Acum ceva timp am citit un articol destul de interesant pe site-ul organizatiei Honeynet Project. Tema acestui articol este in principal un concept foarte nou folosit de echipele de phishing.

Datorita faptului ca organizatiile internationale au reusit sa puna la punct mecanisme destul de rapide pentru a scoate din retea site-urile „fake” sau drop-zone-urile (site-urile in care se aduna informatiile despre tan-uri, useri si parole pentru internet banking), organizatiile de phising s-au gindit la ceva inovativ. De ce nu am construi o retea de DNS-uri in care informatia despre IP-urile site-urilor implicate sa fie schimbata la fiecare 3-10 min. Pornind de la conceputul  DNS „round-robin” acces, care in principal inseamna ca aceasi adresa de URL (http://www.bancafake.name) poate fii asociata cu diferite adrese de IP,  este implementat acum procesul automat de schimbare a acestor adrese de IP cu un tact de maximun 30 de min.

In acest caz devine aproape  imposibil ca toate serverele sa fie scoase din retea.

Si ca toata infrastuctura sa poata fii vinduta mai frumos este fost oferita pentru 100 USD/an sub numele de „bullet proof domain name”.

Intre timp conceptul a evoluat in asa numita  arhitectura „Duble-Flux”. In aceasta configuratie, adresa serverelor de DNS, care sint responsabile penru translatarea adresa de IP – nume,  se schimba la fiecare 30 de minute.  Deci in acest caz chiar scoaterea din joc a serverului de DNS nu duce la nici un rezultat.

Cine vrea sa citeasca mai mult despre concept recomand articolul de la HoneyNet Project.

Weekend placut si cum spun aia de la guerrila „fiti buni si fiti nebuni”.

Anunțuri