Phishing Or Ella Naor Levi

Table Of Content Malware and Crimeware review. What is phishing? Detecting Phishing. One platform that feeds phishing. Any Questions?

? Opening Questions 1. מה החששות שלך עת אתה גולש באינטרנט? 2. האם אי פעם נתקלת במודעות שנראות לך חשודות? אם כן – כנראה נתקלתם בפישינג למישהו יש מושג מהו פישינג?

Example Sujata D, Niels P, Monica C & Aviel D.(2006). “A Framework for Detection and Measurement of Phishing Attacks”: Maryland: Johns Hopkins University.

Malware and Crimeware Review https://enterprise.comodo.com/what-is-malware.php רושעה – שם כולל לתוכנות ולרכיבי תוכנה שנועדו לפגוע במחשב האישי של המשתמש או במשתמש. בתרשים מוצגים כמה היבטים שנפוצים המשוייכים תחת קטוגריית רושעה.

Malware and Crimeware Review So what’s the difference between those two? By definition, Crimeware is a subclass of Malware. There are some Malware’s subclasses which are legal (Adware, Spyware). Every aspect associated with Crimeware, is illegal. Crimeware is designed for identity theft for finance benefits.

Crimeware Distribution Attachments – Email attachments and “lost” USBS. Piggybacking – Embedded malicious functionality to legitimate software. Internet Worm – Spreading the worm and giving a backdoor to the pc. Web Browser Exploit – Vulnerability of browsers. Hacking – Manually Hacking to specific pc. סוגים להפצתCrimware קבצים מצורפים לאימייל ויוסבי ש"נשכחו". Piggybacking – תוקפים שהצליחו להחדיר פונקציונליות נוספות לתוכנות לגיטימיות שסביר שאדם יתקין. תולעים – מחפשים אחר מכונות לתקוף ופותחות צוהר למפיץ. ניצול חולשה של דפדפנים – דפדפנים הן תוכנות סופר מורכבות ומטבע הדברים יש בהן המון נקודות תורפה. תוקפים יודעים לנצל זאת כדי לתקוף. Hacking – פריצה ידנית למחשבים. בדר"כ למטרה מצומצמת, כי פריצה מוגבלת בהפצה רחבה.

Crimeware Usage Phishing – Stealing identities, credentials, credit cards, etc. Spam Transmission – For malware and adware purposes. Denial-of-service – Extortion schemes for companies (Yahoo! Feb 8th,2000). Click Fraud – Simulating clicks on ads. Data Ransoming – Extortion schemes for data decryption. שימושי Crimware פישינג – גניבת זהויות, פרטים מזהים, כרטיסי אשראי ועוד. ספאם – למטרות של מלאור וspam. מניעת שימוש – ביצוע מהלך של העמסה על אתר\שירות\שרת של חברה ובכך אפשר לסחוט אותה רגע לפני שמפעילים זו. לחיצות – סימולטורים שלוחצים על כפתורים שבהם יש תוכן ממומן ואז כל לחיצה היא כסף. פדיון נתונים – הצפנת נתונים ולאחר מכן בקשת כופר על הפענוח.

What is Phishing? מה זה פישיניג? בעברית: "דיוג", סוג של פשע מקוון, המפתה אנשים להסגיר מידע אישי או תאגידי.

What is Phishing? “Phishing is combination of social engineering techniques and sophisticated attack vectors used to harvest personal identity and financial information from unsuspecting consumers.” Sujata D, Niels P, Monica C & Aviel D.(2006). “A Framework for Detection and Measurement of Phishing Attacks”: Maryland: Johns Hopkins University. “Phishing is the fraudulent attempt to obtain sensitive information such as usernames, passwords and credit card details by disguising as a trustworthy entity in an electronic communication.” “Phishing”. Wikipedia, The Free Encyclopedia. Wikimedia Foundation Inc., 29 April 2019. Web. 25 April. 2019. “Phishing is a form of social engineering in which an attacker attempts to fraudulently acquire sensitive information from a victim by impersonating a trustworthy third party.” Tom J, Nathaniel J, Markus J &Filippo M.(2005). ”Social Phishing”: Bloomington: School of Informatics – Indiana University. כמה וכמה הגדרות. רוצים להראות שאין הגדרה מילונית לדבר אבל כולן מדברות על פחות או יותר אותו הדבר. מסקנה: דיוג זהו ניסיון זדוני לגנוב, להשיג, כלומר במרמה! מידע רגיש מהקורבן.

Phishing - Characterization E-mail message Malware הפישינג מאופיין בהודעות דוא"ל, שעל פניו נראות כתמימות לחלוטין, אך מטרותיהן להחדיר למחשבו של הקרבן תכנות זדוניות – הנקראות רושעות (malware) – המאפשרות לעברייני הפישינג לאחזר את המידע הרצוי במטרה לבצע על ידו התקפות עתידיות המאופיינות בגניבת כסף ו/או זהות.

The Phishing Cycle Planning. Attack. Fraud. Phishing (from the attacker side) can be described as a three step process: Planning. Attack. Fraud. תכנון – התוקף בוחן קורבנות פוטנציאלים. איזה מידע יש להוציא מהקורבן. ואיך לעשות זאת. שימוש בטכניקות של הנדסה חברתית. הנדסה חברתית – תחום באבטחת מידע שמשמעותו ניצול של תכונות פסיכולוגיות של האדם, אשר עשויות להביא אותו לציית לבקשותיו של הפורץ. התקפה – הדרך בה התוקף מקבל את המידע הרצוי. לרוב קבלת אימייל לכתובת הדוא"ל שמבקשת את ה-credentials של הקורבן. הונאה – כאן התוקף בשלב שהוא משתמש במידע שקיבל מהקורבן. משתמש בזהות שלו, גונב לו כסף, קונה בשמו וכו'. אז למה זה cycle? כי זה לא נגמר אחרי תקיפה אחת. התוקף ימשיך עם קורבנות פוטנציאלים חדשים.

Categories of Phishing Attacks in URLS Obfuscating the Host with an IP address. Obfuscating the Host with another Domain. Obfuscating with large host names. Domain unknown or misspelled. Sujata D, Niels P, Monica C & Aviel D.(2006). “A Framework for Detection and Measurement of Phishing Attacks”: Maryland: Johns Hopkins University. במקום הhost של השרת שמים כתובת ip של התוקף ואת האתר האמיתי שמים בpath של הurl. במקום הhost של השרת שמים domain אחר ושוב את האתר האמיתי בpath. שמות domain ארוכים. החלפת או החסרת אותיות מdomain אמיתי למשל anazon.com

So…How Does It work?

1 3 2 4 5 6 criminal victim The Bait Sending the message Transfer the data to the criminal 4 malware Possibility to be caught 5 6 User Response– eating the bait Final Result - Theft "botnet” 1. הפתיון- עברייני הפישינג שולחים דואר אלקטרוני שנראה כאילו הגיע ממקור אמין, ושמדרבן לפעולה מהירה כמו לחציה על קישור בהודעה או פתיחת קובץ מצורף. יש כל מיני אופציות לשליחת הודעות כמו: רשתות חברתיות או סמס. 2. לחיצה על הקישור פותחת אתר אינטרנט, שם המשתמש מתבקש להתחבר לחשבון קיים או למלא טופס עם מידע אישי 3. לאחר אותה לחיצה או פתיחת קובץ המידע עובר לעבריין 4. רושעה- (מאלוור) פתיחת הקובץ או האתר עשויה להוריד תכנה זדונית למחשב של המשתמש. רושעה זו עשויה לרגל אחרי הפעולות של המשתמש או לאסוף נתונים מהמחשב ולהעביר אותם לעבריין 5. הרושעה עשויה גם לגרום למחשב המשתמש לשלוח באופן אוטמטי הודעות פישינג ולהפוך להיות חלק מ"רשת בוטים"- רשת של מחשבים שהודבקו ברושעות 6. בסופו של דבר נתונים אישיים מאפשרים לעברייני הפישינג לגנוב זהויות וכסף, או אפילו סודות ממשלתיים ועסקיים.

The Emerging Threat PAST TODAY Action E-MAIL message programming messages social network online games Association Self criminal Staff of criminals Camouflage Classification of messages Development of camouflage tactics Against the law דרכי פעולה – בעבר דרך הפעולה הייתה שליחת דוא"ל זדוני, כיום עם ההתפתחות הטכנולוגית, עברייני הפישינג משתכללים בטקטיקות חדשות למשל: תכנות מסרים מידיים – כמו סמס, וואטסאפ, רשתות חברתיות – פייסבוק, מיספייס, ואף משחקים מקוונים- world of worcraft. בין היתר ניתן למצוא בשלל הטקטיקות המגוונות גם ניסיונות לביצוע פישינג בנקודות גישה לאינטרנט אל-חוטי, תוך התחזות לספקי וואי-פאי לגיטימיים. תאגדות כנופיות – בעבר עבריינות הפישינג הייתה פשע עצמאי (פשע אינדיבידואלי),כיום עבריינות הפישינג התפתחה עד כדי התארגנות של כנופיות פישינג. אחת הידועה לרשויות החוק היא כנופייה רוסית בשם : ״רוק פיש גאנג״ טקטיקות הסוואה – בעבר, עיקר ההסוואה הייתה לסווג את הדוא"ל שנשלח ע"י התחזות לחברות/ממסדים קיימים, שינויים מזעריים הקשים להבחנה בכתובת האינטרנט , כיום פיתחו טקטיקות הסוואה מרשויות החוק. למשל, ניצול מחשבים "נגועים" כבסיסים לשיגור מתקפה ובכך ניתן להסוות את כתובת האינטרנט של אתר הפישינג עצמו. טקטיקת התחמקות נוספת היא מערכת המכונה פאסט פלוקס, שבעזרתה עברייני הפישינג גורמים לשרתי שמות מתחם באינטרנט לשנות תמידית את הכתובות המספריות המתאימות לשמות מתחם הפישינג.

Awareness to danger Users’ awareness to danger The importance of awareness מודעות המשתמשים – בניסיון להבין למה אנשים מתפתים למתקפות הפישינג, התנהל משאל רחוב שנעשה ב-2004 ובו נשאלו משתמשי המחשב האם הם מודעים לסכנות הפישינג, רוב רובם לא ידעו על קיומן של הסכנות. חשיבות המודעות - תחום הונאות הפישינג מנצל חולשות אנושיות ומתבסס על פעולה שהמשתמש נדרש לבצע, ולכן יש חשיבות רבה למודעות בקרב המשתמשים שכן, המודעות תוביל לערנות מוגברת מה שיוביל לזיהוי של הפיתיונות וכך למשתמש האנושי יהיה "קל" לזהות, וכך להימנע מלבצע את הפעולה הנדרשת ובעצם ל"הינצל" מפגיעה.

Multi-directional protection According to what we saw, there are 2 main principles for phishing defense: Users’ awareness of danger Identifying infected sites APWG – Anti Phishing Working Group Automatic protection against phishing (הגנה מאורגנת, איגוד המנתח ועוסק בהתגוננות מפני ההתקפה) APWG- anti phishing work group - "קבוצת העבודה נגד פישינג", הוא איגוד בין לאומי של ארגונים העוסקים בביעור התרמיות וההונאות באינטרנט. איגוד זה עוכב אחר פעילויות הפישינג ומאתר אתרים חדשים המוקדשים לפישינג. (העלאת המודעות (אנטי פישינג פיל - במטרה להעלאת המודעות בפניי פישינג(שכן הובא לידי מסקנה שהמודעות משחקת תפקיד חשוב", פותח משחק "אנטי פישינג פיל", משחק מקוון המלמד את המשתמשים לזהות כתובות אינטרנט של אתרי פישינג, במסגרת המשחק המשתמשים מגלמים את דמותו של "פיל" דג שבידו ההחלטה האם לאכול או לדחות תולעים המשויכות לכתובות אינטרנט, שבכל סיבוב השחקן מקבל משוב אודות בחירותיו. (הגנה אוטומטית-זיהוי אתרים) מנגנוני הגנה - כיום בדפדפני אינטרנט רבים כבר כוללים בתוכם מסנני אבטחה מובנים, או לכל הפחות מאפשרים עבודה עם תוספי הגנה חיצוניים המסוגלים לזהות אתרים חשודים.

Multi-directional protection APWG - Phishing activity trends report 4th quarter 2018 http://docs.apwg.org/reports/apwg_trends_report_q4_2018.pdf

Some Facts

Some Facts

Example from real life TRY IT כניסה רגילה לגוגל כניסה שבנינו לגוגל במטרה לפישינג

Example: simple algorithm and result

Example

Example

A Platform For The Existence of Phishing Human factors increasing the success of the attack Type of Attack Willingness to trust others, to be kind or sympathetic, alongside the “importance” of application prompts, email, etc. Social Engineering and Trickery Tendency to overshare personal details and trust online identities. Online Harassment Tendency to overshare personal identities on web forms of social media. And unfamiliarity with new tech (IoT) which can open to risk. Identity-related crimes Misunderstanding and underestimation of the risk. (The capability of security and protection across the net). The need. Achieving goals potentially at the expense of security. Hacking Understanding the real value of personal data. Denial-of-Service Jason R. C. Nurse .(2018). “Cybercrime and You: How Criminals Attack and the Human Factors That They Seek to Exploit”.UK: School of Computing, University of Kent. לתת טיפה רקע להסביר על כל מקרה לדבר על כך שכל בן אדם היום מילדים ועד מבוגרים מאוד צריכים להשתמש במחשב\סמארטפון

Detecting Phishing Machine Learning oriented research. Sujata D, Niels P, Monica C & Aviel D.(2006). “A Framework for Detection and Measurement of Phishing Attacks”: Maryland: Johns Hopkins University. Machine Learning oriented research. Goal: Given a URL to the framework, classify whether the it’s a “Phishi”. Result: 97.31% accuracy.

Data Sources Google’s Blacklist. 1254. Google’s Whitelist. 1000 + 263. Google’s index infrastructures – Crawl Database. רשימה שחורה – רשימה ידועה של גוגל של יוראלים של פישינג. רשימה לבנה – 1000 האתרים הפופולרים ביותר + 263 לא פופולרים אבל לא פישינג. אינדקס – זוהי טבלה המתוחזקת על ידי גוגל ומאונדקסת לפי יוארל. מטבלה זו נלקחו מרכיבים (פיצרים למסווג).

Features Analysis PageBased Features – Data from Google’s index infrastructures. PageRank: Grades ϵ [0,1]. URL, Host. PageIndex: The URL is an index the Crawl Database? PageQuality: Same PageRank but from another data source. דירוג דף – ככל שהציון גבוה יותר כך הדף חשוב יותר. יש כמה סוגים של פייג' רינק. דירוג אינדקס – יוראלס של פישינג לא חיים זמן רב ולכן סביר שלא ימצאו בדטה בייס הזה.

Features Analysis DomainBased Features – Data from the White list. One and simple category. Is the domain in White list? This is a strong feature. Sujata D, Niels P, Monica C & Aviel D.(2006). “A Framework for Detection and Measurement of Phishing Attacks”: Maryland: Johns Hopkins University.

Features Analysis TypeBased features – The data came from the type specification we’ve already seen. Sujata D, Niels P, Monica C & Aviel D.(2006). “A Framework for Detection and Measurement of Phishing Attacks”: Maryland: Johns Hopkins University.

Features Analysis WordBased features – Sujata D, Niels P, Monica C & Aviel D.(2006). “A Framework for Detection and Measurement of Phishing Attacks”: Maryland: Johns Hopkins University. אחרי ליטוש ולעיסה של הרבה מקורות ונתונים המילים המוצגות כאן נבחרו לאפיין מילים שמתאימות ליוראלס של פישיניג

Model Logistic Regression classifier. At sum, 18 features involved. Probability threshold: 0.985 with FPR is 0.7% and the TPR is 88%. score denotes the weighted score from the feature values and the regression coefficients. Sujata D, Niels P, Monica C & Aviel D.(2006). “A Framework for Detection and Measurement of Phishing Attacks”: Maryland: Johns Hopkins University. קצת על לוגיסטיק רגרסיין. כאשר מזינים סקור למשוואה מקבלים האם יוראל הוא פישינג הוא לא (מנבאים).

Training Data set: 2508 total URLs. 1245 are Phishing URLs and 1263 are non-phishing. 66% Training set. 34% Test set.

Results The results on the test set: Accuracy of 97.31%. True Positive: 95.8%. False Positive: 1.2% The area under the curve is 0.9923. Sujata D, Niels P, Monica C & Aviel D.(2006). “A Framework for Detection and Measurement of Phishing Attacks”: Maryland: Johns Hopkins University. מסקנות: 1) אפשר בקלות לזהות יוראלס של פישינג ולקבל מושג די טוב על כך. 2) הניסוי הצליח בגדול והוא מצליח לסווג מצוין יורלאס של פישינג.

Some Tips If you are not sure, try to find the website via Google The real website will mostly appear at the top of the Google search result list Any message asking for personal information is dangerous – do not answer it Never give your personal information

Bibliography 1) "A Framework for Detection and Measurement of Phishing Attacks” - Sujata Doshi, Niels Provos , Aviel D. Rubin, Monica Chew. December 6th, 2006. 2) “Cybercrime and You: How Criminals Attack and the Human Factors That They Seek to Exploit”, Jason R. C. Nurse , Nonember 15th, 2018. 3) “The Crimeware Landscape: Malware, Phishing, Identity Theft and Beyond”, Aaron Emigh, September 19th, 2006 4) “Can phishing be foiled?”, Lorrie Faith, December 2008.

Bibliography 5) Phishing Exposed. Lance James. Syngress, 2005. 6) Phishing and Countermeasures Edited by Markus Jakobsson and Steven Myers. Wiley, 2007. 7) Anti-Phishing Phil: The Design and Evaluation of a Game That Teaches People Not to Fall for Phish. Steve Sheng et al. in Proceedings of the 2007 8) Symposium on Usable Privacy and Security; July 18–20, 2007. 9) in Proceedings of the 2nd Annual eCrime Researchers Summit, pages 37–44; October 4–5, 2007.

Thank You!