Uma Metodologia para Agrupamento e Extração de Informações de URLs de Phishing
Resumo
Despite advances in prevention and mitigation mechanisms, phishing remains a threat. One reason for this is that phishers continuously improve their techniques. In this paper we study and characterize one of these improvements: phishers' use of redirection chains to evade identification mechanisms and avoid takedown of the infrastructure hosting the malicious content. We propose a method to group messages and URLs into phishing campaigns, and develop a framework to identify their hosting infrastructure. We apply our method and framework on a dataset of spam and phishing messages collected from lowinteractivity honeypots. We explore and characterize phishing campaigns as well as their hosting infrastructure. Our results indicate that phishing campaigns are usually hosted in cloud providers, but some are hosted on devices in access networks, possibly infected end-user devices. This indicates multiple approaches used by phishers, and motivates different fronts to combat this threat. Apesar de avanços em mecanismos de prevenção e mitigação, o phishing continua uma ameaça. Uma das razões disso é que o agente responsável pelo envio dessas mensagens, o phisher, aprimora suas técnicas continuamente. Neste trabalho estudamos e caracterizamos um destes aprimoramentos: o uso pelos phishers de cadeias de redirecionamentos para ludibriar mecanismos de identificação e evitar bloqueio da infraestrutura de hospedagem do conteúdo malicioso. Propomos um método para agrupamento de mensagens e URLs em campanhas de phishing, e desenvolvemos um arcabouço para identificação da infraestrutura de hospedagem. Aplicamos nosso método e arcabouço em um conjunto de mensagens de spam e phishing coletado por honeypots de baixa interatividade. Caracterizamos campanhas de phishing e a infraestrutura de hospedagem. Nossos resultados mostram que a infraestrutura de hospedagem das campanhas identificadas se concentra em provedores de computação em núvem, mas que algumas campanhas são hospedadas por dispositivos em provedores de rede, possivelmente em dispositivos infectados. Isso indica diferentes abordagens de phishers, sugerindo esforços em diferentes frentes de combate.Referências
Almomani, A., Gupta, B., Atawneh, S., Meulenberg, A., and Almomani, E. (2013). A survey of phishing email ltering techniques. IEEE Communications Surveys & Tutorials, 15(4):2070–2090.
Calais, P., Pires, D. E., Neto, D. O. G., Meira Jr, W., Hoepers, C., and Steding-Jessen, K. (2008). A campaign-based characterization of spamming strategies. In Proc. in Conference on Email and Anti-Spam (CEAS).
Chun, B., Culler, D., Roscoe, T., Bavier, A., Peterson, L., Wawrzoniak, M., and Bowman, M. (2003). Planetlab: An overlay testbed for broad-coverage services. SIGCOMM Comput. Commun. Rev., 33(3):3–12.
Fazzion, E., Las-Casas, P. H., Fonseca, O., Guedes, D., Meira Jr, W., Hoepers, C., Steding-Jessen, K., and Chaves, M. (2014). Spambands: uma metodologia para identicação de fontes de spam agindo de forma orquestrada. In Proc. of Brazilian Symposium on Information and Computational Systems Security (SBSeg).
Higbee, A., Belani, R., and Greaux, S. (2016). Collaborative phishing attack detection. US Patent 9,398,038.
Khonji, M., Iraqi, Y., and Jones, A. (2012). Enhancing phishing e-mail classiers: A lexical url analysis approach. International Journal for Information Security.
Las-Casas, P. H., Fonseca, O., Fazzion, E., Hoepers, C., Steding-Jessen, K., Chaves, M., Cunha, íI., Meira Jr, W., and Guedes, D. (2016). Uma metodologia para identicação adaptativa e caracterização de phishing. In Proc. of Brazilian Symposium on Computer Networks and Distributed Systems (SBRC).
Li, F. and Hsieh, M.-H. (2006). An empirical study of clustering behavior of spammers and group-based anti-spam strategies. In Proc. in Conference on Email and Anti-Spam (CEAS).
Shoeb, A. A. M., Mukhopadhyay, D., Al Noor, S., Sprague, A., and Warner, G. (2015). Spam campaign cluster detection using redirected urls and randomized sub-domains. In Social Informatics (Harvard).
Smadi, S., Aslam, N., and Zhang, L. (2018). Detection of online phishing email using dynamic evolving neural network based on reinforcement learning. Decision Support Systems, 107:88–102.
Steding-Jessen, K., Vijaykumar, N., and Montes, A. (2008). Using low-interaction honeypots to study the abuse of open proxies to send spam. INFOCOMP, 7(1).
Vergelis, M. and Kostin, A. (2018). 2018 fraud world cup. [https://securelist.com/2018-fraud-world-cup/85878/ (Kaspersky Lab)].
Volkamer, M., Renaud, K., Reinheimer, B., and Kunz, A. (2017). User experiences of torpedo: Tooltip-powered phishing email detection. Computers & Security, 71:100– 113.
Calais, P., Pires, D. E., Neto, D. O. G., Meira Jr, W., Hoepers, C., and Steding-Jessen, K. (2008). A campaign-based characterization of spamming strategies. In Proc. in Conference on Email and Anti-Spam (CEAS).
Chun, B., Culler, D., Roscoe, T., Bavier, A., Peterson, L., Wawrzoniak, M., and Bowman, M. (2003). Planetlab: An overlay testbed for broad-coverage services. SIGCOMM Comput. Commun. Rev., 33(3):3–12.
Fazzion, E., Las-Casas, P. H., Fonseca, O., Guedes, D., Meira Jr, W., Hoepers, C., Steding-Jessen, K., and Chaves, M. (2014). Spambands: uma metodologia para identicação de fontes de spam agindo de forma orquestrada. In Proc. of Brazilian Symposium on Information and Computational Systems Security (SBSeg).
Higbee, A., Belani, R., and Greaux, S. (2016). Collaborative phishing attack detection. US Patent 9,398,038.
Khonji, M., Iraqi, Y., and Jones, A. (2012). Enhancing phishing e-mail classiers: A lexical url analysis approach. International Journal for Information Security.
Las-Casas, P. H., Fonseca, O., Fazzion, E., Hoepers, C., Steding-Jessen, K., Chaves, M., Cunha, íI., Meira Jr, W., and Guedes, D. (2016). Uma metodologia para identicação adaptativa e caracterização de phishing. In Proc. of Brazilian Symposium on Computer Networks and Distributed Systems (SBRC).
Li, F. and Hsieh, M.-H. (2006). An empirical study of clustering behavior of spammers and group-based anti-spam strategies. In Proc. in Conference on Email and Anti-Spam (CEAS).
Shoeb, A. A. M., Mukhopadhyay, D., Al Noor, S., Sprague, A., and Warner, G. (2015). Spam campaign cluster detection using redirected urls and randomized sub-domains. In Social Informatics (Harvard).
Smadi, S., Aslam, N., and Zhang, L. (2018). Detection of online phishing email using dynamic evolving neural network based on reinforcement learning. Decision Support Systems, 107:88–102.
Steding-Jessen, K., Vijaykumar, N., and Montes, A. (2008). Using low-interaction honeypots to study the abuse of open proxies to send spam. INFOCOMP, 7(1).
Vergelis, M. and Kostin, A. (2018). 2018 fraud world cup. [https://securelist.com/2018-fraud-world-cup/85878/ (Kaspersky Lab)].
Volkamer, M., Renaud, K., Reinheimer, B., and Kunz, A. (2017). User experiences of torpedo: Tooltip-powered phishing email detection. Computers & Security, 71:100– 113.
Publicado
02/09/2019
Como Citar
SANTOS, Welton et al.
Uma Metodologia para Agrupamento e Extração de Informações de URLs de Phishing. In: SIMPÓSIO BRASILEIRO DE SEGURANÇA DA INFORMAÇÃO E DE SISTEMAS COMPUTACIONAIS (SBSEG), 19. , 2019, São Paulo.
Anais [...].
Porto Alegre: Sociedade Brasileira de Computação,
2019
.
p. 169-182.
DOI: https://doi.org/10.5753/sbseg.2019.13970.
