PDF de programación - Diseño, implementación y análisis de un sistema de detección de fraude online

UNIVERSIDAD AUTONOMA DE MADRID

ESCUELA POLITECNICA SUPERIOR





PROYECTO FIN DE CARRERA

Ingeniería de Telecomunicación

Diseño, implementación y análisis de un

sistema de detección de fraude online

José Carlos Corrales Casas



Junio 2016


















Diseño, implementación y análisis de un sistema de detección de

fraude online



AUTOR: José Carlos Corrales Casas

TUTOR: Jorge Bueno Moreno

PONENTE: Jorge E. López de Vergara Méndez





Dpto. Tecnología Electrónica y Comunicaciones

Escuela Politécnica Superior

Universidad Autónoma de Madrid

Junio 2016





Resumen

Los mecanismos de seguridad convencionales centran sus esfuerzos en crear un perímetro
de seguridad que evite que sus sistemas sean atacados. Sin embargo, en la sociedad 2.0
actual se hace imprescindible preocuparse por identificar los ataques que se llevan a cabo a
las personas fuera del control tradicional.

Entre estas amenazas a usuarios finales, las herramientas más utilizadas por los atacantes
son los ataques de suplantación de identidad, envenenamiento de DNS o software
malicioso. En todos ellos los ciberdelincuentes utilizan diversas técnicas de planificación y
distribución, lo que hace más complicado poder tener visibilidad de los ataques en fase
temprana. Este falta de visibilidad a tiempo, implica que numerosos usuarios sean víctimas
de los ataques mucho antes de que estos puedan ser identificados por los equipos de
seguridad, poniendo de manifiesto la necesidad de algún sistema que permita minimizar
estos retrasos y dote de soluciones a los administradores de seguridad para poder mitigar
los ataques antes de que varios usuarios hayan sido afectados por los mismos.

En este Proyecto Final de Carrera se pretende cubrir parte de esta carencia diseñando un
sistema de detección y análisis de fraude online. Este sistema permitirá detectar los ataques
definidos en el párrafo anterior y los filtrará para lograr optimizar el tiempo de gestión de
los administradores de seguridad. Para ello se utilizarán diversos mecanismos de detección
en paralelo que permitan recolectar información en todos aquellos puntos donde los
ataques son más visibles. De este modo se podrá minimizar el tiempo de vida de los
ataques y se podrá mitigar el impacto de los mismos.






Palabras Clave

Detección, phishing, Pharming, malware, consola de gestión, fraude online.




Abstract

Current security solutions are focused on build a strong perimeter in order to protect their
systems from the attackers. However, 2.0 society requires additional solutions which allow
security researcher to detect and mitigate attacks against users out of the perimeter.

The most common weapons that are being used by the attackers are the Phishing scams,
the pharming scams and the malware scams. In all of them the cibercriminals use different
distribution methods and even different planning techniques, because of that is harder to
identify the attacks in real time.

This lack of visibility, implies that a lot of users can be compromised before than the
attacks are detected by the security administrators. In this scenario, is needed a new
mechanism that minimize the delay between the attack distribution and the attack
detection.

During this Proyecto Final de Carrera (PFC) is going to be designed and implemented a
tool to cover this lack, an online fraud detection tool. This system will detect most
common fraud attacks, and will process and filter them in order to optimize the threat time
management. In order to achieve the project’s goals, the tool will include different
mechanisms for detecting data. Thereby the security administrators will reduce the lifetime
of the attacks and will mitigate their impact.






Keywords

Detection, phishing, Pharming, malware, dashboard, online fraud.







Agradecimientos




Me gustaría agradecer en primer lugar a los “Jorges” (Bueno y López de Vergara) por toda
la dedicación y esfuerzo empleado en guiarme hacia la consecución de este proyecto. Su
experiencia académica y conocimientos técnicos han logrado ayudarme de manera rápida y
eficaz en la realización del mismo.

También me parece imprescindible agradecer este logro a mis compañeros y amigos en el
trabajo: Ruso, un genio cuya simple presencia me ha ayudado a motivarme en los momentos
difíciles y que ha logrado que mi cerebro “procastinador” no hiciera de las suyas, y Pablo,
mentor y amigo que a base de paciencia ha logrado pulirme hasta hacer de mí la persona que
hoy soy.

En el plano más personal se me hace imposible no mencionar en primer lugar a mis
familiares, los cuáles me han aguantado, ayudado y empujado a no abandonar cuando parecía
lo más fácil.

En este grupo, sin duda, mención especial merece María: la persona que ha tenido a bien
sacrificar buena parte de sus vacaciones y de su vida conmigo mientras yo me dedicaba a
compatibilizar los estudios, con el trabajo y con la vida personal. Gracias por entenderme y
ayudarme a desconectar cuando me hacía falta, pero sobre todo gracias por ser quien me ha
dado fuerzas cada día para continuar adelante en esta batalla.

Por último, pero no menos importante por ello, me veo obligado a agradecer este proyecto a
mis amigos de toda la vida, todos sin distinción han aportado algo en este difícil camino:
risas, viajes, horas de estudio…muchos buenos momentos. Sin embargo hay uno que ha sido
especialmente importante para que esté hoy escribiendo este proyecto. Roro, eres un ejemplo
y una referencia que admiro pero sobre todo un amigo que siempre ha estado para abrirme
una ventana cuando veía las puertas cerradas, GRACIAS POR TODO.












INDICE DE CONTENIDOS

1 INTRODUCCIÓN ......................................................................................................................... 1

1.1 MOTIVACIÓN ............................................................................................................................ 1
1.2 OBJETIVOS ................................................................................................................................ 2
1.3 ORGANIZACIÓN DE LA MEMORIA ............................................................................................. 2

2 ESTADO DEL ARTE ................................................................................................................... 5

2.1 ECRIME - FRAUDE ONLINE ....................................................................................................... 5
2.1.1 Phishing o suplantación de Identidad ............................................................................... 6
2.1.2 Pharming o envenenamiento de DNS ............................................................................... 8
2.1.3 Malware (Malicious Software, software malicioso) ......................................................... 9
2.2 PROTOCOLO HTTP ................................................................................................................. 12
2.2.1 Formato y sintaxis del mensaje HTTP ........................................................................... 13
2.2.2 Métodos HTTP ............................................................................................................... 13
2.2.3 Códigos de estado HTTP ................................................................................................ 14
2.2.4 Cabeceras HTTP (Headers) ............................................................................................ 18
1.1 ................................................................................................................................................ 19
2.3 UNIFORM RESOURCE IDENTIFIER (URI) ................................................................................ 19
2.4 CONCLUSIONES ...................................................................................................................... 22

3 ANÁLISIS DE REQUISITOS.................................................................................................... 25

3.1 MONITORIZACIÓN DEL SERVIDOR .......................................................................................... 25
3.2 MONITORIZACIÓN DE BUZONES DE CORREO .......................................................................... 25
3.2.1 Análisis de URLs ............................................................................................................ 26
3.2.2 Análisis de adjuntos ........................................................................................................ 26
3.3 MECANISMO DE DETECCIÓN PROACTIVA ............................................................................... 27
3.4 CONSOLA DE GESTIÓN CENTRAL ............................................................................................ 27
3.5 CONCLUSIONES ...................................................................................................................... 27

4 DISEÑO E IMPLEMENTACIÓN DE LA HERRAMIENTA ................................................ 29

4.1 DISEÑO GENERAL ................................................................................................................... 29
4.2 FASE 1: MECANISMOS DE DETECCIÓN .................................................................................... 31
4.2.1 Análisis de Referers ........................................................................................................ 31
4.2.2 Script de detección de clonado ....................................................................................... 35
4.2.3 Buzón de correos ............................................................................................................ 36
4.3 FASE 2: PROCESADO DE LA INFORMACIÓN ......