de phishing.
Genios!
ResponderBorrar¡Ídolos!
ResponderBorrar