You are on page 1of 44

Piracema.

io: um sistema
especialista baseado em
heurística direcionada por
características estáticas e
dinâmicas para a detecção
gradual de phishing direcionados
Doutorando: Carlo Marcelo Revoredo da Silva
Orientador: Vinícius Cardoso Garcia
Co-orientador: Eduardo Luzeiro Feitosa
Phishing

É a principal fraude na Internet

Página 2
o atacante desenvolve uma página falsa que apresenta-se
Phishing

Fonte:
APWG

Página 3
Escopo
• Phishing

Sazonalidade
Propagação
Ofuscação Volatilidade

• Phishing direcionado

Fidedignidade Sazonalidade
Propagação
Ofuscação Volatilidade

Página 4
Phishing Direcionados
• Fidedignidade Fidedignidade

– Marca alvo;
– Riqueza em detalhes textuais e visuais;
– Mapeamento de perfis envolvidos;
– Voltados para dispositivos e/ou organizações.
• Exemplos
– Spear Phishing, SMiShing, Business Email
Compromise (BEC)

Página 5
Fidedignidade

• Riqueza
em
detalhes
Ofuscação
• Ocultar detalhes http://signin.ebay.com.ws.ebayisapi.dll.signin.usi
ngssl.pagetype.siteid.copartnerid.prbumj9bf3zy
através da alta ou mwgcmfnk21sa5sftnfo1wpl7qkyw.epkoirglvtvnl
nch4i2gng7aniyajvum93rhktr3.f9hqmjohjfnvmk
baixa quantidade nyjjprw81v1j09dh3igaqk9cpj.hv2l2d7amns6ljra
qfasn3skwftv77aervoktlk8.tfgins.com/css/index.p
de informação hp?
pageID_SESSION=XeMWZ7898&co_partnerId=2&pUse
rId=&siteid=0&pageType=&pa1=&i1=&bshowgif=&Usi
ngSSL=&customerid=&vuse=&pageType=708XeMWZll
Ofuscação WXS3AlBXVShqAhQRfWXS3AlBXVShqAhQRfWXS3AlBXV
ShqAhQRfWXS3AlBXVShqAhQRfhgTDrf=https://signin.
ebay.com/ws/eBayISAPI.dll?
SignIn&UsingSSL=1&pUserId=&co_partnerId=2&siteid
=0&ru=0&pp=&pageType=708&MfcISAPICommand=C
onfirmRegistration
http://bit.ly/1MCtXPo
Propagação
• Explora politicas de uso em serviços
– Servidores, serviços de hospedagem, registros
de domínios
• Variação em detalhes para aplicar by-pass
– http://www.qualquer.com.br?q=123
– http://www.qualquer.com.br?q=456
• Grande volume de “clones”

Propagação
Sazonalidade

• Detalhes
que põem
ênfase em
eventos do
calendário

Sazonalidade
Volatilidade
• Tempo de vida curto
• Menor custo operacional
• Dificulta detectar detalhes
que possam revelar o autor
da fraude (rastreabilidade)

Volatilidade
Problemática
• Prejuízos financeiros
• Danos a reputação, principalmente da marca
• Lacunas nas soluções atuais
– Difícil prevenção à ataques zero-day
• Volatilidade, propagação
– Problemas em detectar fraudes que exploram
riqueza em detalhes
• Fidedignidade
– Suscetibilidade do usuário final
• Ofuscação, Sazonalidade

Página 11
Proposta
Objetivo Geral
• O que faz?
– Identificar e mitigar ataques de phishing direcionados
• Como faz?
– Heurística baseada em regras para predição de
páginas maliciosas
– Gatilhos de regras são disparados gradativamente
• Por que?
– Atenuar lacunas das soluções atuais
– Apresenta-se como um mecanismo adicional

Página 13
Objetivos Específicos
Piracema.io: um sistema especialista¹ baseado em heurística
direcionada por características estáticas e dinâmicas² para a
detecção gradual³ de phishing direcionados
• 1: Abordagem da IA recomendada para o escopo
• 2: Características obtidas através de observações
baseadas em estudo empírico.
• 3: Árvore de regras processada gradualmente
– Reduzir custo computacional
– Preservar a privacidade
• Serviço externo baseado em lista branca

Página 14
Diferencial da proposta
• Quando maior os detalhes:
– Menor a chance dos mecanismos (convencionais)
anti-phishing e do usuário perceberem a fraude;
– Contudo, maiores são as chances da proposta
detectar a fraude.
• Quando menor os detalhes:
– Menor a chance da proposta detectar a fraude.
– Contudo, maiores são as chances dos
mecanismos anti-phishing (convencionais) e do
usuário final detectarem a fraude;

Página 15
Metodologia da proposta

Página 16
Estudo Empírico

Página 17
Caráter complementar

Página 18
Busca textual e visual
• Textual
– Reconhecimento de marcas
• Termos e palavras-chave
• Utilização de estilos e tags
• Cybersquatting, typosquatting
• Visual
– Reconhecimento de marcas
• OCR
• Padrões em template (identidade visual)
• Reconhecimento de imagem (logotipo)

Página 19
Análise gradual
• Características Estáticas da URL
– + privacidade, + performance
• Características Dinâmicas da URL
– + privacidade, - performance
• Características Estáticas do conteúdo
– - privacidade, + performance
• Características Dinâmicas do conteúdo
– - privacidade, - performance

Página 20
Sistema especialista

Página 21
Sistema especialista

Página 22
Sistema especialista

Página 23
Server-side

Página 24
Trabalhos
Relacionados
Trabalhos Relacionados
• Acadêmicos

• Propostas da indústria
– MarkMonitor, BrandsEye, Ahrefs, Social Mention,
Yellow, Brandwatch

Página 26
Avaliação
Avaliação #1
(Proposta na amostra 1)

Snapshot
• Certificado
• Conteúdo
• WHOIS info

Página 28
Resultado Geral (Proposta na amostra 1)

Página 29
Variação nos resultados (Proposta na amostra 1)

Página 30
Resultados por escopo
(Proposta na amostra 1)

Página 31
Resultados por categoria
(Proposta na amostra 1)

Página 32
Resultados por
características
(Proposta na amostra 1)

Página 33
Resultados por domínio
(Proposta na amostra 1)

Página 34
Resultados por certificado e uptime
(Proposta na amostra 1)

Página 35
Avaliação #2
(Solução + navegadores na amostra 2)

Página 36
Resultados por mecanismo de proteção
(Proposta na amostra 2)
100% => 752

35.24%
25.93%
21.94%

Página 37
Ameaças da avaliação
• Limitação dos dados amostrais (snapshot)
– Amostra #1 (PhishTank)
• 4039 phishing válidos online
• 661 phishing inválidos online
– Amostra #2 (OpenPhish)
• 752 phishing válidos online
• Proposta x Soluções nos navegadores
– Predição x lista negra
• Ameaças na detecção das marcas
• Ameaças na filtragem por lista branca
• Balanceamento das amostras

Página 38
Conclusão
Limitações da Proposta
• A identificação da marca pode falhar:
– Casos com pouca fidedignidade (informação insuficiente
para identificar a marca ou atividade);
– Proprietários de marcas precisam apoiar na alimentação
da lista branca (escopo delimitado);
• A privacidade do usuário final pode ser violada
– Como medir os impactos da análise por profundidade?
• Escopo delimitado:
– Só protege a marca do proprietário que previamente
faz adesão ao serviço

Página 40
Limitações da Proposta
• O nível de suscetibilidade não pode ser medido:
– O usuário-final pode confiar em uma fraude, mesmo
que esteja carente de detalhes. E mesmo sendo
alertado do perigo, o mesmo pode assumir o risco.
– O atacante pode obter controle de entradas válidas
• Um sequestro de domínio;
• Se passar por um proprietário de marcas.

Página 41
Resultados até o momento
• Artigos em periódicos e conferências
• Protótipo em atuação
– Monitoramento na navegação (browser add-on);
– Portal de denúncias (piracema.io).
• Orientações
– Iniciações científicas;
– TCC.
• Parcerias com outras universidades

Página 42
Trabalhos Futuros
• Melhorias na busca indexada
– Cybersquatting, Typposquatting
– Processamento de Linguagem Natural (PLN)
• Plataforma para alimentar Whitelist
– Blockchain + Contratos Inteligentes + DSL

Página 43
Referências

APWG: http://www.antiphishing.org/

APWG 2016 http://docs.apwg.org/reports/apwg_trends_report_q4_2016.pdf

APWG 2017 http://docs.apwg.org/reports/apwg_trends_report_h1_2017.pdf

Akhawe, D. and Felt, A. P. (2013). Alice in warningland: A large-scale field study of browser
security warning effectiveness. In Proceedings of the 22Nd USENIX Conference on Security,
SEC’13, pages 257–272, Berkeley, CA, USA. USENIX Association.

SafeBrowsing API: https://developers.google.com/safe-browsing/

Phishtank API: https://www.phishtank.com/api_info.php

Mohammad, R. M., Thabtah, F., and McCluskey, L. (2015). Tutorial and critical analysis of
phishing websites methods. Comput. Sci. Rev., 17(C):1–24.

Mazher, N., Ashraf, I., and Altaf, A. (2013). Which web browser work best for detecting
phishing. In 2013 5th ICICT, pages 1–5.

Jackson, C., Simon, D. R., Tan, D. S., and Barth, A. (2007). An evaluation of extended
validation and picture-in-picture phishing attacks. In Financial Cryptography, volume 4886 of
Lecture Notes in Computer Science, pages 281–293. Springer.

OpenPhish: https://openphish.com

VirusTotal: https://www.virustotal.com

Smartscreen: https://support.microsoft.com/pt-br/help/17443/windows-internet-explorer-
smartscreen-filter-faq

Página 44