211service.com
Sluwe phishing-websites volgen
In de wereld van online fraude geldt, net als in het echte leven, hoe langer onverlaten kunnen opereren zonder gepakt te worden, hoe meer geld ze kunnen verdienen. En experts hebben ontdekt dat veel phishers - oplichters die valse websites gebruiken om gebruikers te misleiden om waardevolle persoonlijke informatie op te geven - een truc hebben gevonden die het voor de goeden moeilijker maakt om ze te blokkeren of af te sluiten.
Gedaan met phishing: Onderzoekers van de Universiteit van Indiana – van links naar rechts, Andrew Kalafut, Youngsang Shin en Minaxi Gupta – bestuderen een truc die wordt gebruikt om phishingsites moeilijker te detecteren en te blokkeren.
De truc, genaamd flux, stelt een nepsite in staat om zijn adres op internet zeer snel te wijzigen, waardoor het moeilijk wordt voor verdedigers om deze sites te blokkeren of nietsvermoedende gebruikers te waarschuwen. Volgens recent gepubliceerd onderzoek in het tijdschrift IEEE-beveiliging en privacy , gebruikt ongeveer 10 procent van de phishingsites flux om zichzelf te verbergen.
Flux maakt gebruik van het domeinnaamsysteem van internet, dat verantwoordelijk is voor het matchen van een webadres dat in een browser wordt getypt met de server die daadwerkelijk een site host. Wanneer een gebruiker een webpagina probeert te bezoeken, leidt het domeinnaamsysteem de gebruiker eerst naar een naamserver, die een bijgewerkte lijst met siteadressen bijhoudt. Deze nameserver vertelt vervolgens de browser van de gebruiker waar de gewenste site te vinden is.
Normaal gesproken hosten slechts een klein aantal machines kopieën van een site - net genoeg om het draaiende te houden als er iets misgaat. Frauduleuze sites zijn echter een ander verhaal. Phishing-sites worden vaak gehost via botnets: duizenden gekaapte machines die over de hele wereld zijn verspreid.
Deze machines zijn niet van de onverlaten, ze zijn van jou en ik en onze grootmoeders, zegt Minaxi Gupta , een assistent-professor computerwetenschappen aan de Indiana University die bij het onderzoek betrokken was. Omdat phishers toegang hebben tot zoveel machines, legt ze uit, kunnen ze ze allemaal gebruiken om een site snel te verplaatsen, verdedigers op het verkeerde been te zetten terwijl ze de website beschikbaar houden.
Om flux te gebruiken, moet een phisher een domeinnaam beheren, wat hem het recht geeft om zijn naamserver te beheren. De phisher stelt vervolgens de naamserver zo in dat deze elke nieuwe bezoeker naar een andere set machines leidt en snel door de duizenden adressen binnen het botnet fietst. Gupta merkt op dat flux het meest effectief is wanneer de phisher ook de locatie van de nameserver verschuift. Als de nameserver zich ook naar verschillende locaties op internet verplaatst, is het voor verdedigers dubbel moeilijk om een centrale locatie aan te wijzen waar de nepwebsite kan worden afgesloten. De groep van Gupta ontdekte dat 83 procent van de phishingsites die flux op deze manier gebruikten, meer dan een dag duurde voordat ze werden geblokkeerd, vergeleken met een overlevingspercentage van 65 procent voor sites die geen flux gebruikten.
De groep identificeert ook methoden voor het detecteren van flux en stelt voor om fluxdetectie in het domeinnaamsysteem zelf in te bouwen. Aangezien het gebruik van deze techniek waarschijnlijk betekent dat een site frauduleus is, kan het systeem zelf helpen nietsvermoedende gebruikers te beschermen tegen het bezoeken van deze sites.
Het verkorten van de detectietijd met zelfs maar een paar uur kan een aanzienlijk verschil maken, zegt Alper Caglayan, president van Milcord , een bedrijf gevestigd in Waltham, MA, dat realtime gegevens over botnets verzamelt. Als ze zelfs maar een dag kunnen opereren, hebben ze al te veel geld verdiend, voegt hij eraan toe.
Caglayan merkt op dat er enkele legitieme manieren zijn om flux te gebruiken, bijvoorbeeld om multimedia-inhoud efficiënt te leveren, maar zegt dat de manier waarop een botnet flux gebruikt er anders uit zou moeten zien. De machines van een botnet zijn bijvoorbeeld verspreid over de hele wereld in een patroon dat niet logisch zou zijn voor een legitiem bedrijf.
Sommige experts zijn van mening dat een meervoudige aanpak nodig is om phishing-sites te stoppen. Het bedrijf van Caglayan biedt een service die internetserviceproviders en andere grote netwerkbeheerders helpt bij het vinden en afsluiten van geïnfecteerde machines binnen hun netwerken.
Sommige webbrowsers gebruiken ook zwarte lijsten om gebruikers te waarschuwen voor frauduleuze sites. Maar trucs zoals flux maken het bijna onmogelijk voor die zwarte lijsten om actueel genoeg te blijven om nuttig te zijn. Caglayan verwacht dat browsers in de toekomst systemen moeten inbouwen die zelf fraude kunnen detecteren.
Het detecteren van flux zal alleen mensen helpen die een of andere vorm van blokkeringsservices gebruiken, zegt Srivastava handen , Chief Technical Officer van Cyveillance , een beveiligingsbedrijf gevestigd in Arlington, VA. Om effectief om te gaan met een aanval met snelle flux, is het noodzakelijk om het domein van internet te halen, en dat vereist samenwerking met de registrar of de registry van dat domein, zegt hij. Dit kan moeilijk zijn omdat sommige domeinen zich in landen bevinden met losse regels voor internetfraude. Ook eenvoudigere obstakels zoals een taalbarrière kunnen een frauduleuze site voor een langere periode in gebruik laten.
Gupta zegt dat, zoals bij de meeste internetcriminaliteit, flux slechts een onderdeel is van een groter kat-en-muisspel. Je kunt dit spel niet winnen, zegt ze. Je moet gewoon voortdurend hun middelen detecteren en je eraan aanpassen.