SlideShare a Scribd company logo

Extendedsummaryof phish timecontinuouslongitudinalmeasurementoftheeffectivenessofanti-phishingblacklists

E
EnricoDavanzo1

EXTENDED SUMMARY OF “PhishTime: Continuous Longitudinal Measurement of the Effectiveness of Anti-phishing Blacklists”

Engineering
1 of 9
Download to read offline
UNIVERSITÀ DEGLI STUDI DI TRIESTE Dipartimento di Ingegneria e Architettura Corso di studio in Ingegneria Elettronica e Informatica EXTENDED SUMMARY OF “PhishTime: Continuous Longitudinal Measurement of the Effectiveness of Anti-phishing Blacklists” Tesi di Laurea Triennale Laureando: Relatore: Enrico DAVANZO Prof. Alberto BARTOLI Anno accademico 2019 - 2020
1 Sommario 1 Introduzione......................................................................................................................................2 2 Blacklist anti-phishing .......................................................................................................................2 2.1 Metriche di valutazione delle blacklist.......................................................................................2 3 PhishTime: studio sperimentale .......................................................................................................3 3.1 Raccolta delle informazioni........................................................................................................3 3.2 Dispiegamento............................................................................................................................4 3.3 Analisi dei risultati ......................................................................................................................4 4 Conclusione.......................................................................................................................................7 5 Bibliografia ........................................................................................................................................8
2 1 INTRODUZIONE Ad oggi il phishing1 rappresenta una grande minaccia per gli utenti all’interno del web. Gli attacchi phishing sono sempre più frequenti e hanno recentemente raggiunto livelli record, diventando uno dei problemi con il maggiore impatto sul mondo reale. Appare evidente la necessità di avere difese solide contro questi attacchi. Gli autori hanno individuato la mancanza di un metodo per valutare sistematicamente le prestazioni dell’ecosistema anti-phishing e per identificare potenziali lacune. Hanno pertanto sviluppato una struttura logica per un’analisi continua, longitudinale e a lungo termine della risposta delle difese dell’ecosistema anti- phishing, PhishTime. 2 BLACKLIST ANTI-PHISHING Le blacklist sono la difesa principale contro il phishing. Esse sono abilitate di default dai principali browser e contengono al loro interno gli URL con contenuti di phishing. Questi URL vengono segnalati direttamente dalle organizzazioni impersonate dai phisher, come PayPal (che ha collaborato a questo studio concedendo agli autori di utilizzare questo marchio negli esperimenti), o attraverso fornitori terzi, come Anti-Phishing Working Group (APWG), e analizzati sfruttando un’automatizzata struttura di back-end. Le blacklist oggetto di questo studio sono: Google Safe Browsing (GSB), Microsoft SmartScreen e Opera. 2.1 METRICHE DI VALUTAZIONE DELLE BLACKLIST Le metriche di valutazione utilizzate nello studio in questione sono: • Scoperta: la capacità di una blacklist di identificare gli URL sospetti raccolti tramite segnalazioni dirette di phishing, monitoraggio delle e-mail di spam, analisi del contenuto del sito, configurazione del server. • Rilevamento: la capacità di una blacklist di classificare correttamente gli URL scoperti. Per questa metrica si tiene conto di due parametri: 1. Copertura: dato un set di URL di phishing scoperti da una blacklist, la copertura è la proporzione dei siti web che sono stati inseriti in blacklist in un certo istante; 2. Velocità: è il ritardo temporale tra la scoperta e l’inserimento in blacklist, parametro utile a valutare la rapidità di risposta di una blacklist. 1 Phishing: Con questo termine si indica principalmente il tentativo dei phisher (coloro che attuano il phishing) di impadronirsi di credenziali, informazioni finanziarie e personali degli utenti nel web.
3 3 PHISHTIME: STUDIO SPERIMENTALE PhishTime è un framework atto ad analizzare la risposta del sistema ed è costituito da due fasi: • Raccolta delle informazioni: Si raccolgono segnalazioni di URL di phishing in tempo reale dalle entità anti-phishing e si monitora il blacklisting2 di questi URL. Si segnalano tutti gli URL non ancora presenti all’interno delle blacklist. Si analizzano solo i contenuti degli URL che hanno evitato con successo il blacklisting alla fine del punto 2. In questo modo è possibile individuare le tecniche di evasione che permettono di eludere il rilevamento. • Disposizione degli esperimenti: Si replicano tutte le tecniche di phishing individuate nel punto 3 e si vanno ad emulare tramite grandi quantità di siti web (realistici ma innocui) in esperimenti mirati. Dispiegamento degli esperimenti. Si raccolgono ed esaminano i risultati analizzando la copertura e la velocità delle blacklist per valutare la risposta del sistema e scovare eventuali lacune per poi segnalarle alle entità. Figura 1: passaggi chiave di PhishTime. 3.1 RACCOLTA DELLE INFORMAZIONI Al termine della prima fase gli autori hanno rilevato le seguenti tecniche di evasione: • Cloaking (occultamento): tecnica che permette di nascondere il contenuto fraudolento all’infrastruttura anti-phishing (ad esempio ai web crawler), mantenendolo però visibile alle vittime. • Redirection: dal momento che le blacklist bloccano i contenuti web in base ai loro URL, l’idea di questa tecnica è quella di utilizzare degli URL esca che reindirizzano alla pagina finale di phishing. Questa pagina ha quindi più probabilità di non essere rilevata. Nel mezzo della catena di reindirizzamento possono essere utilizzate altre tecniche, come per esempio il cloaking tramite file .htaccess. 2 Blacklisting: termine utilizzato per indicare l’inserimento di uno o più URL in blacklist o il processo stesso di inserimento.
4 • Tecniche basate sul comportamento: sono le più difficili da rilevare; il contenuto malevolo viene mostrato solo dopo che l’utente ha risolto una sfida CAPTCHA, cliccato su un popup o solo dopo la rilevazione del movimento del mouse. Questo serve per eludere l’analisi da parte dei crawler web. 3.2 DISPIEGAMENTO Dopo la fase di raccolta delle informazioni vengono eseguiti 6 dispiegamenti all’interno dei quali vengono realizzati degli esperimenti mirati a valutare diversi aspetti: • Esperimento A: emulazione del phishing di base senza alcuna tecnica di evasione; • Esperimento B: emulazione del phishing con tecniche evasive di base: cloaking mobile (phishing mirato a user agent mobile) e cloaking basato su Javascript; • Esperimento C: emulazione del phishing con diverse tecniche di evasione di tipo redirection; • Esperimento D: mira a capire come il sistema reagisce al riutilizzo delle infrastrutture già sfruttate nel passato dai phisher, nell’esperimento vengono riutilizzati gli stessi domini e le stesse tecniche dell’esperimento C, ma con URL diversi; • Esperimento E: replica gli esperimenti A e B ma questa volta la segnalazione degli URL non è fatta direttamente alle blacklist ma viene rivolta ad una singola società, alternando PayPal e APWG tra i 6 dispiegamenti. Questo serve a valutare la condivisione dei dati nell’ecosistema; • Esperimento F: emulazione del phishing con tecniche evasive basate sul comportamento; • Esperimento G: in questo esperimento si testa la segnalazione basata sulle evidenze, ossia anziché segnalare solamente l’URL, si allegano altre informazione come screenshot, codice sorgente, user agent utilizzato, catena di reindirizzamento, indirizzo IP. Questa segnalazione è stata effettuata grazie al servizio Chrome Suspicius Site Reporter (CSSR); sono stati rilasciati siti web con cloaking basato sulla geolocalizzazione degli IP. Vengono segnalati in eguale quantità sia a CSSR che a GSB per confrontare le risposte del nuovo e del vecchio metodo. Tabella 1: nella tabella si riassumono le caratteristiche degli esperimenti nei 6 dispiegamenti. 3.3 ANALISI DEI RISULTATI Sono stati dispiegati 4,158 URL. Di questi ne sono stati inseriti in blacklist solamente 3,514. I 644 URL mai inseriti mettono in evidenza l’esistenza di vulnerabilità nell’ecosistema: • 299 facevano parte dell’esperimento F che implementava le tecniche più sofisticate; • 214 facevano parte degli esperimenti B, C e D, ossia tecniche di evasione di base; • 131 appartenenti agli esperimenti E e G che riguardano problematiche di segnalazione degli URL e divulgazione delle informazioni.
5 È interessante notare che per 94 URL, dei 4,158 totali, non si è registrato alcun traffico crawler e che tutti appartengono al dispiegamento 3. In particolare, 81 di questi, appartenenti all'esperimento E (riguardante la segnalazione a singola entità), hanno evidenziato una falla nel sistema anti-phishing di Paypal. Escluso il dispiegamento 3, le blacklist hanno dimostrato coerenza in termini di copertura e velocità. Inoltre, gli URL non sono stati cancellati dalle blacklist se non quando, alla fine dell’ultimo dispiegamento, i siti web hanno iniziato a trasmettere errori 404 alle richieste HTTP. La prima cancellazione è avvenuta 29 giorni dopo la segnalazione del relativo URL ma attualmente non rappresenta un problema significativo. Probabilmente, tale cancellazione dipende da fattori quali: la presenza di contenuti benigni su un dominio, la reputazione del dominio oppure se il server web è ancora online. Blacklist Desktop Tabella 2: risultati dell’esperimento A e degli esperimenti di phishing evasivo (B, C, D) per blacklist desktop. Guardando i dati in tabella si possono raccogliere le seguenti osservazioni (le quali sono state tradotte in raccomandazioni all’ecosistema): • La blacklist Opera ha una copertura mediocre, pari al 60%, mentre GBS e SmartScreen garantiscono una copertura del 93%; • SmartScreen ha una velocità media di 3 ore e 47 minuti contro i 55 minuti di GSB e i 56 minuti di Opera. Si è notato che la prima risposta di SmartScreen si verifica un’ora dopo rispetto a quelle di GSB e Opera (che avvengono circa 20 minuti dopo le prime segnalazioni); • L’ecosistema, come nel dispiegamento 3, può essere in alcuni punti vulnerabile (le cause della bassa copertura sono spiegate nella sezione precedente); • Le tecniche base di evasione (anche le più banali come il reindirizzamento con abbreviazioni degli URL) hanno rallentato il rilevamento in media di 3 ore.
6 Blacklist mobile Tabella 3: risultati dell’esperimento A e degli esperimenti di phishing evasivo (B, C, D) per blacklist mobile. L’analisi delle prestazioni del blacklisting mobile ha evidenziato un enorme problema. Tranne che per GSB su browser mobile Firefox, le prestazioni del blacklisting mobile non sono all’altezza delle controparti desktop: • La copertura di mobile Chrome e mobile Safari è scesa al 57,8%; • Opera ha una copertura del 3,7%; • Il rilevamento si estende in un periodo di tempo molto più lungo (anche dopo le 34 ore). Tecniche di evasione basate sul comportamento Tabella 4: focus sui risultati dei singoli esperimenti D, E, F e G. Le blacklist hanno dimostrato di riuscire a rilevare efficacemente il phishing non evasivo, ma non sono state altrettanto efficienti con quello evasivo. Nell’esperimento F si nota che le tecniche di phishing emergenti basate sul comportamento dell’utente hanno evitato completamente il blacklisting, ad eccezione del cloaking tramite file .htaccess e, solo per SmartScreen, tramite CAPTCHA. Si è scoperto che SmartScreen classifica il codice Javascript per la sfida CAPTCHA come malware, cosa facilmente aggirabile dai phisher. Una nota a favore è che le blacklist si sono dimostrate reattive nel momento in cui sono stati riutilizzati domini ed infrastrutture precedentemente usate per gli attacchi (ndr. esperimento D).
7 Tecniche di segnalazione Nell’esperimento E, APWG ha dimostrato un’ottima divulgazione dei propri URL visto che sono stati coperti in alta percentuale da GSB e SmartScreen (Opera e le blacklist mobile mostrano le stesse lacune discusse nelle sezioni precedenti). Lo stesso non si può dire di PayPal: gli autori hanno infatti segnalato a questa entità una pessima copertura nelle blacklist degli URL segnalati solo a questa società. Ciò evidenzia la possibile presenza di falle all’interno del sistema. PayPal, riconoscendo la propria vulnerabilità, sta lavorando per migliorarsi. Infine, la valutazione dell’esperimento G argomenta l’ultima raccomandazione degli autori: è necessario implementare un servizio di segnalazione basato sulle evidenze. Per la tecnica di evasione trattata, la copertura di CSSR (che permette la segnalazione basata sulle evidenze), seppur con una velocità inferiore, ha toccato il 90.7%, contro il 20.4% della segnalazione classica del solo URL di GSB. Figura 2: confronto tra segnalazione classica (GSB) e basta sulle evidenze (CSSR). 4 CONCLUSIONE Con questo studio si è voluto mettere a nudo quanto sia fondamentale avere un monitoraggio continuo di questi sistemi. Essi sono alla base dell'intero ecosistema anti-phishing e sono il modo migliore per mantenere gli utenti al sicuro. Pertanto, è imperativo che funzionino in modo corretto e tempestivo. Vista l’efficacia del suo primo dispiegamento, PhishTime si è rilevato uno strumento efficiente ed efficace per l’analisi dell’ecosistema, consentendo l’invio di numerose raccomandazioni utili alle entità di difesa.
8 5 BIBLIOGRAFIA Adam Oest, Yeganeh Safaei, and Penghui Zhang, Arizona State University; Brad Wardman and Kevin Tyers, PayPal; Yan Shoshitaishvili and Adam Doupé, Arizona State University; Gail-Joon Ahn, Arizona State University, Samsung Research. 2020. “PhishTime: Continuous Longitudinal Measurement of the Effectiveness of Anti-phishing Blacklists”. In: Proceedings of the 29th USENIX Security Symposium.

Recommended

Sviluppo di un sistema per la classificazione di URL di phishing mediante tec...
Sviluppo di un sistema per la classificazione di URL di phishing mediante tec...Sviluppo di un sistema per la classificazione di URL di phishing mediante tec...
Sviluppo di un sistema per la classificazione di URL di phishing mediante tec...Federico Cergol
 
Summary of millions of targets under attack, a macroscopic characterization...
Summary of millions of targets under attack, a macroscopic characterization...Summary of millions of targets under attack, a macroscopic characterization...
Summary of millions of targets under attack, a macroscopic characterization...AlbertoLuvisutto
 
Slides summary of millions of targets under attack, a macroscopic character...
Slides summary of millions of targets under attack, a macroscopic character...Slides summary of millions of targets under attack, a macroscopic character...
Slides summary of millions of targets under attack, a macroscopic character...AlbertoLuvisutto
 
Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...
Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...
Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...Matteo Makovec
 
Sviluppo di un sistema per la classificazione di URL di phishing mediante tec...
Sviluppo di un sistema per la classificazione di URL di phishing mediante tec...Sviluppo di un sistema per la classificazione di URL di phishing mediante tec...
Sviluppo di un sistema per la classificazione di URL di phishing mediante tec...Federico Cergol
 
Extended summary of "Cached and Confused: Web Cache Deception in the Wild"
Extended summary of "Cached and Confused: Web Cache Deception in the Wild"Extended summary of "Cached and Confused: Web Cache Deception in the Wild"
Extended summary of "Cached and Confused: Web Cache Deception in the Wild"MarcoSanteramo
 
Sunrise tosunset
Sunrise tosunsetSunrise tosunset
Sunrise tosunsetSilvioAngeloBarattoR
 
Analisi delle dipendenze architetturali dei servizi di autenticazione SPID
Analisi delle dipendenze architetturali dei servizi di autenticazione SPIDAnalisi delle dipendenze architetturali dei servizi di autenticazione SPID
Analisi delle dipendenze architetturali dei servizi di autenticazione SPIDLeonardoSimonini
 

Recommended

Sviluppo di un sistema per la classificazione di URL di phishing mediante tec...
Sviluppo di un sistema per la classificazione di URL di phishing mediante tec...Sviluppo di un sistema per la classificazione di URL di phishing mediante tec...
Sviluppo di un sistema per la classificazione di URL di phishing mediante tec...Federico Cergol
 
Summary of millions of targets under attack, a macroscopic characterization...
Summary of millions of targets under attack, a macroscopic characterization...Summary of millions of targets under attack, a macroscopic characterization...
Summary of millions of targets under attack, a macroscopic characterization...AlbertoLuvisutto
 
Slides summary of millions of targets under attack, a macroscopic character...
Slides summary of millions of targets under attack, a macroscopic character...Slides summary of millions of targets under attack, a macroscopic character...
Slides summary of millions of targets under attack, a macroscopic character...AlbertoLuvisutto
 
Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...
Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...
Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...Matteo Makovec
 
Sviluppo di un sistema per la classificazione di URL di phishing mediante tec...
Sviluppo di un sistema per la classificazione di URL di phishing mediante tec...Sviluppo di un sistema per la classificazione di URL di phishing mediante tec...
Sviluppo di un sistema per la classificazione di URL di phishing mediante tec...Federico Cergol
 
Extended summary of "Cached and Confused: Web Cache Deception in the Wild"
Extended summary of "Cached and Confused: Web Cache Deception in the Wild"Extended summary of "Cached and Confused: Web Cache Deception in the Wild"
Extended summary of "Cached and Confused: Web Cache Deception in the Wild"MarcoSanteramo
 
Sunrise tosunset
Sunrise tosunsetSunrise tosunset
Sunrise tosunsetSilvioAngeloBarattoR
 
Analisi delle dipendenze architetturali dei servizi di autenticazione SPID
Analisi delle dipendenze architetturali dei servizi di autenticazione SPIDAnalisi delle dipendenze architetturali dei servizi di autenticazione SPID
Analisi delle dipendenze architetturali dei servizi di autenticazione SPIDLeonardoSimonini
 
Summary of “Dirty Clicks: A Study of the Usability and Security Implications ...
Summary of “Dirty Clicks: A Study of the Usability and Security Implications ...Summary of “Dirty Clicks: A Study of the Usability and Security Implications ...
Summary of “Dirty Clicks: A Study of the Usability and Security Implications ...EfremCherin
 
Realizzazione di un workflow integrato per la rilevazione di domini phishing
Realizzazione di un workflow integrato per la rilevazione di domini phishingRealizzazione di un workflow integrato per la rilevazione di domini phishing
Realizzazione di un workflow integrato per la rilevazione di domini phishingGiuliaMilan4
 
Extended Summary of "What You See is NOT What You Get: Discovering and Tracki...
Extended Summary of "What You See is NOT What You Get: Discovering and Tracki...Extended Summary of "What You See is NOT What You Get: Discovering and Tracki...
Extended Summary of "What You See is NOT What You Get: Discovering and Tracki...RoccoCaliandro1
 
Summary of "MalNet: A binary-centric network-level profiling of IoT Malware"
Summary of "MalNet: A binary-centric network-level profiling of IoT Malware"Summary of "MalNet: A binary-centric network-level profiling of IoT Malware"
Summary of "MalNet: A binary-centric network-level profiling of IoT Malware"DanieleMaijnelli
 
Extended summary of dark matter uncovering the dark comet rat ecosystem
Extended summary of dark matter uncovering the dark comet rat ecosystemExtended summary of dark matter uncovering the dark comet rat ecosystem
Extended summary of dark matter uncovering the dark comet rat ecosystemAndreaValente20
 
Summary of “Measuring Security Practices and How They Impact Security”
Summary of “Measuring Security Practices and How They Impact Security”Summary of “Measuring Security Practices and How They Impact Security”
Summary of “Measuring Security Practices and How They Impact Security”CristianFalvo
 
Summary of “An Automated Approach to Auditing Disclosure of Third-Party Data ...
Summary of “An Automated Approach to Auditing Disclosure of Third-Party Data ...Summary of “An Automated Approach to Auditing Disclosure of Third-Party Data ...
Summary of “An Automated Approach to Auditing Disclosure of Third-Party Data ...FabioDalCol
 
Extended summary of dark matter uncovering the dark comet rat ecosystem
Extended summary of dark matter uncovering the dark comet rat ecosystemExtended summary of dark matter uncovering the dark comet rat ecosystem
Extended summary of dark matter uncovering the dark comet rat ecosystemAndreaValente20
 
SUMMARY OF “Tales from the Porn: A Comprehensive Privacy Analysis of the Web ...
SUMMARY OF “Tales from the Porn: A Comprehensive Privacy Analysis of the Web ...SUMMARY OF “Tales from the Porn: A Comprehensive Privacy Analysis of the Web ...
SUMMARY OF “Tales from the Porn: A Comprehensive Privacy Analysis of the Web ...FedericoRaimondi4
 
Extended Summary of “Open for hire: attack trends and misconfiguration pitfal...
Extended Summary of “Open for hire: attack trends and misconfiguration pitfal...Extended Summary of “Open for hire: attack trends and misconfiguration pitfal...
Extended Summary of “Open for hire: attack trends and misconfiguration pitfal...GiovanniCoronica
 
Summary of "Annoyed Users: Ads and Ad-Block Usage in the Wild"
Summary of "Annoyed Users: Ads and Ad-Block Usage in the Wild"Summary of "Annoyed Users: Ads and Ad-Block Usage in the Wild"
Summary of "Annoyed Users: Ads and Ad-Block Usage in the Wild"MatteoMagris
 
Progetto e realizzazione di uno strumento per l'acquisizione e trasmissione d...
Progetto e realizzazione di uno strumento per l'acquisizione e trasmissione d...Progetto e realizzazione di uno strumento per l'acquisizione e trasmissione d...
Progetto e realizzazione di uno strumento per l'acquisizione e trasmissione d...Gabriele Formisano
 
Extended Summary Of "MadDroid: Characterizing and Detecting Devious Ad Conten...
Extended Summary Of "MadDroid: Characterizing and Detecting Devious Ad Conten...Extended Summary Of "MadDroid: Characterizing and Detecting Devious Ad Conten...
Extended Summary Of "MadDroid: Characterizing and Detecting Devious Ad Conten...AndreaPausig
 
Summary of 50 ways to leak your data an exploration of apps circumvention of ...
Summary of 50 ways to leak your data an exploration of apps circumvention of ...Summary of 50 ways to leak your data an exploration of apps circumvention of ...
Summary of 50 ways to leak your data an exploration of apps circumvention of ...TommasoBaldo
 
Sicurezza in Rete
Sicurezza in ReteSicurezza in Rete
Sicurezza in ReteVincenzo Calabrò
 
Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...
Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...
Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...Matteo Makovec
 
Sicurezza e resilienza di Architetture a Containers
Sicurezza e resilienza di Architetture a ContainersSicurezza e resilienza di Architetture a Containers
Sicurezza e resilienza di Architetture a ContainersGianluca Magalotti
 
Vincenzo Calabrò - Strumenti e Tecniche per la creazione di un Falso Alibi In...
Vincenzo Calabrò - Strumenti e Tecniche per la creazione di un Falso Alibi In...Vincenzo Calabrò - Strumenti e Tecniche per la creazione di un Falso Alibi In...
Vincenzo Calabrò - Strumenti e Tecniche per la creazione di un Falso Alibi In...Vincenzo Calabrò
 
Dark net.1203
Dark net.1203Dark net.1203
Dark net.1203Emanuele Florindi
 
Measuring third party dynamics in the field
Measuring third party dynamics in the fieldMeasuring third party dynamics in the field
Measuring third party dynamics in the fieldPierfrancescoBin
 
GIORNATA TECNICA 18/04 | DE ROSA Roberto
GIORNATA TECNICA 18/04 | DE ROSA RobertoGIORNATA TECNICA 18/04 | DE ROSA Roberto
GIORNATA TECNICA 18/04 | DE ROSA RobertoServizi a rete
 
GIORNATA TECNICA 18/04 | BENANTI Alessandro
GIORNATA TECNICA 18/04 | BENANTI AlessandroGIORNATA TECNICA 18/04 | BENANTI Alessandro
GIORNATA TECNICA 18/04 | BENANTI AlessandroServizi a rete
 

More Related Content

Similar to Extendedsummaryof phish timecontinuouslongitudinalmeasurementoftheeffectivenessofanti-phishingblacklists

Summary of “Dirty Clicks: A Study of the Usability and Security Implications ...
Summary of “Dirty Clicks: A Study of the Usability and Security Implications ...Summary of “Dirty Clicks: A Study of the Usability and Security Implications ...
Summary of “Dirty Clicks: A Study of the Usability and Security Implications ...EfremCherin
 
Realizzazione di un workflow integrato per la rilevazione di domini phishing
Realizzazione di un workflow integrato per la rilevazione di domini phishingRealizzazione di un workflow integrato per la rilevazione di domini phishing
Realizzazione di un workflow integrato per la rilevazione di domini phishingGiuliaMilan4
 
Extended Summary of "What You See is NOT What You Get: Discovering and Tracki...
Extended Summary of "What You See is NOT What You Get: Discovering and Tracki...Extended Summary of "What You See is NOT What You Get: Discovering and Tracki...
Extended Summary of "What You See is NOT What You Get: Discovering and Tracki...RoccoCaliandro1
 
Summary of "MalNet: A binary-centric network-level profiling of IoT Malware"
Summary of "MalNet: A binary-centric network-level profiling of IoT Malware"Summary of "MalNet: A binary-centric network-level profiling of IoT Malware"
Summary of "MalNet: A binary-centric network-level profiling of IoT Malware"DanieleMaijnelli
 
Extended summary of dark matter uncovering the dark comet rat ecosystem
Extended summary of dark matter uncovering the dark comet rat ecosystemExtended summary of dark matter uncovering the dark comet rat ecosystem
Extended summary of dark matter uncovering the dark comet rat ecosystemAndreaValente20
 
Summary of “Measuring Security Practices and How They Impact Security”
Summary of “Measuring Security Practices and How They Impact Security”Summary of “Measuring Security Practices and How They Impact Security”
Summary of “Measuring Security Practices and How They Impact Security”CristianFalvo
 
Summary of “An Automated Approach to Auditing Disclosure of Third-Party Data ...
Summary of “An Automated Approach to Auditing Disclosure of Third-Party Data ...Summary of “An Automated Approach to Auditing Disclosure of Third-Party Data ...
Summary of “An Automated Approach to Auditing Disclosure of Third-Party Data ...FabioDalCol
 
Extended summary of dark matter uncovering the dark comet rat ecosystem
Extended summary of dark matter uncovering the dark comet rat ecosystemExtended summary of dark matter uncovering the dark comet rat ecosystem
Extended summary of dark matter uncovering the dark comet rat ecosystemAndreaValente20
 
SUMMARY OF “Tales from the Porn: A Comprehensive Privacy Analysis of the Web ...
SUMMARY OF “Tales from the Porn: A Comprehensive Privacy Analysis of the Web ...SUMMARY OF “Tales from the Porn: A Comprehensive Privacy Analysis of the Web ...
SUMMARY OF “Tales from the Porn: A Comprehensive Privacy Analysis of the Web ...FedericoRaimondi4
 
Extended Summary of “Open for hire: attack trends and misconfiguration pitfal...
Extended Summary of “Open for hire: attack trends and misconfiguration pitfal...Extended Summary of “Open for hire: attack trends and misconfiguration pitfal...
Extended Summary of “Open for hire: attack trends and misconfiguration pitfal...GiovanniCoronica
 
Summary of "Annoyed Users: Ads and Ad-Block Usage in the Wild"
Summary of "Annoyed Users: Ads and Ad-Block Usage in the Wild"Summary of "Annoyed Users: Ads and Ad-Block Usage in the Wild"
Summary of "Annoyed Users: Ads and Ad-Block Usage in the Wild"MatteoMagris
 
Progetto e realizzazione di uno strumento per l'acquisizione e trasmissione d...
Progetto e realizzazione di uno strumento per l'acquisizione e trasmissione d...Progetto e realizzazione di uno strumento per l'acquisizione e trasmissione d...
Progetto e realizzazione di uno strumento per l'acquisizione e trasmissione d...Gabriele Formisano
 
Extended Summary Of "MadDroid: Characterizing and Detecting Devious Ad Conten...
Extended Summary Of "MadDroid: Characterizing and Detecting Devious Ad Conten...Extended Summary Of "MadDroid: Characterizing and Detecting Devious Ad Conten...
Extended Summary Of "MadDroid: Characterizing and Detecting Devious Ad Conten...AndreaPausig
 
Summary of 50 ways to leak your data an exploration of apps circumvention of ...
Summary of 50 ways to leak your data an exploration of apps circumvention of ...Summary of 50 ways to leak your data an exploration of apps circumvention of ...
Summary of 50 ways to leak your data an exploration of apps circumvention of ...TommasoBaldo
 
Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...
Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...
Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...Matteo Makovec
 
Sicurezza e resilienza di Architetture a Containers
Sicurezza e resilienza di Architetture a ContainersSicurezza e resilienza di Architetture a Containers
Sicurezza e resilienza di Architetture a ContainersGianluca Magalotti
 
Vincenzo Calabrò - Strumenti e Tecniche per la creazione di un Falso Alibi In...
Vincenzo Calabrò - Strumenti e Tecniche per la creazione di un Falso Alibi In...Vincenzo Calabrò - Strumenti e Tecniche per la creazione di un Falso Alibi In...
Vincenzo Calabrò - Strumenti e Tecniche per la creazione di un Falso Alibi In...Vincenzo Calabrò
 
Measuring third party dynamics in the field
Measuring third party dynamics in the fieldMeasuring third party dynamics in the field
Measuring third party dynamics in the fieldPierfrancescoBin
 

Similar to Extendedsummaryof phish timecontinuouslongitudinalmeasurementoftheeffectivenessofanti-phishingblacklists (20)

Summary of “Dirty Clicks: A Study of the Usability and Security Implications ...
Summary of “Dirty Clicks: A Study of the Usability and Security Implications ...Summary of “Dirty Clicks: A Study of the Usability and Security Implications ...
Summary of “Dirty Clicks: A Study of the Usability and Security Implications ...
 
Realizzazione di un workflow integrato per la rilevazione di domini phishing
Realizzazione di un workflow integrato per la rilevazione di domini phishingRealizzazione di un workflow integrato per la rilevazione di domini phishing
Realizzazione di un workflow integrato per la rilevazione di domini phishing
 
Extended Summary of "What You See is NOT What You Get: Discovering and Tracki...
Extended Summary of "What You See is NOT What You Get: Discovering and Tracki...Extended Summary of "What You See is NOT What You Get: Discovering and Tracki...
Extended Summary of "What You See is NOT What You Get: Discovering and Tracki...
 
Summary of "MalNet: A binary-centric network-level profiling of IoT Malware"
Summary of "MalNet: A binary-centric network-level profiling of IoT Malware"Summary of "MalNet: A binary-centric network-level profiling of IoT Malware"
Summary of "MalNet: A binary-centric network-level profiling of IoT Malware"
 
Extended summary of dark matter uncovering the dark comet rat ecosystem
Extended summary of dark matter uncovering the dark comet rat ecosystemExtended summary of dark matter uncovering the dark comet rat ecosystem
Extended summary of dark matter uncovering the dark comet rat ecosystem
 
Summary of “Measuring Security Practices and How They Impact Security”
Summary of “Measuring Security Practices and How They Impact Security”Summary of “Measuring Security Practices and How They Impact Security”
Summary of “Measuring Security Practices and How They Impact Security”
 
Summary of “An Automated Approach to Auditing Disclosure of Third-Party Data ...
Summary of “An Automated Approach to Auditing Disclosure of Third-Party Data ...Summary of “An Automated Approach to Auditing Disclosure of Third-Party Data ...
Summary of “An Automated Approach to Auditing Disclosure of Third-Party Data ...
 
Extended summary of dark matter uncovering the dark comet rat ecosystem
Extended summary of dark matter uncovering the dark comet rat ecosystemExtended summary of dark matter uncovering the dark comet rat ecosystem
Extended summary of dark matter uncovering the dark comet rat ecosystem
 
SUMMARY OF “Tales from the Porn: A Comprehensive Privacy Analysis of the Web ...
SUMMARY OF “Tales from the Porn: A Comprehensive Privacy Analysis of the Web ...SUMMARY OF “Tales from the Porn: A Comprehensive Privacy Analysis of the Web ...
SUMMARY OF “Tales from the Porn: A Comprehensive Privacy Analysis of the Web ...
 
Extended Summary of “Open for hire: attack trends and misconfiguration pitfal...
Extended Summary of “Open for hire: attack trends and misconfiguration pitfal...Extended Summary of “Open for hire: attack trends and misconfiguration pitfal...
Extended Summary of “Open for hire: attack trends and misconfiguration pitfal...
 
Summary of "Annoyed Users: Ads and Ad-Block Usage in the Wild"
Summary of "Annoyed Users: Ads and Ad-Block Usage in the Wild"Summary of "Annoyed Users: Ads and Ad-Block Usage in the Wild"
Summary of "Annoyed Users: Ads and Ad-Block Usage in the Wild"
 
Progetto e realizzazione di uno strumento per l'acquisizione e trasmissione d...
Progetto e realizzazione di uno strumento per l'acquisizione e trasmissione d...Progetto e realizzazione di uno strumento per l'acquisizione e trasmissione d...
Progetto e realizzazione di uno strumento per l'acquisizione e trasmissione d...
 
Extended Summary Of "MadDroid: Characterizing and Detecting Devious Ad Conten...
Extended Summary Of "MadDroid: Characterizing and Detecting Devious Ad Conten...Extended Summary Of "MadDroid: Characterizing and Detecting Devious Ad Conten...
Extended Summary Of "MadDroid: Characterizing and Detecting Devious Ad Conten...
 
Summary of 50 ways to leak your data an exploration of apps circumvention of ...
Summary of 50 ways to leak your data an exploration of apps circumvention of ...Summary of 50 ways to leak your data an exploration of apps circumvention of ...
Summary of 50 ways to leak your data an exploration of apps circumvention of ...
 
Sicurezza in Rete
Sicurezza in ReteSicurezza in Rete
Sicurezza in Rete
 
Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...
Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...
Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phi...
 
Sicurezza e resilienza di Architetture a Containers
Sicurezza e resilienza di Architetture a ContainersSicurezza e resilienza di Architetture a Containers
Sicurezza e resilienza di Architetture a Containers
 
Vincenzo Calabrò - Strumenti e Tecniche per la creazione di un Falso Alibi In...
Vincenzo Calabrò - Strumenti e Tecniche per la creazione di un Falso Alibi In...Vincenzo Calabrò - Strumenti e Tecniche per la creazione di un Falso Alibi In...
Vincenzo Calabrò - Strumenti e Tecniche per la creazione di un Falso Alibi In...
 
Dark net.1203
Dark net.1203Dark net.1203
Dark net.1203
 
Measuring third party dynamics in the field
Measuring third party dynamics in the fieldMeasuring third party dynamics in the field
Measuring third party dynamics in the field
 

Recently uploaded

GIORNATA TECNICA 18/04 | DE ROSA Roberto
GIORNATA TECNICA 18/04 | DE ROSA RobertoGIORNATA TECNICA 18/04 | DE ROSA Roberto
GIORNATA TECNICA 18/04 | DE ROSA RobertoServizi a rete
 
GIORNATA TECNICA 18/04 | BENANTI Alessandro
GIORNATA TECNICA 18/04 | BENANTI AlessandroGIORNATA TECNICA 18/04 | BENANTI Alessandro
GIORNATA TECNICA 18/04 | BENANTI AlessandroServizi a rete
 
GIORNATA TECNICA 18/04 | LITTERIO Raffaele
GIORNATA TECNICA 18/04 | LITTERIO RaffaeleGIORNATA TECNICA 18/04 | LITTERIO Raffaele
GIORNATA TECNICA 18/04 | LITTERIO RaffaeleServizi a rete
 
Presentzione Matematica similitudini circonferenze e omotetie.pptx
Presentzione Matematica similitudini circonferenze e omotetie.pptxPresentzione Matematica similitudini circonferenze e omotetie.pptx
Presentzione Matematica similitudini circonferenze e omotetie.pptxfilippoluciani9
 
GIORNATA TECNICA 18/04 | SPIZZIRRI Massimo
GIORNATA TECNICA 18/04 | SPIZZIRRI MassimoGIORNATA TECNICA 18/04 | SPIZZIRRI Massimo
GIORNATA TECNICA 18/04 | SPIZZIRRI MassimoServizi a rete
 
GIORNATA TECNICA DA AQP 18/04 | ZONNO Serena
GIORNATA TECNICA DA AQP 18/04 | ZONNO SerenaGIORNATA TECNICA DA AQP 18/04 | ZONNO Serena
GIORNATA TECNICA DA AQP 18/04 | ZONNO SerenaServizi a rete
 
GIORNATA TECNICA 18/04 | DE LEO Antonio
GIORNATA TECNICA 18/04 | DE LEO AntonioGIORNATA TECNICA 18/04 | DE LEO Antonio
GIORNATA TECNICA 18/04 | DE LEO AntonioServizi a rete
 
GIORNATA TECNICA DA AQP 18/04 | MOTTA Simone
GIORNATA TECNICA DA AQP 18/04 | MOTTA SimoneGIORNATA TECNICA DA AQP 18/04 | MOTTA Simone
GIORNATA TECNICA DA AQP 18/04 | MOTTA SimoneServizi a rete
 
Descrizione della struttura architettonica Eretteo.pptx
Descrizione della struttura architettonica Eretteo.pptxDescrizione della struttura architettonica Eretteo.pptx
Descrizione della struttura architettonica Eretteo.pptxtecongo2007
 

Recently uploaded (9)

GIORNATA TECNICA 18/04 | DE ROSA Roberto
GIORNATA TECNICA 18/04 | DE ROSA RobertoGIORNATA TECNICA 18/04 | DE ROSA Roberto
GIORNATA TECNICA 18/04 | DE ROSA Roberto
 
GIORNATA TECNICA 18/04 | BENANTI Alessandro
GIORNATA TECNICA 18/04 | BENANTI AlessandroGIORNATA TECNICA 18/04 | BENANTI Alessandro
GIORNATA TECNICA 18/04 | BENANTI Alessandro
 
GIORNATA TECNICA 18/04 | LITTERIO Raffaele
GIORNATA TECNICA 18/04 | LITTERIO RaffaeleGIORNATA TECNICA 18/04 | LITTERIO Raffaele
GIORNATA TECNICA 18/04 | LITTERIO Raffaele
 
Presentzione Matematica similitudini circonferenze e omotetie.pptx
Presentzione Matematica similitudini circonferenze e omotetie.pptxPresentzione Matematica similitudini circonferenze e omotetie.pptx
Presentzione Matematica similitudini circonferenze e omotetie.pptx
 
GIORNATA TECNICA 18/04 | SPIZZIRRI Massimo
GIORNATA TECNICA 18/04 | SPIZZIRRI MassimoGIORNATA TECNICA 18/04 | SPIZZIRRI Massimo
GIORNATA TECNICA 18/04 | SPIZZIRRI Massimo
 
GIORNATA TECNICA DA AQP 18/04 | ZONNO Serena
GIORNATA TECNICA DA AQP 18/04 | ZONNO SerenaGIORNATA TECNICA DA AQP 18/04 | ZONNO Serena
GIORNATA TECNICA DA AQP 18/04 | ZONNO Serena
 
GIORNATA TECNICA 18/04 | DE LEO Antonio
GIORNATA TECNICA 18/04 | DE LEO AntonioGIORNATA TECNICA 18/04 | DE LEO Antonio
GIORNATA TECNICA 18/04 | DE LEO Antonio
 
GIORNATA TECNICA DA AQP 18/04 | MOTTA Simone
GIORNATA TECNICA DA AQP 18/04 | MOTTA SimoneGIORNATA TECNICA DA AQP 18/04 | MOTTA Simone
GIORNATA TECNICA DA AQP 18/04 | MOTTA Simone
 
Descrizione della struttura architettonica Eretteo.pptx
Descrizione della struttura architettonica Eretteo.pptxDescrizione della struttura architettonica Eretteo.pptx
Descrizione della struttura architettonica Eretteo.pptx
 

Extendedsummaryof phish timecontinuouslongitudinalmeasurementoftheeffectivenessofanti-phishingblacklists

  • 1. UNIVERSITÀ DEGLI STUDI DI TRIESTE Dipartimento di Ingegneria e Architettura Corso di studio in Ingegneria Elettronica e Informatica EXTENDED SUMMARY OF “PhishTime: Continuous Longitudinal Measurement of the Effectiveness of Anti-phishing Blacklists” Tesi di Laurea Triennale Laureando: Relatore: Enrico DAVANZO Prof. Alberto BARTOLI Anno accademico 2019 - 2020
  • 2. 1 Sommario 1 Introduzione......................................................................................................................................2 2 Blacklist anti-phishing .......................................................................................................................2 2.1 Metriche di valutazione delle blacklist.......................................................................................2 3 PhishTime: studio sperimentale .......................................................................................................3 3.1 Raccolta delle informazioni........................................................................................................3 3.2 Dispiegamento............................................................................................................................4 3.3 Analisi dei risultati ......................................................................................................................4 4 Conclusione.......................................................................................................................................7 5 Bibliografia ........................................................................................................................................8
  • 3. 2 1 INTRODUZIONE Ad oggi il phishing1 rappresenta una grande minaccia per gli utenti all’interno del web. Gli attacchi phishing sono sempre più frequenti e hanno recentemente raggiunto livelli record, diventando uno dei problemi con il maggiore impatto sul mondo reale. Appare evidente la necessità di avere difese solide contro questi attacchi. Gli autori hanno individuato la mancanza di un metodo per valutare sistematicamente le prestazioni dell’ecosistema anti-phishing e per identificare potenziali lacune. Hanno pertanto sviluppato una struttura logica per un’analisi continua, longitudinale e a lungo termine della risposta delle difese dell’ecosistema anti- phishing, PhishTime. 2 BLACKLIST ANTI-PHISHING Le blacklist sono la difesa principale contro il phishing. Esse sono abilitate di default dai principali browser e contengono al loro interno gli URL con contenuti di phishing. Questi URL vengono segnalati direttamente dalle organizzazioni impersonate dai phisher, come PayPal (che ha collaborato a questo studio concedendo agli autori di utilizzare questo marchio negli esperimenti), o attraverso fornitori terzi, come Anti-Phishing Working Group (APWG), e analizzati sfruttando un’automatizzata struttura di back-end. Le blacklist oggetto di questo studio sono: Google Safe Browsing (GSB), Microsoft SmartScreen e Opera. 2.1 METRICHE DI VALUTAZIONE DELLE BLACKLIST Le metriche di valutazione utilizzate nello studio in questione sono: • Scoperta: la capacità di una blacklist di identificare gli URL sospetti raccolti tramite segnalazioni dirette di phishing, monitoraggio delle e-mail di spam, analisi del contenuto del sito, configurazione del server. • Rilevamento: la capacità di una blacklist di classificare correttamente gli URL scoperti. Per questa metrica si tiene conto di due parametri: 1. Copertura: dato un set di URL di phishing scoperti da una blacklist, la copertura è la proporzione dei siti web che sono stati inseriti in blacklist in un certo istante; 2. Velocità: è il ritardo temporale tra la scoperta e l’inserimento in blacklist, parametro utile a valutare la rapidità di risposta di una blacklist. 1 Phishing: Con questo termine si indica principalmente il tentativo dei phisher (coloro che attuano il phishing) di impadronirsi di credenziali, informazioni finanziarie e personali degli utenti nel web.
  • 4. 3 3 PHISHTIME: STUDIO SPERIMENTALE PhishTime è un framework atto ad analizzare la risposta del sistema ed è costituito da due fasi: • Raccolta delle informazioni: Si raccolgono segnalazioni di URL di phishing in tempo reale dalle entità anti-phishing e si monitora il blacklisting2 di questi URL. Si segnalano tutti gli URL non ancora presenti all’interno delle blacklist. Si analizzano solo i contenuti degli URL che hanno evitato con successo il blacklisting alla fine del punto 2. In questo modo è possibile individuare le tecniche di evasione che permettono di eludere il rilevamento. • Disposizione degli esperimenti: Si replicano tutte le tecniche di phishing individuate nel punto 3 e si vanno ad emulare tramite grandi quantità di siti web (realistici ma innocui) in esperimenti mirati. Dispiegamento degli esperimenti. Si raccolgono ed esaminano i risultati analizzando la copertura e la velocità delle blacklist per valutare la risposta del sistema e scovare eventuali lacune per poi segnalarle alle entità. Figura 1: passaggi chiave di PhishTime. 3.1 RACCOLTA DELLE INFORMAZIONI Al termine della prima fase gli autori hanno rilevato le seguenti tecniche di evasione: • Cloaking (occultamento): tecnica che permette di nascondere il contenuto fraudolento all’infrastruttura anti-phishing (ad esempio ai web crawler), mantenendolo però visibile alle vittime. • Redirection: dal momento che le blacklist bloccano i contenuti web in base ai loro URL, l’idea di questa tecnica è quella di utilizzare degli URL esca che reindirizzano alla pagina finale di phishing. Questa pagina ha quindi più probabilità di non essere rilevata. Nel mezzo della catena di reindirizzamento possono essere utilizzate altre tecniche, come per esempio il cloaking tramite file .htaccess. 2 Blacklisting: termine utilizzato per indicare l’inserimento di uno o più URL in blacklist o il processo stesso di inserimento.
  • 5. 4 • Tecniche basate sul comportamento: sono le più difficili da rilevare; il contenuto malevolo viene mostrato solo dopo che l’utente ha risolto una sfida CAPTCHA, cliccato su un popup o solo dopo la rilevazione del movimento del mouse. Questo serve per eludere l’analisi da parte dei crawler web. 3.2 DISPIEGAMENTO Dopo la fase di raccolta delle informazioni vengono eseguiti 6 dispiegamenti all’interno dei quali vengono realizzati degli esperimenti mirati a valutare diversi aspetti: • Esperimento A: emulazione del phishing di base senza alcuna tecnica di evasione; • Esperimento B: emulazione del phishing con tecniche evasive di base: cloaking mobile (phishing mirato a user agent mobile) e cloaking basato su Javascript; • Esperimento C: emulazione del phishing con diverse tecniche di evasione di tipo redirection; • Esperimento D: mira a capire come il sistema reagisce al riutilizzo delle infrastrutture già sfruttate nel passato dai phisher, nell’esperimento vengono riutilizzati gli stessi domini e le stesse tecniche dell’esperimento C, ma con URL diversi; • Esperimento E: replica gli esperimenti A e B ma questa volta la segnalazione degli URL non è fatta direttamente alle blacklist ma viene rivolta ad una singola società, alternando PayPal e APWG tra i 6 dispiegamenti. Questo serve a valutare la condivisione dei dati nell’ecosistema; • Esperimento F: emulazione del phishing con tecniche evasive basate sul comportamento; • Esperimento G: in questo esperimento si testa la segnalazione basata sulle evidenze, ossia anziché segnalare solamente l’URL, si allegano altre informazione come screenshot, codice sorgente, user agent utilizzato, catena di reindirizzamento, indirizzo IP. Questa segnalazione è stata effettuata grazie al servizio Chrome Suspicius Site Reporter (CSSR); sono stati rilasciati siti web con cloaking basato sulla geolocalizzazione degli IP. Vengono segnalati in eguale quantità sia a CSSR che a GSB per confrontare le risposte del nuovo e del vecchio metodo. Tabella 1: nella tabella si riassumono le caratteristiche degli esperimenti nei 6 dispiegamenti. 3.3 ANALISI DEI RISULTATI Sono stati dispiegati 4,158 URL. Di questi ne sono stati inseriti in blacklist solamente 3,514. I 644 URL mai inseriti mettono in evidenza l’esistenza di vulnerabilità nell’ecosistema: • 299 facevano parte dell’esperimento F che implementava le tecniche più sofisticate; • 214 facevano parte degli esperimenti B, C e D, ossia tecniche di evasione di base; • 131 appartenenti agli esperimenti E e G che riguardano problematiche di segnalazione degli URL e divulgazione delle informazioni.
  • 6. 5 È interessante notare che per 94 URL, dei 4,158 totali, non si è registrato alcun traffico crawler e che tutti appartengono al dispiegamento 3. In particolare, 81 di questi, appartenenti all'esperimento E (riguardante la segnalazione a singola entità), hanno evidenziato una falla nel sistema anti-phishing di Paypal. Escluso il dispiegamento 3, le blacklist hanno dimostrato coerenza in termini di copertura e velocità. Inoltre, gli URL non sono stati cancellati dalle blacklist se non quando, alla fine dell’ultimo dispiegamento, i siti web hanno iniziato a trasmettere errori 404 alle richieste HTTP. La prima cancellazione è avvenuta 29 giorni dopo la segnalazione del relativo URL ma attualmente non rappresenta un problema significativo. Probabilmente, tale cancellazione dipende da fattori quali: la presenza di contenuti benigni su un dominio, la reputazione del dominio oppure se il server web è ancora online. Blacklist Desktop Tabella 2: risultati dell’esperimento A e degli esperimenti di phishing evasivo (B, C, D) per blacklist desktop. Guardando i dati in tabella si possono raccogliere le seguenti osservazioni (le quali sono state tradotte in raccomandazioni all’ecosistema): • La blacklist Opera ha una copertura mediocre, pari al 60%, mentre GBS e SmartScreen garantiscono una copertura del 93%; • SmartScreen ha una velocità media di 3 ore e 47 minuti contro i 55 minuti di GSB e i 56 minuti di Opera. Si è notato che la prima risposta di SmartScreen si verifica un’ora dopo rispetto a quelle di GSB e Opera (che avvengono circa 20 minuti dopo le prime segnalazioni); • L’ecosistema, come nel dispiegamento 3, può essere in alcuni punti vulnerabile (le cause della bassa copertura sono spiegate nella sezione precedente); • Le tecniche base di evasione (anche le più banali come il reindirizzamento con abbreviazioni degli URL) hanno rallentato il rilevamento in media di 3 ore.
  • 7. 6 Blacklist mobile Tabella 3: risultati dell’esperimento A e degli esperimenti di phishing evasivo (B, C, D) per blacklist mobile. L’analisi delle prestazioni del blacklisting mobile ha evidenziato un enorme problema. Tranne che per GSB su browser mobile Firefox, le prestazioni del blacklisting mobile non sono all’altezza delle controparti desktop: • La copertura di mobile Chrome e mobile Safari è scesa al 57,8%; • Opera ha una copertura del 3,7%; • Il rilevamento si estende in un periodo di tempo molto più lungo (anche dopo le 34 ore). Tecniche di evasione basate sul comportamento Tabella 4: focus sui risultati dei singoli esperimenti D, E, F e G. Le blacklist hanno dimostrato di riuscire a rilevare efficacemente il phishing non evasivo, ma non sono state altrettanto efficienti con quello evasivo. Nell’esperimento F si nota che le tecniche di phishing emergenti basate sul comportamento dell’utente hanno evitato completamente il blacklisting, ad eccezione del cloaking tramite file .htaccess e, solo per SmartScreen, tramite CAPTCHA. Si è scoperto che SmartScreen classifica il codice Javascript per la sfida CAPTCHA come malware, cosa facilmente aggirabile dai phisher. Una nota a favore è che le blacklist si sono dimostrate reattive nel momento in cui sono stati riutilizzati domini ed infrastrutture precedentemente usate per gli attacchi (ndr. esperimento D).
  • 8. 7 Tecniche di segnalazione Nell’esperimento E, APWG ha dimostrato un’ottima divulgazione dei propri URL visto che sono stati coperti in alta percentuale da GSB e SmartScreen (Opera e le blacklist mobile mostrano le stesse lacune discusse nelle sezioni precedenti). Lo stesso non si può dire di PayPal: gli autori hanno infatti segnalato a questa entità una pessima copertura nelle blacklist degli URL segnalati solo a questa società. Ciò evidenzia la possibile presenza di falle all’interno del sistema. PayPal, riconoscendo la propria vulnerabilità, sta lavorando per migliorarsi. Infine, la valutazione dell’esperimento G argomenta l’ultima raccomandazione degli autori: è necessario implementare un servizio di segnalazione basato sulle evidenze. Per la tecnica di evasione trattata, la copertura di CSSR (che permette la segnalazione basata sulle evidenze), seppur con una velocità inferiore, ha toccato il 90.7%, contro il 20.4% della segnalazione classica del solo URL di GSB. Figura 2: confronto tra segnalazione classica (GSB) e basta sulle evidenze (CSSR). 4 CONCLUSIONE Con questo studio si è voluto mettere a nudo quanto sia fondamentale avere un monitoraggio continuo di questi sistemi. Essi sono alla base dell'intero ecosistema anti-phishing e sono il modo migliore per mantenere gli utenti al sicuro. Pertanto, è imperativo che funzionino in modo corretto e tempestivo. Vista l’efficacia del suo primo dispiegamento, PhishTime si è rilevato uno strumento efficiente ed efficace per l’analisi dell’ecosistema, consentendo l’invio di numerose raccomandazioni utili alle entità di difesa.
  • 9. 8 5 BIBLIOGRAFIA Adam Oest, Yeganeh Safaei, and Penghui Zhang, Arizona State University; Brad Wardman and Kevin Tyers, PayPal; Yan Shoshitaishvili and Adam Doupé, Arizona State University; Gail-Joon Ahn, Arizona State University, Samsung Research. 2020. “PhishTime: Continuous Longitudinal Measurement of the Effectiveness of Anti-phishing Blacklists”. In: Proceedings of the 29th USENIX Security Symposium.