Anti-phishing warriors
-
Upload
eventos-creativos -
Category
Technology
-
view
784 -
download
0
Transcript of Anti-phishing warriors
Phishing Troyanos
• Pharming– Modifican archivo hosts
• DNS Redirect– Cambian las respuestas de los DNS
• Superposiciones– Pintan encima de la página
• Man in The Browser– Cambian el código HTML de la página
El camino del AMOR
Servidor Correo Saliente de caballeros.com
Servidor Correo Entrante de princesas.com
POP3HTTPMAPI
IMAPRPC/HTTPS
DNS
MX princesas.com?
SmartHost
SMTP
Campo del mensaje
Mail from: Emisor:
Rcpt to: Destinatario: [email protected]
Servidor Correo Saliente de caballeros.com
Servidor Correo Entrante de princesas.com
El servidor DNS
DNS
Princesas.comMX AMSTRAD_6128 10
AMSTRAD_6128 A 64.64.64.64
Caballeros.com
MX AMSTRAD_464 10 AMSTRAD_464 A 164.164.164.164
Correos falsos
• Simulan el campo Mail from:
• Vienen desde servidores que no pertenecen a la empresa
• No viene firmados digitalmente
El camino del AMORcon MX Reverse Lookup
Servidor Correo Saliente de caballeros.com
Servidor Correo Entrante de princesas.com
POP3HTTPMAPI
IMAPRPC/HTTPS
DNS
MX princesas.com?
SmartHost
SMTP
MX caballeros.com?
MX Reverse Lookup
• Ventajas:– Sencillo de implementar– Sí garantiza servidor legítimo– No requiere cambios en la infraestructura
• Inconvenientes– No todas las empresas envían por dónde reciben– No garantiza correos falsos
SPF/Sender ID
SPF:- Requiere registro TXT- Sólo comprueba IP server y mail
from:- Se configura como v=spf1
• -all -> fail• ~all -> Softfail• ?all -> Neutral• +all -> Pass
Sender ID:- Requiere registro TXT- Cuatro modos:
- spf2.0/mfrom - spf2.0/mfrom,pra - spf2.0/pra,mfrom - spf2.0/pra
• -all -> fail• ~all -> Softfail• ?all -> Neutral• +all -> Pass
• PRA: Purported Responsible Address• From • Sender • Resent-From • Resent-Sender
El servidor DNS
DNS
Princesas.com. MX AMSTRAD_6128 10AMSTRAD_6128 A 64.64.64.64SPF TXT “v=spf1 a:AMSTRAD_6128
a:pasarela.princesas.comipv4:64.64.64.1 –all”
Caballeros.com
. MX AMSTRAD_464 10 AMSTRAD_464 A 164.164.164.164SPF TXT “v=spf1 a:AMSTRAD_6128
a:pasarela.princesas.comipv4:64.64.64.1 –all”
El camino del AMORcon SPF/Sender ID
Servidor Correo Saliente de caballeros.com
Servidor Correo Entrante de princesas.com
POP3HTTPMAPI
IMAPRPC/HTTPS
DNS
MX princesas.com?
SmartHost
SMTP
SPF caballeros.com?
DKIM
• Domain Keys Identified Mail• Se basa en PKI• Los correos que salen de un servidor son firmados
digitalmente.• La clave pública del servidor firmante está en el
servidor DNS
El camino del AMORcon DKIM
Servidor Correo Saliente de caballeros.com
Servidor Correo Entrante de princesas.com
POP3HTTPMAPI
IMAPRPC/HTTPS
DNS
MX princesas.com?
SmartHost
SMTP
clave caballeros.com?
Garantizado
El servidor DNS
DNS
Princesas.com. MX AMSTRAD_6128 10AMSTRAD_6128 A 64.64.64.64SPF TXT “v=spf1 a:AMSTRAD_6128
a:pasarela.princesas.comipv4:64.64.64.1 –all”
_domainkey.Princesas.com. TXT o=-Clave1 TXT “afjasjf8923kj4kjd8ukl…”Calve2 TXT “adskf8924509uijfkadf..”
Caballeros.com
. MX AMSTRAD_464 10 AMSTRAD_464 A 164.164.164.164SPF TXT “v=spf1 a:AMSTRAD_6128
a:pasarela.princesas.comipv4:64.64.64.1 –all”
_domainkey.Caballeros.com. TXT o=-c256 TXT “fghdfgh8923kj4kjd8ukl…”C512 TXT “dghdfghf09uijfghgfkadf..”
DKIM
• Ventajas– Basado en PKI– Garantiza la salida desde un servidor
• Inconvenientes– Requiere una cabecera extra– Mantenimiento de claves en servidores– Si no llega firmado el mail es normal, DKIM es un
encabezado extra.
Mutual TLS
• Implementado entre sistemas Exchange • Utiliza PKI• Cifra y autentica comunicaciones entre servidores
por medio de certificados digitales• Transparente al usuario
IE 9 & Hotmail Wave 4:SmartScreen: Protección ante phishing y malware (I)
• Todos los navegadores incorporan un sistema de protección contra malware.
• Los tiempos de respuesta de Opera respecto a los demás está muy distante.
IE 9 & Hotmail Wave 4 :SmartScreen: Protección ante phishing y malware
(II)
• Detección de malware por cada uno de los navegadores
¿Preguntas?
Chema [email protected]://twitter.com/chemaalonso http://www.informatica64.comTodas mis tonterías en mis blogs:http://elladodelmal.blogspot.comhttp://www.windowstecnico.com