Logotipo de ELECFRA > Ir a la página de inicio del sitio Sistema de detección y eliminación de fraude electrónico, vía correo electrónico e internet
¿qué hacemos?

¿Qué hacemos?

 

Introducción al proyecto ELECFRA

El fraude electrónico, denominado en términos anglosajones phishing, abarca formas múltiples de ataque que pretenden no sólo obtener detalles sobre las cuentas de los usuarios sino también acceder a sus datos confidenciales económicos y personales. Es decir, su finalidad es la de apoderarse de la identidad electrónica confidencial de un usuario con el fin de suplantarlo y realizar transacciones fraudulentas. Las vías de comunicación de estos ataques suelen ser la distribución masiva de correos electrónicos usando remitentes falsos que contienen enlaces a páginas web falsas.

El problema es tan grave que ha ocasionado que tanto los usuarios como los proveedores de servicios en la red hayan ido perdiendo la confianza en la misma (robo de identidad, pérdidas financieras, fraude en tarjetas y falta de credibilidad en el proveedor del servicio). La prevención de los intentos de fraudes actuales y futuros pasa por utilizar una combinación de métodos y tecnologías de seguridad para la información que pueden aplicarse en los niveles lógicos de cliente, servidor y empresa.

El sistema que se ha diseñado y desarrollado en el marco del proyecto ELECFRA pretende aportar una solución científico-técnica para el ataque vía correo electrónico y páginas web, que complementa este otro tipo de soluciones distantes aún de incorporarse a la cultura operativa en cualquiera de dichos niveles.

Sus características más destacables son la eficiencia, ya que aplica en primer lugar métodos rápidos y fiables, y la integración de distintos métodos que abordan de la manera más eficaz las peculiaridades propias de la información electrónica fraudulenta.

La arquitectura del sistema es modular y flexible permitiendo que, de una forma sencilla, se incorporen nuevos métodos de análisis y detección que pudieran desarrollarse posteriormente, lo que facilita la adaptación y evolución del sistema a lo largo del tiempo.
El sistema puede residir en cliente o en servidor. Si se ubica en servidor, el filtrado se realiza cuando el correo llega al servidor y no cuando el usuario descarga sus correos. En el caso de que el sistema resida en cliente, el sistema tiene la capacidad automática de detectar si el correo procede de instituciones financieras y notificar al usuario la clase de correo que es.

Durante el año 2005 el Departamento de I+D de OPTENET con el apoyo del grupo de investigación del Instituto de Automática Industrial del CSIC llevaron a cabo las tareas programadas según el calendario previsto en el Proyecto ELECFRA, que son las que se exponen a continuación:

Subir

Obtención de bases de correos fraudulentos y legítimos

  • De una red de buzones trampa. Se han implementado diversas herramientas capaces de extraer correo electrónico de diferentes servidores, así como herramientas de análisis capaces de extraer URLs, remitentes y dominios contenidos en correos spam, y de analizar todo tipo de archivos adjuntos e incluso de llevar un control SPF (Sender Policy Framework) de IP-s no autorizadas a enviar emails desde servidores concretos.
  • Elaboración de listas negras a partir de la extracción de las direcciones de los correos fraudulentos.
  • Consecución de correos legítimos mediante el contacto directo con entidades comerciales con un sector de negocios en Internet.
  • Elaboración de listas blancas a partir de la extracción de las direcciones de los correos legítimos.
  • Elaboración de una base de imágenes y logotipos presentes en los correos legítimos.

    Para identificar automáticamente los mensajes de phishing del conjunto de mensajes no deseados, se han utilizado básicamente dos técnicas:

    • a) Confrontar con una lista de entidades bancarias y financieras, sacadas de la base de datos de Optenet.
    • b) Buscar intentos de ofuscación en las URLs encontradas.

Con ello se extrae un subconjunto pequeño del total de spam que se revisa manualmente. Los procedimientos han sido depurados hasta que se ha conseguido más de un 95% de eficacia en la identificación automática.

Los mensajes catalogados como phishing son copiados a otra carpeta manteniendo la estructura que permite identificar su origen e instante de aparición. El hecho de dejar una copia en el original, permite repetir el proceso si se produjeran mejoras y además responde a la lógica de suponer que todo intento de fraude a través de un mensaje, es un correo “no deseado”.

Subir

Analizador de remitentes

  • Diseño y desarrollo de un analizador del remitente del correo. Para ello se ha empleado un tipo de filtro basado en el origen cuya función es analizar el emisor o equipo del que procede el correo electrónico y comprobar si éste aparece incluido en unas listas de verificación que contienen direcciones de correo permitidas o de confianza o en listas de verificación que contienen direcciones sobradamente conocidas como engañosas.
Subir

Analizador del contenido textual de correos históricos fraudulentos

La dificultad encontrada en la obtención de correos electrónicos legítimos, emitidos por proveedores de servicios en red legales, ha conducido a establecer un procedimiento que consta de dos pasos para determinar la clase de un correo:

  • Diseño y desarrollo de un filtro bayesiano
    El clasificador bayesiano tiene como objetivo la clasificación un correo considerando su contenido textual. Las dos partes del correo que pueden presentar texto son la parte Asunto y la parte Cuerpo.
  • Método heurístico para aumentar la confianza del filtro basado en reglas extraídas tras el estudio detallado de las peculiaridades presentes en correos fraudulentos.

    La eficacia obtenida con este analizador para la clasificación automática de correos fraudulentos basándose en su contenido textual es del 94.4%.
Subir

Analizador de los enlaces contenidos en el cuerpo del correo

  • Se ha llevado a cabo la comprobación de la existencia de los enlaces presentes en el cuerpo en listas de enlaces sospechosos.
  • Análisis de la estructura y formato de los enlaces para el descubrimiento de intentos de confusión y ofuscación de los mismos.
Subir

Analizador de imágenes y logotipos en el cuerpo del correo

  • Estudio de técnicas de comparación de imágenes y logotipos.

    Se han desarrollado las herramientas que permiten extraer las imágenes detectadas en los mensajes de phishing y se han estudiado métodos de identificación insensibles a pequeños cambios.
Subir

Creador de metabuscadores

  • Si los analizadores de los pasos previos no han permitido identificar con fiabilidad la clase de un correo, será necesario pasar a emular el acceso a los enlaces contenidos en el cuerpo del mensaje. Para ello será necesario conocer Los formularios bancarios están compuesto por grupos de información cuyos tipos y partes pueden conocerse utilizando técnicas de agrupación y segmentación para la obtención de patrones de información.
>Subir



Enlaces útiles
Logotipo del Ministerio de Industria, Turismo y Comercio. Abrir web en otra ventana Logotipo del Instituto de Automática Industrial. Abrir página en otra ventana Logotipo de Optenet. Abrir página en otra ventana Logotipo de la Asociación de Usuarios de Internet. Abre web en una nueva ventana
No. de identificación del expediente: FIT-360000-2005-9, Proyecto financiado por LA DIRECCIÓN GENERAL PARA EL DESARROLLO DE LA SOCIEDAD DE LA INFORMACIÓN, en el ejercicio de las competencias que le atribuye la Orden PRE/690/2005, de 18 de marzo, (B.O.E. de 19 de marzo de 2005) por la que se regulan las bases, el régimen de ayudas y la gestión del Plan Nacional de Investigación Científica Desarrollo e Innovación Tecnológica (2004-2007) en la parte dedicada al Fomento de Investigación Técnica y la Resolución de 20 de abril de 2005, de la SECRETARIA DE ESTADO DE TELECOMUNICACIONES Y PARA LA SOCIEDAD DE LA INFORMACIÓN de la convocatoria de ayudas para el año 2005 al Acción estratégica horizontal sobre seguridad y confianza en los sistemas de información las comun. y los serv. de la Sociedad de la Informática. (B.O.E. de 28 de abril de 2005), con base en los artículos 58.1 y 84 de la Ley 3011992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, (Boletín Oficial del Estado número 285 de 27 de noviembre de 1992).

Copyright © 1999-2006 Optenet