AntiPhishingWarriors<br />Chema Alonso<br />Informática64<br />
Phishing “clasico”<br />
Phishing Troyanos <br />Pharming<br />Modifican archivo hosts<br />DNS Redirect<br />Cambian las respuestas de los DNS<br ...
Demo: Troyano Phishing<br />
Ejemplos Apple<br />
Rogue AV<br />
Administrador de complementos en IE8/IE9<br />
Phishing Dirigido<br />
El camino del AMOR<br />MX princesas.com?<br />SMTP<br />Servidor Correo Saliente de caballeros.com<br />SmartHost<br />te...
Campo del mensaje<br />Mail from:			  Emisor:<br />Rcpt to:			   Destinatario: <br />Servidor Correo Saliente de caballero...
El servidor DNS<br />Princesas.com<br />		MX  	AMSTRAD_6128	10<br />AMSTRAD_6128	A	64.64.64.64<br />Caballeros.com<br />		...
Correos falsos<br />Simulan el campo Mail from:<br />Vienen desde servidores que no pertenecen a la empresa<br />No viene ...
¿Cómo se asegura la princesa de que es su caballero quién le envía el mail?<br />
El camino del AMORcon MX Reverse Lookup<br />MX princesas.com?<br />SMTP<br />Servidor Correo Saliente de caballeros.com<b...
MX Reverse Lookup<br />Ventajas:<br />Sencillo de implementar<br />Sí garantiza servidor legítimo<br />No requiere cambios...
SPF/Sender ID<br />
SPF/Sender ID<br />Sender ID:<br /><ul><li>Requiere registro TXT
Cuatro modos:
spf2.0/mfrom
spf2.0/mfrom,pra
spf2.0/pra,mfrom
spf2.0/pra
-all  -> fail
~all -> Softfail
?all -> Neutral
+all -> Pass
PRA: Purported Responsible Address
From
Sender
Resent-From
Resent-Sender </li></ul>SPF:<br /><ul><li>Requiere registro TXT
Sólo comprueba IP server y mail from:
Se configura como v=spf1
Upcoming SlideShare
Loading in …5
×

Anti-phishing warriors

937 views

Published on

Charla impartida por Chema Alonso en el evento BlogCamp! que tuvo lugar en El Escorial los días 22, 23 y 24 de Septiembre.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
937
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
18
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Anti-phishing warriors

  1. 1. AntiPhishingWarriors<br />Chema Alonso<br />Informática64<br />
  2. 2. Phishing “clasico”<br />
  3. 3. Phishing Troyanos <br />Pharming<br />Modifican archivo hosts<br />DNS Redirect<br />Cambian las respuestas de los DNS<br />Superposiciones<br />Pintan encima de la página<br />Man in The Browser<br />Cambian el código HTML de la página<br />
  4. 4. Demo: Troyano Phishing<br />
  5. 5.
  6. 6. Ejemplos Apple<br />
  7. 7. Rogue AV<br />
  8. 8. Administrador de complementos en IE8/IE9<br />
  9. 9. Phishing Dirigido<br />
  10. 10. El camino del AMOR<br />MX princesas.com?<br />SMTP<br />Servidor Correo Saliente de caballeros.com<br />SmartHost<br />tenor21@caballeros.com<br />POP3<br />HTTP<br />MAPI<br />IMAP<br />RPC/HTTPS<br />DNS<br />Servidor Correo Entrante de princesas.com<br />reina21@princesas.com<br />
  11. 11. Campo del mensaje<br />Mail from: Emisor:<br />Rcpt to: Destinatario: <br />Servidor Correo Saliente de caballeros.com<br />tenor21@caballeros.com<br />Servidor Correo Entrante de princesas.com<br />reina21@princesas.com<br />
  12. 12. El servidor DNS<br />Princesas.com<br /> MX AMSTRAD_6128 10<br />AMSTRAD_6128 A 64.64.64.64<br />Caballeros.com<br /> MX AMSTRAD_464 10 <br />AMSTRAD_464 A 164.164.164.164<br />DNS<br />
  13. 13. Correos falsos<br />Simulan el campo Mail from:<br />Vienen desde servidores que no pertenecen a la empresa<br />No viene firmados digitalmente<br />
  14. 14. ¿Cómo se asegura la princesa de que es su caballero quién le envía el mail?<br />
  15. 15. El camino del AMORcon MX Reverse Lookup<br />MX princesas.com?<br />SMTP<br />Servidor Correo Saliente de caballeros.com<br />SmartHost<br />tenor21@caballeros.com<br />POP3<br />HTTP<br />MAPI<br />IMAP<br />RPC/HTTPS<br />DNS<br />MX caballeros.com?<br />Servidor Correo Entrante de princesas.com<br />reina21@princesas.com<br />
  16. 16. MX Reverse Lookup<br />Ventajas:<br />Sencillo de implementar<br />Sí garantiza servidor legítimo<br />No requiere cambios en la infraestructura<br />Inconvenientes<br />No todas las empresas envían por dónde reciben<br />No garantiza correos falsos<br />
  17. 17. SPF/Sender ID<br />
  18. 18. SPF/Sender ID<br />Sender ID:<br /><ul><li>Requiere registro TXT
  19. 19. Cuatro modos:
  20. 20. spf2.0/mfrom
  21. 21. spf2.0/mfrom,pra
  22. 22. spf2.0/pra,mfrom
  23. 23. spf2.0/pra
  24. 24. -all -> fail
  25. 25. ~all -> Softfail
  26. 26. ?all -> Neutral
  27. 27. +all -> Pass
  28. 28. PRA: Purported Responsible Address
  29. 29. From
  30. 30. Sender
  31. 31. Resent-From
  32. 32. Resent-Sender </li></ul>SPF:<br /><ul><li>Requiere registro TXT
  33. 33. Sólo comprueba IP server y mail from:
  34. 34. Se configura como v=spf1
  35. 35. -all -> fail
  36. 36. ~all -> Softfail
  37. 37. ?all -> Neutral
  38. 38. +all -> Pass</li></li></ul><li>El servidor DNS<br />Princesas.com<br />. MX AMSTRAD_6128 10<br />AMSTRAD_6128 A 64.64.64.64<br />SPF TXT “v=spf1 a:AMSTRAD_6128<br /> a:pasarela.princesas.com<br /> ipv4:64.64.64.1 –all”<br />Caballeros.com<br />. MX AMSTRAD_464 10 <br />AMSTRAD_464 A 164.164.164.164<br />SPF TXT “v=spf1 a:AMSTRAD_6128<br /> a:pasarela.princesas.com<br /> ipv4:64.64.64.1 –all”<br />DNS<br />
  39. 39. El camino del AMORcon SPF/Sender ID<br />MX princesas.com?<br />SMTP<br />Servidor Correo Saliente de caballeros.com<br />SmartHost<br />tenor21@caballeros.com<br />POP3<br />HTTP<br />MAPI<br />IMAP<br />RPC/HTTPS<br />DNS<br />SPF caballeros.com?<br />Servidor Correo Entrante de princesas.com<br />reina21@princesas.com<br />
  40. 40. Demo Phishing SPF<br />
  41. 41. Publicidad<br />
  42. 42. Publicidad<br />
  43. 43. Publicidad & Phishing<br />
  44. 44. DKIM<br />Domain Keys Identified Mail<br />Se basa en PKI<br />Los correos que salen de un servidor son firmados digitalmente.<br />La clave pública del servidor firmante está en el servidor DNS<br />
  45. 45. El camino del AMORcon DKIM<br />MX princesas.com?<br />SMTP<br />Servidor Correo Saliente de caballeros.com<br />SmartHost<br />tenor21@caballeros.com<br />POP3<br />HTTP<br />MAPI<br />IMAP<br />RPC/HTTPS<br />DNS<br />clave caballeros.com?<br />Servidor Correo Entrante de princesas.com<br />reina21@princesas.com<br />Garantizado<br />
  46. 46. El servidor DNS<br />Princesas.com<br />. MX AMSTRAD_6128 10<br />AMSTRAD_6128 A 64.64.64.64<br />SPF TXT “v=spf1 a:AMSTRAD_6128<br /> a:pasarela.princesas.com<br /> ipv4:64.64.64.1 –all”<br />_domainkey.Princesas.com<br />. TXT o=-<br />Clave1 TXT “afjasjf8923kj4kjd8ukl…”<br />Calve2 TXT “adskf8924509uijfkadf..”<br />Caballeros.com<br />. MX AMSTRAD_464 10 <br />AMSTRAD_464 A 164.164.164.164<br />SPF TXT “v=spf1 a:AMSTRAD_6128<br /> a:pasarela.princesas.com<br /> ipv4:64.64.64.1 –all”<br />_domainkey.Caballeros.com<br />. TXT o=-<br />c256 TXT “fghdfgh8923kj4kjd8ukl…”<br />C512 TXT “dghdfghf09uijfghgfkadf..”<br />DNS<br />
  47. 47. DKIM<br />Ventajas<br />Basado en PKI<br />Garantiza la salida desde un servidor<br />Inconvenientes<br />Requiere una cabecera extra<br />Mantenimiento de claves en servidores<br />Si no llega firmado el mail es normal, DKIM es un encabezado extra.<br />
  48. 48. Mutual TLS<br />Implementado entre sistemas Exchange <br />Utiliza PKI<br />Cifra y autentica comunicaciones entre servidores por medio de certificados digitales<br />Transparente al usuario<br />
  49. 49. IE 9 & Hotmail Wave 4:SmartScreen: Protección ante phishing y malware (I)<br /><ul><li> Todos los navegadores incorporan un sistema de protección contra malware.
  50. 50. Los tiempos de respuesta de Opera respecto a los demás está muy distante.</li></li></ul><li>IE 9 & Hotmail Wave 4 :SmartScreen: Protección ante phishing y malware (II)<br />Detección de malware por cada uno de los navegadores<br />
  51. 51. IE 9 & Hotmail Wave 4: SmartScreen: Protección ante phishing y malware (III)<br />
  52. 52. IE9: DownloadReputation<br />
  53. 53. ¿Preguntas?<br />Chema Alonso<br />chema@informatica64.com<br />http://twitter.com/chemaalonso<br />http://www.informatica64.com<br />Todas mis tonterías en mis blogs:<br />http://elladodelmal.blogspot.com<br />http://www.windowstecnico.com<br />

×