PhiGARo HTTP(S) – tool for phishing incident processing

ČEGAN, Jakub, Tomáš ŠÍMA, Jan SOUKAL and Martin DRAŠAR. PhiGARo HTTP(S) – tool for phishing incident processing. 2013.

Basic information

• Original name: PhiGARo HTTP(S) – tool for phishing incident processing
• Name in Czech: PhiGARo HTTP(S) - nástroj ke zpracování phishingových incidentů.
• Authors: ČEGAN, Jakub (203 Czech Republic, guarantor, belonging to the institution), Tomáš ŠÍMA (203 Czech Republic, belonging to the institution), Jan SOUKAL (203 Czech Republic, belonging to the institution) and Martin DRAŠAR (203 Czech Republic, belonging to the institution).
• Edition: 2013.

Other information

• Original language: English
• Type of outcome: Software
• Field of Study: 10201 Computer sciences, information science, bioinformatics
• Country of publisher: Czech Republic
• Confidentiality degree: is not subject to a state or trade secret
• WWW: PhiGARo - tool for phishing incident processing, homepage & download
• RIV identification code: RIV/00216224:14610/13:00072265
• Organization unit: Institute of Computer Science
• Keywords in English: phishing; incident; detection; response; blocking; NetFlow; Sendmail; HTTP; HTTPS; logs; ticketing system; Request Tracker; API; screenshot
• Technical parameters: PhiGARo HTTP(S) integruje nástroje potřebné pro management a řešení phishingových incidentů. Je propojeno s tiketovacím systémem Request Tracker. Informace o incidentech čerpá z NetFlow dat pomocí knihovny nad nástrojem nfdump. Informace o e-mailovém provozu získává z poštovních logů pomocí modulu nainstalovaného na poštovní server, který je ovládán přes REST API. Reaktivní část procesu řešení incidentu umožňuje nástroj RTBH a interní nástroj pro blokování poštovních adres. Pro tvorbu snímků phishingových stránek je využíváno volně dostupná služba s rozhraním REST API. Odpovědná osoba: Jakub Čegan, Masarykova univerzita, Ústav výpočetní techniky, Bezpečnostní oddělení, Botanická 68a, 60200 Brno, tel.: +420 549 49 8149, e-mail: cegan@ics.muni.cz
• Tags: rivok

Abstract

PhiGARo HTTP(S) is the specialized tool for the phishing incident management and processing. This version is an evolution of a previous PhiGARo and it enhances tool's functionality. New features is a detection of a phishing via HTTP(S), creating screenshots of a malicious page and new API for a remote access. PhiGARo HTTP(S) joins functionality of our available tools (NetFlow, mail logs) for identification of a phishing attack, anti-phishing response tools and security incident management tool (Request Tracker). This tool is in the first place instrument necessary of a immediate response for the phishing incident and finding possible victims. PhiGARo provides methods and metrics for identification of potential victims. Furthermore it has functionality which automatically informs potential victims and organization's network administrators about active phishing threat against a network.

Abstract (in Czech)

PhiGARo HTTP(S) je nástroj určený k usnadnění managementu a zpracování phishingových incidentů. Navazuje na předchozí verzi a rozšiřuje ji o detekci pomocí HTTP(S), možnost automatického vytváření screenshotů phishingových stránek a nové API pro vzdálené ovládání. PhiGARo HTTP(S) spojuje funkcionalitu nástrojů používaných k identifikaci rozsahu phishingových útoků z dostupných dat (NetFlow, logy poštovních serverů), nástrojů pro reakci na phishing a nástroje pro management bezpečnostních incidentů (např. Request Tracker). Nástroj funguje především jako reaktivní prostředek k okamžité definici okruhu útokem ohrožených uživatelů (či služeb), souběžně se pak pomocí rozličných metrik snaží o co nejpřesnější identifikaci potencionálních obětí útoku. Pomocí automatických procesů jsou nejen tyto oběti, ale i správci odpovídajících sítí obratem uvědoměni o hrozícím nebezpečí.