Giornata Tecnica da Piave Servizi, 11 aprile 2024 | SERRA Giorgio
Extended summary of "Opening the Blackbox of VirusTotal: Analyzing Online Phishing Scan Engines"
1. ExtendedSummary of
«Opening the Blackbox of
VirusTotal:Analyzing
Online PhishingScan
Engines»
Opening the Blackbox ofVirusTotal: AnalyzingOnline Phishing Scan Engines.
In Internet Measurement Conference (IMC ’19), October 21–23, 2019,
Amsterdam, Netherlands, pp. 478–485.
Tesi di Laurea in Ingegneria
Informatica e Elettronica
Anno Accademico 2019-2020
Candidato: Matteo Makovec
Relatore: Prof. Alberto Bartoli
3. Introduzione: Phishing
"Il phishing è un tipo di truffa effettuata su Internet attraverso la quale un malintenzionato
cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o
codici di accesso, fingendosi un ente affidabile in una comunicazione digitale"
https://it.wikipedia.org/wiki/Phishing
5. Metodologie di indagine
Ø OBIETTIVO: Comprensione del metodo di rilevamento e di labelling diVirusTotal, per verificare
se i risultati forniti sono affidabili
Ø APPROCCIO: Strutturazione di esperimenti e raccolta di risultati, seguendo il modello BlackBox
Ø CAMPIONE: Creazione di 44 siti di phishing, repliche delle pagine web di login di PayPal e IRS
Ø ESPERIMENTI:
1. Esperimento principale
2. Esperimento di base
3. Esperimento sull’impatto dell’offuscamento
6. Metodologie di indagine: 1. Esperimento principale
Ø CAMPIONE: Creazione di 2 siti di phishing (uno replica di PayPal ed uno di IRS) per ogni vendor
che dispone di scan API accessibili direttamente ==> 36 siti di phishing totali
Ø DATI DI INTERESSE:
• Labels per tutti i siti di phishing, facendo uso delle querying API diVirusTotal
• Registrazione del traffico di rete in entrata su tutti i server di phishing
7. Metodologie di indagine: 2. Esperimento di base
Ø OBIETTIVO: Misurazione della reazione a lungo termine diVirusTotal
Ø CAMPIONE: Creazione di 2 siti aggiuntivi di phishing
• 1 sito replica di PayPal
• 1 sito replica di IRS
8. Metodologie di indagine: 3. Esperimento sull’impatto
dell’offuscamento
Ø In cosa consiste l’offuscamento?
• Offuscamento basato sul reindirizzamento
• Offuscamento basato su immagini
• Offuscamento basato su PHP
Ø CAMPIONE: Creazione di 2 siti di phishing, replica di PayPal, per ogni tecnica di offuscamento
==> 6 siti di phishing totali
9. Risultati delle misurazioni
• Velocità di aggiornamento
• Utilizzo ottimale
• Cooperazione tra vendors
• Impatto dell’offuscamento
• Robots.txt
10. Conclusione
• Ulteriore problematica:
Nessuna influenza dal URL apparentemente sospetti
Possibile influenza dalla storia pregressa del sito
• Studi futuri:
- Iniquità di rilevamento
- Ridondanza di informazioni