Revista si suplimente
MarketWatch
Inapoi Inainte

Phishing-ul – Problema rezolvată proactiv de către Provision

31 Mai 2008



În perioada recentă, majoritatea instituţiilor financiare se confruntă cu o creştere fără precedent a fenomenului denumit în mod generic “phishing”. Acest tip de atac constă în crearea şi răspândirea de e-mail-uri şi web-site-uri concepute astfel încât să imite şi să poată trece drept e-mail-uri şi situri legitime ale unor instituţii financiare (de regulă bănci) sau situri de e-commerce, în vederea colectării de informaţii personale de tip, nume, username şi parolă, număr cont/card şi alte date de identificare necesare furtului de identitate şi fructificării ulterioare a acestora pentru transferuri bancare şi efectuare de plăţi.


Phishing-ul este un atac relativ simplu de efectuat, care presupune următoarele activităţi:
•conceperea mesajului şi a paginii web;
•găsirea unuia sau mai multor furnizori de servicii de hosting şi e-mail;
•(eventual) conceperea unui ActiveX cu conţinut activ care poate “planta” un keylogger sau troian;
•trimiterea mesajelor bulk;
•colectarea de informaţii şi, eventual, mutarea “host”-ului în cazul în care primul site şi /sau server de e-mail este detectat, reclamat şi stopat;
•utilizarea informaţiilor în scopul comiterii de fraude.
Deşi este un atac simplu care este cunoscut în cele mai mici amănunte, phishing-ul este în acelaşi timp un atac extrem de eficient, bazându-se pe naivitatea şi lipsa de educaţie a utilizatorilor şi pe caracterul de urgenţă al “call to action”-ului conţinut în mesaj. În România atacurile de tip phishing sunt din ce în ce mai frecvente, majoritatea băncilor importante trecând aproape lunar printr-un asemenea atac. Ce este de făcut?
Provision a identificat nevoia stopării acestui fenomen şi oferă o gamă completă de servicii ce privesc combaterea şi prevenirea atacurilor de tip phishing. Serviciile respective acoperă toate ariile gestionării unui atac de tip phishing, începand, cu notificarea asupra atacului, limitarea daunelor, protecţia victimelor atacului şi încheind cu acţiunile decisive de închidere şi confirmare a dezactivării siturilor ce găzduiesc paginile de phishing.
Portalul este disponibil la următoarea adresă: http://www.phish-inspector.com/ şi cuprinde următoarele servicii:


Serviciile de detecţie proactivă
Descoperirea în timp util a siturilor de phishing este primul pas în limitarea daunelor pe care un atac de tip phishing le poate cauza. Provision monitorizează constant cele trei componente fundamentale ale unui asemenea atac:
1. Siturile web ce găzduiesc pagini de phishing
2. Emailuri de tip spam
3. Înregistrări DNS ale unor domenii noi ce pot fi folosite pentru phishing.


1. Detecţia proactivă
Detecţia proactivă a siturilor implicate în phishing se realizează utilizând tehnici de web crawling şi algoritmi proprietari de interpretare a conţinutului web, cum ar fi Web Page DNATM.
Astfel se optimizează efortul de analiză a paginilor descoperite de către roboţii de indexare şi se reduce drastic numărul de false pozitive. Paginile suspecte descoperite în urma analizei automate sunt trimise spre validare unor echipe de analişti astfel încât să nu existe dubii asupra conţinutului sau intenţiei hostului suspectat de phishing.
2. Monitorizarea spam-ului
Sistemul include şi monitorizarea mesajelor email de tip spam în cadrul unor structuri de tip honeypot. Toate linkurile din aceste email-uri sunt considerate suspecte şi sunt analizate pentru a vedea dacă siturile ţintă gazduiesc pagini de phishing.
3.Monitorizarea înregistrărilor DNS
A treia componentă a unui atac phishing este formată din înregistrări DNS atât ale unor hub-uri de redirectare (linkurile trimise prin email), cât şi ale paginilor de phishing în sine.
Datorită unor parteneriate speciale cu cei mai mari registrări, Provision este informat continuu asupra domeniilor noi care pot viza brand-uri comerciale. Astfel se poate interveni în primele momente ale atacului, uneori chiar înainte ca victimele să acceseze situl de phishing.
În plus faţă de detecţia realizată utilizând tehnologiile de mai sus, Provision agregă informaţii de la terţi cum ar fi: Phishing Incident Reporting and Termination (http://www.castlecops.com/ pirt), PhishTank (http://www.phishtank.com/) şi MillerSmiles (http:// www.millersmiles.co.uk/). Toate siturile raportate în aceste resure externe sunt analizate şi, în plus, serverele ce găzduiesc aceste pagini sunt analizate pentru a vedea dacă nu cumva găzduiesc şi alte resurse de phishing.
În urma detecţiei definitive a cazurilor de phishing, urmează alertarea clientului prin email şi telefonic. O dată ce un site a fost confirmat ca phishing, se continuă monitorizarea lui, pentru a confirma dezactivarea şi pentru a împiedica reactivarea lui.


Servicii de răspuns la incident
Există două acţiuni reactive care se derulează simultan în momentul identificării unui site de phishing:
1. Blocarea accesului vizitatorilor la nivelul browser-ului
2. Dezactivarea siturilor implicate în atacul phishing.


1. Blocarea accesului vizitatorilor
Este un proces critic prin care se încearcă limitarea daunelor produse de către atacatori. Răspunsul rapid este asigurat de unele parteneriate speciale cu cei mai mari producători de software, cum ar fi :
•producătorii de browsere web sau add-on-uri pentru browsere (ex. Microsoft, Google, Mozilla)
•dezvoltatorii de soluţii de securitate: Antivirus, Anti-spyware, Web filtering, etc
Aceşti parteneri sunt notificaţi rapid prin intermediul unui data feed numit RealPhish, care conţine liste de situri confirmate ca phishing. Partenerii Provision utilizează aceste informaţii pentru a crea noi semnături şi filtre distribuite apoi automat tuturor end-user-ilor.
Prevenirea utilizatorului asupra faptului că a accesat un site de phishing se face fie prin popup / alertă în browser sau prin intermediul soluţiei antivirus / antispyware folosite, reducând drastic daunele. Timpul mediu scurs de la confirmarea unui site de phishing şi până la blocarea accesului utilizatorului este foarte scurt, între 10 şi 30 de minute.


2. Dezactivarea siturilor implicate în phishing
În paralel cu protecţia utilizatorilor la nivel de browser se începe acţiunea de dezactivare a siturilor implicate în atacul de tip phishing. Aceste măsuri implică contactarea ISP-urilor, a companiilor de hosting, a registrărilor DNS şi a organizaţiilor CERT. Timpul mediu de dezactivare a siturilor găzduite este mai mic de 24 ore. Nu există bariere lingvistice, deoarece sunt utilizate servicii de traducere care asistă echipa anti-
phishing 24x7.
Rata de succes în dezactivarea siturilor maliţioase este de 100%,
iar etapele dezactivării siturilor de phishing sunt următoarele:
•clientul detectează un site de phi-shing şi notifică Provision sau servicul depistează un site de phishing şi notifică ţinta conform protocolului stabilit de comunicare
•După confirmrea sitului de phishing se publică URL-ul în feedul de date RealPhish care este distribuit tuturor partenerilor. Acesta include URL-ul în semnături noi care sunt distribuite către end-useri prin browsere, anti-virus, antispyware, web filtering, email filtering.
•Se desfăşoară procesul de închidere propriu-zisă, în colaborare atât cu registrării şi furnizorii de servicii, cât şi cu autorităţile de combatere a cybercrime.
•Timp de 30 de zile situl de phishing este monitorizat şi dacă este reactivat de către atacator, se consideră acest lucru o continuare a atacului iniţial şi este reluat procesul
de eliminare a lui, fără costuri adiţionale.
Disponibilitatea Serviciului este 24x7 şi rezultatele sunt garantate. Ca şi efect imediat, se poate constata stoparea atacurilor şi reducerea tentativelor de phishing pentru clienţii înscrişi pentru acest serviciu. Un efect secundar este economia de resurse IT care ar fi dedicate stopării atacului, reducerea pierderilor (datorate celor care îşi dezvăluie datele confidenţiale în cadrul atacului) şi, poate cel mai important, câştigul de imagine al clientului.


Provision Security, parte a Provision IT Group, este cel mai important value added distributor în domeniul securităţii informaţiei din România şi chiar din Europa de Est. Provision Security este unic distribuitor în România pentru cele mai importante brand-uri din domeniu, având o cotă de 44% din piaţa de securitate a informaţiilor din România. Distribuţia de tehnologii este completată cu succes de servicii profesionale de design, implementare, suport tehnic şi răspuns la incidente, precum
şi de centrul de training care oferă pregătire autorizată şi servicii de examinare pentru obţinerea unor certificări recunoscute internaţional.


www.provision.ro
Dragos Lungu
Security Consultant
Phish Inspector



Parerea ta conteaza:

(0/5, 0 voturi)

Lasa un comentariu



trimite