CATÁLOGO DE FRAUDES E CATÁLOGO DE URLS MALICIOSAS: Identificação e Combate a Fraudes Eletrônicas na Rede Acadêmica Brasileira

Transcrição

1 CATÁLOGO DE FRAUDES E CATÁLOGO DE URLS MALICIOSAS: Identificação e Combate a Fraudes Eletrônicas na Rede Acadêmica Brasileira Paula Tavares Ponto de Presença da RNP na Bahia, Universidade Federal da Bahia

2 RNP CAIS Pioneira em 1992 como rede nacional de acesso à internet no Brasil, fornece infraestrutura de redes avançadas às instituições públicas de pesquisa e de ensinos superior e tecnológico. O CSIRT de coordenação da Rede Ipê, fundado em Atua na detecção, resolução e prevenção de incidentes de segurança na rede Ipê, além de elaborar, promover e disseminar práticas de segurança. 2

3 PoP-BA UFBA O PoP-BA é responsável por operar os serviços da RNP na Bahia, atendendo as necessidades operacionais da rede Internet para instituições educacionais e de pesquisa. Fundada em 1808 é uma instituição de ensino superior brasileira com sede em Salvador BA, possui 112 cursos de graduação. Atualmente é instituição abrigo do PoP-BA. 3

4 Contexto A utilização do Utilização cresceu rapidamente Ferramenta de comunicação formal Meio para práticas ilícitas: Spams Phishing Envio de malware Fonte: The Radicati Group Statistics Report,

5 Phishing Utilização de meios digitais e engenharia social para obter dados pessoais, senhas ou informações financeiras da vítima. Através de: Preenchimento de formulários Acesso a links falsos Download de malware 5

6 Contexto Mensagens maliciosas na UFBA São um problema para a maioria das contas de . Entre 23 milhões de mensagens recebidas cerca de 90% identificadas como Spams, Phishings e mensagens contendo arquivos maliciosos. 6

7 O Catálogo de Fraudes Criado pelo CAIS em 2008, tem sua manutenção a partir de uma parceria CAIS e POP-BA. Processo: coletar fraudes recebidas por pela população em geral, analisar, filtrar e catalogar essas fraudes. Torna-se um repositório de mensagens conhecidamente fraudulentas, alertando a comunidade sobre como se proteger desse tipo de ataque. phishing@cais.rnp.br Fonte: 7

8 O Catálogo Processo de catalogação 8

9 CATÁLOGO DE FRAUDES DA RNP O Catálogo de Fraudes - Destaques Fraudes por categoria (07/2015 a 07/2016) Total: 1678 fraudes 9

10 CATÁLOGO DE FRAUDES DA RNP O Catálogo de Fraudes - Destaques 10

11 CATÁLOGO DE FRAUDES DA RNP O Catálogo de Fraudes - Destaques 11

12 CATÁLOGO DE FRAUDES DA RNP O Catálogo de Fraudes - Destaques 12

13 O Catálogo de URLs Cerca de 90% das fraudes catalogadas contêm URLs. Serviços de reputação de URLs ou blacklist como o Safebrowsing (Google) e Phishtank (OpenDNS) que são utilizados para alertar o acesso a URLs maliciosas apresentaram baixa taxa de detecção nas URLs maliciosas brasileiras Deficiências e oportunidades de melhorias das atuais blacklists: Inconsistências e limite nas consultas através da API 13

14 O Catálogo de URLs URLs encontradas no catálogo x URLs detectadas no Safebrowsing URLs encontradas no catálogo x URLs detectadas no Phishtank 14

15 O Catálogo de URLs Catálogo de URLs maliciosas destinado a alertar os usuários sobre as URLs contidas em fraudes brasileiras. Serviço gratuito e público. Lançado em 2015 no evento Encontro de Segurança em Informática do CERT Bahia 15

16 O Catálogo de URLs Fonte: 16

17 Fonte: 17

18 O Catálogo de URLs - Arquitetura 18

19 URLs Catalogadas Fraudes por tipo 19

20 O Catálogo de URLs - Estatísticas Domínios mais comuns Domínio Quantidade Domínio Quantidade Domínio Quantidade com 727 com.br 170 googledrive.com 57 br 183 googledrive.com 78 dl.dropboxusercontent.com 21 net 45 bitnamiapp.com org 40 google.com pl 21 dropboxusercontent.com 21 s3.amazonaws.com 15 ru 20 tripod.com co 18 formlogix.com 17 docs.google.com 10 info 12 sugarsync.com 17 drive.google.com 10 me 12 weebly.com lt 9 amazonaws.com Domínios de primeiro nível (topo) Domínios de até dois níveis Domínios de até três níveis 20

21 O Catálogo de URLs - Estatísticas Nome de marcas e serviços na URL Tamanho da URL 21

22 O Catálogo de URLs - Estatísticas Tempo de vida do Phishing Artigo indicando como tempo de vida 48h - Sheng, S., An Empirical Analysis of Phishing Blacklists.(2009) Notou-se diferença no tempo de vida das URLs brasileiras. Mais de 50% continuam disponível por um período igual ou superior a 5 dias. A mesma URL pode ser detectada em mensagens fraudulentas diferentes. 22

23 CATÁLOGO DE FRAUDES DA RNP Conclusão O crescimento da disseminação de fraudes eletrônicas e do aprimoramento nas técnicas para ludibriar o usuário torna necessário novos métodos de combate. Os serviços Catálogo de Fraudes e o CaUMa - Catálogo de URLs Maliciosas - além do fator de alerta ao usuário, origina diariamente informações para uma base de conhecimento que pode servir como fonte para desenvolvimento de ferramentas de identificação, detecção e prevenção através do aprendizado de como essas fraudes se apresentam. 23

24 CATÁLOGO DE FRAUDES DA RNP Trabalhos futuros Nova versão do Catálogo de Fraudes com melhorias no layout da página e no sistema de busca Maior automatização no processo de catalogação Desenvolvimento de plugins de integração do CaUMa com os browsers Utilização da base de dados para aplicação de filtros em serviços de Disponibilizar a base de URLs para uso em outras pesquisas Desenvolvimento de trabalhos de pesquisa científica Reportar essas URLs para as grandes blacklists 24

25 25

26 CATÁLOGO DE FRAUDES DA RNP Perguntas? Paula Tavares 26