VirusTotal,
perteneciente a Google, es un servicio online gratuito que permite analizar archivos y URLs para identificar virus, gusanos, troyanos y otro tipo de contenido malicioso detectado por los motores antivirus y los escáneres web.
Desenmascara.me es un servicio online gratuito que analiza sitios web para identificar principalmente si son FAKE (relacionado con las falsificaciones online) o no.
Desenmascara.me es un servicio online gratuito que analiza sitios web para identificar principalmente si son FAKE (relacionado con las falsificaciones online) o no.
¿Cómo puede estar un sitio web FAKE relacionado con el contenido malicioso?; déjame explicártelo.
Los productos falsificados, principalmente de moda y lujo han encontrado en Internet la vía mas sencilla de distribuirse. Existe una economía underground donde un gran numero de criminales distribuidos globalmente comercian con datos, información y servicios con el objetivo de defraudar a usuarios y empresas, este movimiento esta relacionado con la "commoditization" del mercado negro; una innovación "reciente" de los defraudadores.
Las organizaciones underground tienen unos roles claramente definidos con interdependencias, como por ejemplo; comprar y vender servidores web comprometidos, hosting de scam, exploit kits, y acceso a credenciales de usuario incluyendo nombres de usuario, contraseñas, números de tarjetas de crédito, y demás datos personales.
Recientemente Google publicó un articulo sobre una investigación relacionada con este tema: The underground market fueling for profit abuse. Los investigadores enlazaron las relaciones entre los diferentes roles especializados en esta economía underground, tal y como se puede ver en el gráfico siguiente:
cuya explicación, paso a paso se puede ver detallada en este vídeo:
ahí se aprecia claramente la especialización de cada actor. Esta economía underground es la culpable de la mayoría de amenazas online que sufrimos actualmente como; anti-virus fake, ransomware, troyanos bancarios y cualquier tipo de crimeware disponible en la actualidad.
Mientras leía dicho Paper, el siguiente gráfico llamo mi atención:
Mientras leía dicho Paper, el siguiente gráfico llamo mi atención:
Porque IOCs para todas las amenazas descritas en dicho cuadro están disponibles actualmente en cualquier servicio proveedor de feeds tanto propietarios como open source para hacer algún tipo de:
- Correlación: (se necesita ver el incidente A antes de que el incidente B salte)
- Enriquecimiento: (para tener mas contexto sobre amenazas ya conocidas)
- Validación: (el rango IP de un incidente esta incluido en un IOC)
Pero para la estrategia Luxury knock-offs del centro de beneficios: Productos distribuidos con Spam, donde los margenes de beneficio son incluso mayores que en otros malwares mas conocidos como Clickfraud o incluso cercanos a Zeus, al menos yo, no era consciente de ningún feed que proporcionase dicha información tan especifica.
La integración de desenmascara.me con el servicio de escaneo de URLs de VirusTotal es sobre este centro de beneficios: Productos que se distribuyen a través de Spam, concretamente los Luxury knock-offs. Cualquier sitio web FAKE relacionado con las falsificaciones online sera clasificado por desenmascara.me como tal y como sospechoso en VirusTotal.
A continuación puedes ver algunas métricas sobre datos que desenmascara.me esta recopilando:
Pagina principal de desenmascara.me
Cuadro de mando con todas las marcas disponibles y estados de los sitios webs (no disponible públicamente todavía)
Disponibilidad de algunos sitios FAKE haciéndose pasar por la marca PRADA.
Para concluir, el servicio web desenmascara.me sirve para que cualquiera pueda verificar si un sitio web es oficial o no, y además toda la información recopilada se comparte con la comunidad (con esta integración en VT) para proporcionar mas contexto en incidentes de Seguridad. Si además trabajas en algún departamento de protección de marca digital,
entonces te interesará seguir a la cuenta de twitter desenmascarame (que tuitea automáticamente cada vez que un nuevo sitio web FAKE es detectado y avisa a la marca), o darte de alta en el servicio avisame, donde obtendrás todos los metadatos del sitio web afectando a tu marca.
Colaboración por cortesía de Emilio Casbas
0 comments :
Publicar un comentario