211service.com
Seguimiento de sitios web de phishing engañosos
En el mundo del fraude en línea, como en la vida real, cuanto más tiempo puedan operar los malhechores sin ser atrapados, más dinero pueden ganar. Y los expertos han descubierto que muchos phishers (delincuentes que utilizan sitios web falsos para engañar a los usuarios para que proporcionen información personal valiosa) han encontrado un truco que dificulta que los buenos los bloqueen o cierren.
Eliminación del phishing: Investigadores de la Universidad de Indiana, de izquierda a derecha, Andrew Kalafut, Youngsang Shin y Minaxi Gupta, están estudiando un truco que se utiliza para hacer que los sitios de phishing sean más difíciles de detectar y bloquear.
El truco, denominado flux, permite que un sitio falso cambie su dirección en Internet muy rápidamente, lo que dificulta a los defensores bloquear estos sitios o advertir a los usuarios desprevenidos. Según una investigación publicada recientemente en la revista Seguridad y privacidad IEEE , alrededor del 10 por ciento de los sitios de phishing utilizan flux para ocultarse.
Flux utiliza el sistema de nombres de dominio de Internet, que es responsable de hacer coincidir una dirección web ingresada en un navegador con el servidor que realmente aloja un sitio. Cuando un usuario intenta visitar una página web, el sistema de nombres de dominio primero dirige al usuario a un servidor de nombres, que mantiene una lista actualizada de direcciones de sitios. Este servidor de nombres le dice al navegador del usuario dónde encontrar el sitio deseado.
Normalmente, solo una pequeña cantidad de máquinas alojan copias de un sitio, lo suficiente para mantenerlo en funcionamiento si algo sale mal. Los sitios fraudulentos, sin embargo, son una historia diferente. Los sitios de phishing a menudo se alojan a través de botnets, miles de máquinas secuestradas distribuidas por todo el mundo.
Estas máquinas no pertenecen a los malhechores, nos pertenecen a ti y a mí y a nuestras abuelas, dice Minaxi Gupta , profesor asistente de ciencias de la computación en la Universidad de Indiana que participó en la investigación. Debido a que los phishers tienen acceso a tantas máquinas, explica, pueden usarlas todas para mover un sitio rápidamente, despistando a los defensores mientras mantienen el sitio web disponible.
Para usar flux, un phisher necesita controlar un nombre de dominio, lo que le da derecho a controlar su servidor de nombres. El phisher luego configura el servidor de nombres para que dirija a cada nuevo visitante a un conjunto diferente de máquinas, recorriendo rápidamente las miles de direcciones disponibles dentro de la botnet. Gupta señala que el flujo es más efectivo cuando el phisher también cambia la ubicación del servidor de nombres. Si el servidor de nombres también se está moviendo a diferentes ubicaciones en Internet, es doblemente difícil para los defensores identificar una ubicación central donde se pueda cerrar el sitio web falso. El grupo de Gupta descubrió que el 83 por ciento de los sitios de phishing que usaban flux de esta manera duraban más de un día antes de ser bloqueados, en comparación con una tasa de supervivencia del 65 por ciento para los sitios que no usaban flux.
El grupo también identifica métodos para detectar el flujo y sugiere que la detección del flujo debe estar integrada en el sistema de nombres de dominio. Dado que el uso de la técnica probablemente signifique que un sitio es fraudulento, el sistema en sí podría ayudar a proteger a los usuarios desprevenidos de visitar estos sitios.
Acortar el tiempo de detección incluso en unas pocas horas puede marcar una diferencia significativa, dice Alper Caglayan, presidente de Milcord , una empresa con sede en Waltham, MA, que recopila datos en tiempo real sobre botnets. Si pueden operar incluso un día, ya han ganado demasiado dinero, agrega.
Caglayan señala que existen algunas formas legítimas de usar flux, por ejemplo, para entregar contenido multimedia de manera eficiente, pero dice que la forma en que una botnet usa flux debería verse diferente. Por ejemplo, las máquinas de una botnet están esparcidas por todo el mundo siguiendo un patrón que no tendría sentido para un negocio legítimo.
Algunos expertos creen que se necesita un enfoque múltiple para detener los sitios de phishing. La compañía de Caglayan brinda un servicio que ayuda a los proveedores de servicios de Internet y otros administradores de redes importantes a encontrar y apagar las máquinas infectadas dentro de sus redes.
Algunos navegadores web también utilizan listas negras para advertir a los usuarios de sitios fraudulentos. Pero trucos como el flujo hacen que sea casi imposible que esas listas negras se mantengan lo suficientemente actualizadas como para ser útiles. Caglayan espera que, en el futuro, los navegadores necesiten incorporar sistemas que puedan detectar el fraude por sí mismos.
Detectar el flujo solo ayudará a las personas que utilizan servicios de bloqueo de algún tipo, dice Manos de Srivastava , director técnico de Cyveillance , una empresa de seguridad con sede en Arlington, VA. Para hacer frente de manera efectiva a un ataque que involucra fast flux, es necesario quitar el dominio de Internet, y eso requiere trabajar con el registrador o el registro de ese dominio, dice. Esto puede ser difícil porque algunos dominios están ubicados en países con regulaciones flexibles para el fraude en Internet. Los obstáculos más simples, como la barrera del idioma, también pueden dejar un sitio fraudulento en funcionamiento durante un período de tiempo más prolongado.
Gupta dice que, como ocurre con la mayoría de los delitos en Internet, el flujo es solo un componente en un juego más amplio del gato y el ratón. No puedes ganar este juego, dice ella. Solo tiene que detectar continuamente sus medios y adaptarse a ellos.