AntiPhishing Warriors

Chema AlonsoInformática64

Phishing “clasico”

Phishing Troyanos

• Pharming– Modifican archivo hosts

• DNS Redirect– Cambian las respuestas de los DNS

• Superposiciones– Pintan encima de la página

• Man in The Browser– Cambian el código HTML de la página

Demo: Troyano Phishing

Ejemplos Apple

Rogue AV

Administrador de complementos en IE8/IE9

Phishing Dirigido

El camino del AMOR

Servidor Correo Saliente de caballeros.com

Servidor Correo Entrante de princesas.com

tenor21@caballeros.com

reina21@princesas.com

POP3HTTPMAPI

IMAPRPC/HTTPS

DNS

MX princesas.com?

SmartHost

SMTP

Campo del mensaje

Mail from: Emisor:

Rcpt to: Destinatario: tenor21@caballeros.com

reina21@princesas.com

Servidor Correo Saliente de caballeros.com

Servidor Correo Entrante de princesas.com

El servidor DNS

DNS

Princesas.comMX AMSTRAD_6128 10

AMSTRAD_6128 A 64.64.64.64

Caballeros.com

MX AMSTRAD_464 10 AMSTRAD_464 A 164.164.164.164

Correos falsos

• Simulan el campo Mail from:

• Vienen desde servidores que no pertenecen a la empresa

• No viene firmados digitalmente

¿Cómo se asegura la princesa de que es su caballero quién le envía el mail?

tenor21@caballeros.com

El camino del AMORcon MX Reverse Lookup

Servidor Correo Saliente de caballeros.com

Servidor Correo Entrante de princesas.com

reina21@princesas.com

POP3HTTPMAPI

IMAPRPC/HTTPS

DNS

MX princesas.com?

SmartHost

SMTP

MX caballeros.com?

MX Reverse Lookup

• Ventajas:– Sencillo de implementar– Sí garantiza servidor legítimo– No requiere cambios en la infraestructura

• Inconvenientes– No todas las empresas envían por dónde reciben– No garantiza correos falsos

SPF/Sender ID

SPF/Sender ID

SPF:- Requiere registro TXT- Sólo comprueba IP server y mail

from:- Se configura como v=spf1

• -all -> fail• ~all -> Softfail• ?all -> Neutral• +all -> Pass

Sender ID:- Requiere registro TXT- Cuatro modos:

- spf2.0/mfrom - spf2.0/mfrom,pra - spf2.0/pra,mfrom - spf2.0/pra

• -all -> fail• ~all -> Softfail• ?all -> Neutral• +all -> Pass

• PRA: Purported Responsible Address• From • Sender • Resent-From • Resent-Sender

El servidor DNS

DNS

Princesas.com. MX AMSTRAD_6128 10AMSTRAD_6128 A 64.64.64.64SPF TXT “v=spf1 a:AMSTRAD_6128

a:pasarela.princesas.comipv4:64.64.64.1 –all”

Caballeros.com

. MX AMSTRAD_464 10 AMSTRAD_464 A 164.164.164.164SPF TXT “v=spf1 a:AMSTRAD_6128

a:pasarela.princesas.comipv4:64.64.64.1 –all”

El camino del AMORcon SPF/Sender ID

Servidor Correo Saliente de caballeros.com

Servidor Correo Entrante de princesas.com

tenor21@caballeros.com

reina21@princesas.com

POP3HTTPMAPI

IMAPRPC/HTTPS

DNS

MX princesas.com?

SmartHost

SMTP

SPF caballeros.com?

Demo Phishing SPF

Publicidad

Publicidad

Publicidad & Phishing

DKIM

• Domain Keys Identified Mail• Se basa en PKI• Los correos que salen de un servidor son firmados

digitalmente.• La clave pública del servidor firmante está en el

servidor DNS

El camino del AMORcon DKIM

Servidor Correo Saliente de caballeros.com

Servidor Correo Entrante de princesas.com

tenor21@caballeros.com

reina21@princesas.com

POP3HTTPMAPI

IMAPRPC/HTTPS

DNS

MX princesas.com?

SmartHost

SMTP

clave caballeros.com?

Garantizado

El servidor DNS

DNS

Princesas.com. MX AMSTRAD_6128 10AMSTRAD_6128 A 64.64.64.64SPF TXT “v=spf1 a:AMSTRAD_6128

a:pasarela.princesas.comipv4:64.64.64.1 –all”

_domainkey.Princesas.com. TXT o=-Clave1 TXT “afjasjf8923kj4kjd8ukl…”Calve2 TXT “adskf8924509uijfkadf..”

Caballeros.com

. MX AMSTRAD_464 10 AMSTRAD_464 A 164.164.164.164SPF TXT “v=spf1 a:AMSTRAD_6128

a:pasarela.princesas.comipv4:64.64.64.1 –all”

_domainkey.Caballeros.com. TXT o=-c256 TXT “fghdfgh8923kj4kjd8ukl…”C512 TXT “dghdfghf09uijfghgfkadf..”

DKIM

• Ventajas– Basado en PKI– Garantiza la salida desde un servidor

• Inconvenientes– Requiere una cabecera extra– Mantenimiento de claves en servidores– Si no llega firmado el mail es normal, DKIM es un

encabezado extra.

Mutual TLS

• Implementado entre sistemas Exchange • Utiliza PKI• Cifra y autentica comunicaciones entre servidores

por medio de certificados digitales• Transparente al usuario

IE 9 & Hotmail Wave 4:SmartScreen: Protección ante phishing y malware (I)

• Todos los navegadores incorporan un sistema de protección contra malware.

• Los tiempos de respuesta de Opera respecto a los demás está muy distante.

IE 9 & Hotmail Wave 4 :SmartScreen: Protección ante phishing y malware

(II)

• Detección de malware por cada uno de los navegadores

IE 9 & Hotmail Wave 4: SmartScreen: Protección ante phishing y malware (III)

IE9: Download Reputation

¿Preguntas?

Chema Alonsochema@informatica64.comhttp://twitter.com/chemaalonso http://www.informatica64.comTodas mis tonterías en mis blogs:http://elladodelmal.blogspot.comhttp://www.windowstecnico.com