Plataforma: Phishing Checker

La plataforma “Phishing Checker” de FINSIN es un sitio web que ayuda tanto a usuarios normales como a investigadores de ciberseguridad a tener información sobre los sitios de Phishing que están rondando hoy en Chile y algunos en Latinoamérica.

Queremos hacer una plataforma sencilla, que basta con tener una URL y puedes saber si es que esa URL puede ser un Phishing o no, y no solamente eso sino que también “porqué” es Phishing, y a qué tipo/familia/pack pertenece.

La plataforma está en la siguiente URL: https://phishing.finsin.cl/list.php

Ojalá que esta plataforma sea de gusto de todos los que la usen, y para cualquier cosa que necesiten basta contactarse con FINSIN.

Manual de uso

La idea es que esto sea como un manual de uso de la plataforma, y lo iremos actualizando a medida de lo posible y de las nuevas funcionalidades.

Las secciones de la página son las siguientes:

  1. Inicio
    1. Búsqueda
    2. Listado
  2. Nuevo Scan
  3. Reporte Completo
    1. Resumen y Pantallazo
    2. Resumen de Reporte
    3. Reporte Completo
  4. Estadísticas
  5. Casos de Ejemplo

1) Inicio (list.php)

Esta es la página inicial que se ve en el sitio, y ésta se subdivide en 2 secciones, la que tiene una caja de búsqueda y la que tiene la lista de las últimas revisiones.

Parte con una sección de búsqueda y luego están las últimas revisiones

1.1) Búsqueda

Además, en la parte superior de la página existe una pequeña caja de texto para buscar dentro de la base de datos del sitio. En esta caja de texto se puede buscar tanto por URL, dominio o IP.

Para la búsqueda tenemos la siguiente definiciones:

  • Si ingresas un dominio: se busca dentro de todos los reportes si es que ese dominio está dentro de alguna de las URL que pasó el robot (asumiendo que hay redirecciones intermedias).
  • Si ingresas una URL: primero se extrae el dominio (con sus subdominios) de la URL ingresada y luego se hace una búsqueda por dominio.
  • Si ingresas una IP: se genera una búsqueda de todos los scans que el sitio final esté alojado en la IP ingresada.

Pero que esto no te asuste, intenta buscar algo y dinos qué te parece.

1.2) Listado

Esta es la sección de la página en la cual vas a poder buscar scans anteriores y además tienes el listado de los últimos scans realizados.

El principal enfoque de esta sección es el listado de las últimas 15 revisiones, independiente del resultado. Para eso tenemos a la izquierda el resultado y un color particular para cada uno de los resultados:

  • [Phishing]
    • Este sitio está catalogado como Phishing. Hay una confianza alta en el resultado de la revisión del sitio y los patrones detectados que nos dan una certeza de que es Phishing y además de cuál “pack” de Phishing está asociado al sitio.
  • [Sospechoso]
    • Este sitio no tiene evidencia suficiente para catalogarlo como Phishing. Hay una baja tasa de correlación entre los patrones detectados y los packs que conocemos, por esto no se puede llegar a ninguna conclusión certera.
  • [Normal]
    • Este sitio no despliega ningún patrón de comportamiento anómalo, por lo que se cataloga como sitio Normal.
  • [Error en el scan]
    • Ocurrió algún error en la revisión que no se pudo recuperar, se recomienda revisar el reporte completo para tener claridad en el resultado.
  • [Pendiente]
    • Es una URL nueva que está encolada para su revisión.

Cada una de estas cajas tiene un pequeño resumen de lo que fue esa revisión, incluyendo la fecha, las URLs implicadas, el pack de phishing (si es que se conoce) y un link al reporte completo para para la revisión en detalle

2) Nuevo Scan (form.php)

En esta sección se puede ingresar una nueva URL para ser revisada.

Para ingresar una nueva URL para revisar basta simplemente ingresarla en el campo de texto. Esta puede ser en varios tipos de formatos, por ejemplo si ingresas:

  • http://www.example.com:8080/: no hay problema en usar URLs con puertos extraños, definidos de forma explícita
  • hxxps://www[.]example[.]com/: el sistema puede saber que eso es una URL “ofuscada” y le quita los caracteres extraños para poder buscar la dirección correcta
  • example.com: el sistema asume que se quiere buscar dentro de la URL con el dominio ingresado, por lo que la transforma a http://www.example.com
  • https://bit.ly/ejemplo_falso: el sistema también puede comenzar por un link de redirección. Intenta avanzar a través de los saltos que los sitios ponen e ir avanzando con las redirecciones “correctas”.

Además, bajo el campo de texto hay una opción que dice “desactivar TOR”. Lo que hace esta opción es usar la IP “real” de alguno de los agentes asociados y así saltarse algunos de los bloqueos a la anonimidad por TOR. Por favor activar esta opción solamente cuando uno quiere revisar un sitio en Chile que tiene protección por geolocalización, cuando la revisión con anónima no dio resultados concluyentes.

Luego de ingresar la URL y apretar el botón de “Enviar” pueden pasar 2 cosas:

  • Sí ingresas una URL con un formato incorrecto la aplicación sencillamente te devuelve a la pantalla principal.
  • Cuando se ingresa una URL correctamente se vuelve a la página inicial, y tú scan nuevo va a quedar con la etiqueta de “Pendiente”.

Intenta ingresar los sitios que necesites y revisa los resultados.

3) Reporte Completo

Ahora veremos la vista de un “Reporte Completo”, que es el que aparece cuando uno le hace click al link correspondiente en la página de inicio o en la de estadísticas.

Ejemplo de reporte completo (el formato puede cambiar)

En este reporte tenemos varias secciones que vamos a ir ahondando de a poco

3.1) Resumen y Pantallazo

En esta sección tenemos una visión inicial del status del scan y su resultado, con la captura de pantalla que pudimos sacar del sitio.

En el status aparece el estado actual del scan: Ingresado, Trabajando o Terminado. Con esto podemos saber si el reporte está listo o no.

En la parte del resultado, tenemos el veredicto final del sistema: Phishing, Sospechoso, Normal o ERROR (como se señala en la sección 1.2)

Luego aparece la sección de Screenshot, en la cual mostramos lo que pudimos sacar de foto de pantalla del sitio. Lamentablemente no siempre es acertado, porque depende de las protecciones que se hayan hecho del sitio.

3.2) Resumen de Reporte

En esta sección aparece un resumen del reporte realizado

En este resumen tenemos 2 tablas que indican las secciones principales de revisión para los analistas:

  • Sección de revisión de packs: Indica la similitud de la estructura del sitio con los packs conocidos, mostrando a la izquierda el identificador numérico del pack y a la derecha el veredicto, ¿es o no Phishing?
  • Sección de revisión de redirecciones: Señala cuales son los sitios que están en la cadena entre el link que se le envía al usuario y el sitio “final” de phishing. La idea de esta tabla es que sirva para los analistas y el takedown de toda la infraestructura usada en estos casos, no solo el link final.

3.3) Reporte Completo

En esta sección tenemos el reporte completo, lo más completo que se le puede entregar al analista, con todos los pasos que se ha ido revisando en la plataforma.

Para más información sobre este reporte completo revisar alguno de los reportes del sitio.

4) Estadísticas (stats.php)

En esta sección ponemos las estadísticas de los sitios clasificados como Phishing, y encontrados en las últimas 2 semanas de revisión. Esto lo usamos principalmente como vista rápida de las tendencias de los atacantes con este tipo de sitios.

En la parte superior encontramos un gráfico de barras que muestra la cantidad de sitios detectados por día.

En la parte inferior tenemos el listado completo por día de los sitios encontrados, en el mismo formato que en la sección de Inicio.

Hoy solamente tenemos una sección que muestra la cantidad de sitios por día, pero en un futuro queremos agrandar estas estadísticas para mostrar otro tipo de datos como: IPs involucradas, tipos de packs utilizados, etc.

Casos de Ejemplo

Acá pongo algunos casos de ejemplo por si los quieren revisar:

Crea una web o blog en WordPress.com

Subir ↑