Sledování podvodných phishingových webů

Ve světě online podvodů, stejně jako v reálném životě, platí, že čím déle mohou nezbedníci operovat, aniž by byli přistiženi, tím více peněz mohou vydělat. A odborníci zjistili, že mnoho phisherů – podvodníků, kteří používají falešné webové stránky, aby přiměli uživatele k tomu, aby se vzdali cenných osobních informací – našli trik, který znesnadňuje těm dobrým je zablokovat nebo vypnout.

Přestal phishing: Výzkumníci z Indiana University – zleva doprava, Andrew Kalafut, Youngsang Shin a Minaxi Gupta – studují trik používaný ke ztížení odhalování a blokování phishingových stránek.

Tento trik zvaný flux umožňuje falešné stránce velmi rychle změnit svou adresu na internetu, takže obráncům je těžké tyto stránky zablokovat nebo varovat nic netušící uživatele. Podle výzkumu nedávno zveřejněného v časopise Zabezpečení a soukromí IEEE , asi 10 procent phishingových stránek používá tok, aby se skryly.

Flux využívá systém názvů internetových domén, který je zodpovědný za shodu webové adresy zadané do prohlížeče se serverem, který skutečně hostí web. Když se uživatel pokusí navštívit webovou stránku, systém názvů domén nejprve uživatele přesměruje na jmenný server, který udržuje aktualizovaný seznam adres stránek. Tento jmenný server pak sdělí prohlížeči uživatele, kde najde požadovanou stránku.

Normálně pouze malý počet počítačů hostí kopie webu – právě tolik, aby jej udržely v chodu, pokud se něco pokazí. Podvodné stránky jsou však jiný příběh. Phishingové stránky jsou často hostovány prostřednictvím botnetů – tisíců unesených strojů distribuovaných po celém světě.

Tyto stroje nepatří darebákům, patří tobě, mně a našim babičkám, říká Minaxy Gupta , odborný asistent informatiky na Indiana University, který se podílel na výzkumu. Protože phisheři mají přístup k tolika strojům, vysvětluje, mohou je všechny použít k rychlému pohybu webem, vyhazovat obránce z pachu a přitom udržovat web dostupný.

Aby mohl phisher používat flux, potřebuje ovládat název domény, což mu dává právo ovládat jeho jmenný server. Phisher pak nastaví jmenný server tak, aby nasměroval každého nového návštěvníka na jinou sadu strojů a rychle procházel tisíci adres dostupnými v botnetu. Gupta poznamenává, že tok je nejúčinnější, když phisher přesune také umístění jmenného serveru. Pokud se jmenný server také přesouvá na různá místa na internetu, je pro obránce dvojnásob těžké určit centrální místo, kde lze falešný web vypnout. Guptova skupina zjistila, že 83 procent phishingových webů, které tok využívaly tímto způsobem, trvalo déle než jeden den, než byly zablokovány, ve srovnání s 65 procenty přežití u webů, které tok nepoužívaly.

Skupina také identifikuje metody detekce toku a navrhuje, že detekce toku by měla být zabudována do samotného systému názvů domén. Vzhledem k tomu, že použití této techniky pravděpodobně znamená, že je stránka podvodná, samotný systém by mohl pomoci chránit nic netušící uživatele před návštěvou těchto stránek.

Zkrácení doby detekce dokonce o několik hodin může znamenat významný rozdíl, říká Alper Caglayan, prezident společnosti Milcord , společnost se sídlem ve Walthamu, MA, která shromažďuje data o botnetech v reálném čase. Pokud mohou fungovat byť jen jeden den, už vydělali příliš mnoho peněz, dodává.

Caglayan poznamenává, že existují některé legitimní způsoby využití toku – například k efektivnímu poskytování multimediálního obsahu – ale říká, že způsob, jakým tok využívá botnet, by měl vypadat jinak. Například stroje botnetu jsou roztroušeny po celém světě způsobem, který by pro legitimní podnikání nedával smysl.

Někteří odborníci se domnívají, že k zastavení phishingových stránek je zapotřebí vícestranný přístup. Společnost Caglayan poskytuje službu, která pomáhá poskytovatelům internetových služeb a dalším správcům velkých sítí najít a vypnout infikované stroje v jejich sítích.

Některé webové prohlížeče také používají černé listiny, aby varovaly uživatele před podvodnými stránkami. Ale triky jako flux téměř znemožňují, aby tyto černé listiny zůstaly dostatečně aktuální, aby byly užitečné. Caglayan očekává, že v budoucnu budou muset prohlížeče zabudovat systémy, které dokážou podvody odhalit samy.

Detekce toku pomůže pouze lidem, kteří používají nějaké blokovací služby, říká Srivastava ruce , hlavní technický ředitel Cyveillance , bezpečnostní společnost se sídlem v Arlingtonu, VA. Aby bylo možné účinně řešit útok zahrnující rychlý tok, je nutné odstranit doménu z internetu, a to vyžaduje spolupráci buď s registrátorem nebo registrem této domény, říká. To může být obtížné, protože některé domény se nacházejí v zemích s uvolněnými předpisy pro internetové podvody. Jednodušší překážky, jako je jazyková bariéra, mohou také nechat podvodnou stránku v provozu po delší dobu.

Gupta říká, že stejně jako u většiny internetových zločinů je flux pouze jednou složkou větší hry na kočku a myš. Tuto hru nemůžete vyhrát, říká. Musíte jen neustále odhalovat jejich prostředky a přizpůsobovat se jim.

skrýt