Rilevamento di reindirizzamenti di browser dannosi

1

Quando visiti faecbook.com sarai reindirizzato a una pagina che non presenta vantaggi per l'utente che lo visita. La pagina proverà a:

  • Ottieni le tue informazioni personali.
  • Hai scaricato il malware.
  • Hai chiamato i loro tecnici per "riparare" il tuo computer.
  • ecc.

Esistono migliaia di domini come faecbook.com che reindirizzano i visitatori a pagine dannose. Come puoi rilevare tali reindirizzamenti dannosi?

Ecco i miei pensieri:

  • Controlla il dominio per il typosquatting.
  • Controlla la lunghezza dell'URL di reindirizzamento. Sono per lo più molto lunghi perché trasmettono informazioni sul visitatore.
  • Conta numero di reindirizzamenti.
  • Abbina il dominio alla lista nera.

Una combinazione di queste funzionalità potrebbe essere utilizzata per costruire un classificatore. Il mio obiettivo è quello di rilevare che ti stai reindirizzando a una pagina malevola prima ancora di arrivare lì. Non sono un professionista in questo campo, quindi mi chiedevo se qualcun altro potesse trovare funzionalità interessanti per rilevare reindirizzamenti dannosi. Qualsiasi input è apprezzato.

    
posta Stanko 03.02.2017 - 17:00
fonte

1 risposta

1

Hai compilato un elenco ordinato di possibili indicatori per un classificatore. Alcuni feedback:

Primo: chi gestirà questo classificatore? Stai parlando di un browser o di un plug-in del browser che controllerà tutti gli URL o stai progettando un servizio di redirector di qualche tipo? Stai costruendo un motore di ricerca? Ovviamente, il classificatore funziona solo in casi come questi; non aiuta se sei solo il proprietario del vero "facebook.com" e vuoi proteggere i tuoi utenti dall'entrare in "faecbook.com", perché non vedrai mai "faecbook.com" sbagliato.

Giocare all'avvocato del diavolo ai tuoi suggerimenti:

  • Controlla il dominio per il typosquatting : funziona solo se hai il sospetto che cosa dovrebbe essere il nome di dominio "effettivo". Probabilmente potresti automatizzarlo usando i conteggi dei risultati di vari motori di ricerca (o, se tu fossi un motore di ricerca tu stesso, guarda il tuo indice per identificare le corrispondenze ravvicinate) o prova ad accedere ai database del registro di dominio. In alternativa, come sviluppatore di plug-in per browser, è possibile creare un database centrale di domini visitati dagli utenti e quindi determinare quali domini sono typosquatters utilizzando alcune statistiche semplici. Tuttavia, se lo facessi, avresti a che fare con seri problemi di privacy.

  • Controlla la lunghezza dell'URL di reindirizzamento : questo è pericoloso: esistono vari protocolli che richiedono il reindirizzamento e che possono passare molte informazioni attraverso l'URL (ad esempio, oauth). Dovresti escludere questi protocolli per evitare falsi positivi. Inoltre, alcuni framework inviano elementi come identificatori di sessione come parametri nell'URL come fallback quando i cookie sono disabilitati. È difficile distinguere dal tuo typosquatter.

  • Conta il numero di reindirizzamenti : non lo capisco. Se ti riferisci al numero di reindirizzamenti che il browser fa quando colpisce un url typosquatter, non penso che funzionerà molto bene come indicatore. Ancora una volta, ci sono validi motivi per i reindirizzamenti, e un numero più alto non implica necessariamente un intento malevolo. Inoltre, non esiste un motivo tecnico per i typosquatter per eseguire più di un reindirizzamento (infatti, non è nemmeno necessario eseguirne uno singolo; i reindirizzamenti sono solo il modo più semplice (e più economico!) Per inoltrare l'utente a una terza parte sito, ma potrebbero prendere il traffico e colpire la cpu e agire da proxy invece di fare il reindirizzamento http, che sarebbe invisibile per voi - renderebbe solo più costoso per i cattivi); quindi, se hai creato un classificatore di grande successo basato sul numero di reindirizzamenti, i typosquatter potrebbero semplicemente adattarsi.

  • Lista nera : non sarà mai nemmeno vicino al completamento o aggiornato. Come lo compileresti? Se tu fossi uno sviluppatore di plugin per browser, un modo sarebbe quello di registrare quali domini i tuoi utenti visitano, come ho già detto. Se tu fossi un motore di ricerca, potresti essere in grado di fare qualcosa con il tuo indice, anche se la maggior parte dei domini typosquatter probabilmente non verrebbero indicizzati affatto, quindi non ci sarebbe modo di creare una lista nera anche da remoto.

Un'altra strada che potresti pensare è provare a classificare la pagina di destinazione in base al suo contenuto. Dici che le pagine di destinazione cercano di indurti a fornire informazioni personali, offrire supporto tecnico falso ecc. Potrebbe essere possibile creare un classificatore su questo, un po 'come i classificatori per determinare se abbiamo a che fare con ham o spam nei nostri caselle di posta. Potresti anche eseguire uno spider limitato sul sito di destinazione per vedere quanto è grande; se offrisse solo una manciata di pagine, sarebbe un indicatore aggiuntivo. Ma di nuovo, se avessi successo, questo sarebbe facilmente superato dai tuoi avversari che costruiscono automaticamente un gran numero di pagine aggiuntive false.

    
risposta data 04.02.2017 - 10:28
fonte

Leggi altre domande sui tag