Examining the Impact of Website Take-down on Phishing Martin Jantošovič j antoskoOmail.muni.cz PV177 - Laboratoř pokročilých síťových technologií 28. apríla 2010 bihibhhsub PV177 - Laboratoř pokročil npact of Website Tal Phishing Rock-phish Štatistiky bihibhhsub npact of Website Tal □ g PV177 - Laboratoř pokročil ► -E 0<\0 .o je to phishing! Phishing je proces, kedy sú ľudia lákaní na falošné (podvodné) webové stránky pod zámienkou presvedčiť ich, aby zadali svoje informácie ako sú napríklad užívateľské meno, heslo, adresa, PIN, číslo kreditnej karty, prípadne iné hodnoverné dáta, ktoré sa dajú využiť. Následne sú tieto dáta použité k ukradnutiu identity obete. fflnmnma PV177 - Laboratoř pokročil npact of Website Tal ■ útočníci rozošlú množstvo spamu s URL na ich stránku ■ obeť sa pripojí na stránku ■ stránka sa snaží imitovať originál ■ užívateľ zadá dáta ■ dáta sú následne preposlané e-mailom alebo uložené na stránke ■ vybieli sa obeti účet :( zo strany užívateľa: kontrola URL, spam filter zo strany organizácií: postarať sa, aby stránka bola čo najskôr odstránená bihibhhshb PV177 - Laboratoř pokročil npact of Website Tal niekto nahlási podvodnú stránku stránka sa pridá do blackiistov odošle sa "take-down request" stránka sa zneprístupní (ISP, registrar, bihibhhshb PV177 - Laboratoř pokročil npact of Website Tal Phishing Rock-phish Štatistiky bihibhhsub npact of Website Tal □ g PV177 - Laboratoř pokročil ► -E 0<\0 ■ na kompromitovaný server sa nahrá proxy systém, ktorý presmerováva na back-end server ■ back-end server obsluhuje viacero podvodných stránok ■ nakúpi sa množstvo domén s krátkym názvom (napr.: Iof80.info) ■ rozošlú sa e-mailové správy zakaždým s inou URL (napr.: http://www.volksbank.de.networld.id2435432.lof80.info/rl), čím sa zhorší spam filtrom prácu ■ vďaka proxy môže byť back-end server schovaný kdekoľvek ■ v e-mailoch používajú obrázky Phishing Rock-phish Štatistiky bihibhhsub npact of Website Tal □ g PV177 - Laboratoř pokročil ► -E 0<\0 ■ zber reportov z PhishTank-u ■ URL, čas reportu, whois data, Screenshots -> chýba čas odstránenia ■ pravidelné dotazovanie na hostname, reverse DNS, IP adresu -2x za hodinu ■ ak stránka vrátila 404, bola odstránená z pravidelného testovania, ale stále bola aspoň raz za 48 hodín otestovaná ■ údaje o návštevníkoch: z textového súboru na stránke, Webalizer ■ "rock-phish"cez 50% phishing útokov ■ životnosť klasickej phishingovej stránky približne 62 hodín (medián 20 hodín) ■ životnosť rock-phish domény okolo 95 hodín (medián 55 hodín) ■ finančné zárobky klasického phishingu približne $160.4m ročne ■ rock-phish približne $320m (iba odhad) ročne n 50% - p 40% - 30% - 20% - - 10% - 0% - 1 n Non-rock phish □ Rock-phish domains n Rock-phish IPs a Fast-flux domains □ Fast-flux IPs lynmi *JL .ntulL *&, Jlo. 1 1 2 3 4 5 6 7 8 9 10 11 12 13 14 More Lifetime (days) Sites Mean lifetime (hours) Median lifetime (hours) Non-rock Rock domains Rock IPs Fast-flux domains Fast-flux IPs 1695 421 125 57 4 287 61.69 94.68 171.8 196.2 138.6 19.52 55.14 25.53 111.0 18.01 ■ť)c\0 toSmail.muni.cz PV177 - Laboratoř pokroč lých síťc vých techr ologií npact of Website Tal približne 18 užívateľov nechá svoje dáta počas prvého dňa každý ďalší deň sa k ním pridá 8 nových bihibhhshb PV177 - Laboratoř pokročil npact of Website Tal