Desenmascara.me

How to verify whether a website is legitimate or not?: desenmascara.me

lunes, 9 de marzo de 2015

Como saber de forma sencilla si un sitio web es phishing o no oficial

Actualización: 9.3.2015 (ver al final del artículo).

A través de un documento de inteligencia compartido entre la comunidad de seguridad (CIG Circular 35, no es posible compartirlo de forma publica), se informa de una serie de dominios registrados por un grupo de actores para presumiblemente usarlos en campañas de spear-phishing.

"El spear phishing es una técnica muy usada, JP Morgan o la organizacion ICANN fueron victimas de este ataque el año pasado."

Dichos dominios contienen populares proveedores de servicios online como correo, almacenamiento y redes sociales. El que el dominio incluya palabras relacionadas con el servicio y la marca, puede confundir a cualquier usuario medio, el cual introducirá sus credenciales en dicho sitio web ilegitimo, cuyos datos irán a parar directamente a los actores maliciosos, por ejemplo pongamos los siguientes dominios:

login-correo-yahoomail.com (web falsa, phishing)
mail-google.com.ve (web falsa, phishing)

Generalmente este tipo de dominios termina en listas negras o bien porque alguien así lo ha reportado, o algún sistema lo ha detectado de forma automática en base a una serie de patrones. El problema radica en los días que dichos dominios están activas, en este caso, había dominios registrados desde Junio del año pasado, y accesibles en el momento que escribo este post!!, ya que esa es la ventana de tiempo que tienen los actores maliciosos para realizar sus acciones. 

Para no depender de dicha ventana de tiempo, y que cualquier usuario pueda desenmascarar cualquier sitio web para comprobar si puede estar relacionado con phishing o cualquier otra actividad en principio sospechosa, he implementado una nueva funcionalidad en desenmascara.me

Tras diversas pruebas, he comprobado que funciona correctamente con todos los dominios del informe y con otros dominios extraídos de la BBDD del servicio desenmascara.me. La nueva verificacion no es algo complejo, al contrario mas bien simple. He aprovechado todos los metadatos que ya tenia disponibles en la BBDD en relación a los principales servicios de Internet, y todos ellos tienen un patrón común, si algo se desvía de ese patrón, entonces un sitio web sera clasificado automaticamente como NO OFICIAL, y además mostrara un mensaje de "Posible phishing".

El mensaje NO OFICIAL, para denominar a un sitio web es similar a la funcionalidad que ya existía para verificar tiendas online falsas, pero esta vez además se añade como ya he indicado; el mensaje "posible phishing". El mensaje de sitio fake, solo es para dominios que han sido marcados así de forma manual tras la verificacion de una solicitud de usuario o compañía.

Con esta nueva funcionalidad, tras desenmascarar un sitio web veremos algo similar a:



Actualización: 9.3.2015
Tras añadir esta característica, he podido comprobar en menos de 12 horas, dos sitios web que "alguien" ha desenmascarado y que automáticamente se han quedado catalogados como phishing, y tras verificarlo manualmente, así es, tal y como se puede comprobar en las siguientes capturas:

Phishing 1 de apple:




Phishing 2 de apple: