Detección de phishing en redes empresariales

[Antonio Baca]

La seguridad es contantemente comprometida en entornos empresariales en consecuencia se han desarrollado diversas herramientas para asegurar los activos de información, sin embargo, muchos de los métodos utilizan ingeniería social, como correos de phishing, para llegar a los usuarios inexpertos o poco capacitados para lograr accesos a las redes de la empresa.

Los atacantes se sirven de correos para que los usuarios entreguen información valiosa o, por ejemplo, ejecuten archivos adjuntos. El útimo ataque Wanna Decryptor pudo expandirse gracias a estos correos. Por esta razón se necesita métodos más potentes para identificar correos potencialmente dañinos, los métodos de Machine Learning pueden ayudar en este objetivo.

https://www.xataka.com/seguridad/wanna- ... telefonica

[carlos.lopezh]

El método más común para recopilar las credenciales secretas de los usuarios de los sitios web de phishing es enviar por correo electrónico las credenciales a las direcciones de correo electrónico de los criminales a las que llamamos "drop email address".
En este paper que adjunto se propone un algoritmo de agrupamiento, que se basa en la suposición de que si hay una dirección de correo electrónico de caída común que se encuentra en los kits de phishing de dos sitios web de phishing diferentes, estos dos sitios web están directamente relacionados.

[Antonio Baca]

Muchos de los ataques dirigidos a la seguridad de información en una red empresarial utilizan agujeros no decubiertos, problemas que aún no han sido descubiertos y por lo tanto no se ha creado un "parche" para subsanarlo.

De la misma manera , los atacantes crean nuevas formas de correos phishing que pueden escapar de los algoritmos aplicados para su análisis. En el siguiente paper se discute esto y se plantea un framework para manejar los correos phishing de "zero-day".

[jchunqui]

Los métodos de detección de Phishing pueden dividirse en métodos tradicionales y métodos automatizados basados en maching learning y minería de datos. Entre los métodos tradicionales están los filtros de lista negra o blacklist, filtros de lista blanca o whitelists, filtros de concordancia de patrones, entre otros. Y entre los métodos automatizados se pueden listar los métodos de regresión logística, árboles de clasificación y regresión, filtros de árboles de decisión, máquinas de vectores de soporte (SVM), entre otros.

Algunas herramientas de software y servicios que brindan protección contra phishing son: CloudMark, Netcraft, FirePhish, eBay Account Guard y IE Phishing Filter.

[Antonio Baca]

Los clasificadores de redes bayesianas trabajan correlacionando tokens (por lo general palabras o algunas veces otras cosas), con mensajes de correos electrónicos que no son spam y otros que sí lo son, y utilizan el Teorema de Bayes para calcular la probabilidad de que un correo electrónico es o no es spam.

El filtrado de spam bayesiano es una técnica para tratar con el spam, se puede adaptar a las necesidades de correo electrónico de los usuarios individuales y dar pocos índices de falsos positivos en la detección de spam, que son generalmente aceptables para los usuarios.

La misma técnica se puede aplicar en para la clasificación de correos de phishing, sin embargo, existen otras variables en la literatura basada en el contenido (cuerpo, asunto, presencia de links, etc) del correo de forma global. En el siguiente paper se revisa estas caracteristicas para la identificación de spam y phishing.

[Antonio Baca]

Los correos electrónicos de phishing son una amenaza real para la comunicación en Internet y la economía web. Los delincuentes intentan convencer a los usuarios desprevenidos en línea de que revelen contraseñas, números de cuenta, números de seguridad social u otra información personal o inclusive ejecutar programas maliciosos que podrian infectar una red empresarial.

En el siguiente paper se utiliza metodos estadisticos para generar nuevas variables que mejoran la prediccion y a la vez reduce el consumo de memoria para generar el modelo, esto combinado con algoritmos de machine learning podria reducir la tasa de falsos positivos, el cual es un requisito muy recurrente en la clasificación de phishing.

Link del paper: http://citeseerx.ist.psu.edu/viewdoc/do ... 1&type=pdf